栈溢出攻击c语言_从0开始CTFPWN(四)ROP绕过栈可执行保护与GOT表劫持

最新推荐文章于 2023-09-15 13:45:27 发布
最新推荐文章于 2023-09-15 13:45:27 发布
阅读量751 收藏 2
点赞数
文章标签: 栈溢出攻击c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30219823/article/details/112339371
版权
08432a38428016427aee50bf577e3e28.png

本文为看雪论优秀文章

看雪论坛作者ID:dxbaicai

92b664d255fe7f3de6eebd5ed5525f26.gif

一、教程说明

92b664d255fe7f3de6eebd5ed5525f26.gif

1.1 历史回顾

第一节我们介绍了基础环境准备: 从0开始CTF-PWN(一)——基础环境准备 第二节我们介绍了栈溢出的入门: 从0开始CTF-PWN(二)从PWN的HelloWorld-栈溢出开始 第三节我们介绍了自行构造shellcode: 从0开始CTF-PWN(三)没有system怎么办?构造你的shellcode

1.2 本节说明

之前我们是利用自己构造的shellcode返回shell,但这依赖于栈上可执行代码,本篇会介绍当关闭栈上代码可执行时,如何通过ROP跳转到libc获得Shell。 说明什么是GOT,如何劫持。 同样,教程需要对c语言和汇编有一些基本理解,分析过程中遇到问题会穿插对应知识点的方式进行说明。 92b664d255fe7f3de6eebd5ed5525f26.gif

二、环境说明

92b664d255fe7f3de6eebd5ed5525f26.gif

2.1 环境设置

为了降低入门难度,会关闭操作系统的地址空间随机化(ASLR),这是针对栈溢出漏洞被操作系统广泛采用的防御措施。

2.2 编译源文件

在实验环境创建.c源代码文件,使用如下命令进行编译,注意相比之前编译时去掉了-z execstack。 知识点-编译参数说明

  1. -m32:使用32位编译

  2. -O0:关闭所有优化

  3. -g:在可执行文件中加入源码信息

  4. -fno-stack-protector:关闭栈保护

  5. -z execstack:启用栈上代码可执行

  6. -z norelro / -z relro -z lazy / -z relro -z now (关闭disabled / 部分开启Partial / 完全开启Full)

92b664d255fe7f3de6eebd5ed5525f26.gif

三、ROP绕过栈可执行保护

最低0.47元/天 解锁文章
风华学悦
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
透过一道基础pwn栈溢出感受函数执行时候的的变化。
admin的博客
10-04 191
题源:基本 ROP - CTF Wiki (ctf-wiki.org) 的ret2libc的例一。 这道题很简单,bin/sh和system的地址都给了,只需要控制程序执行流返回到相应的地址即可。但是我在编写payload的时候遇到了点小疑问。 为什么上system的地址和他的参数bin/sh的地址之间要隔着个字节呢? bin_sh_addr = 0x08048721 system_addr = 0x08048303 payload = b'a' * 112 + p32(bin_sh_...
[pwn]ROP绕过ASLR&NX
热门推荐
Breeze的博客
05-27 1万+
# [详细] ROP绕过ASLR&NX 这次使用的程序是Defcon - 2015初赛题目,r0pbaby,也是一道经典的pwn题目了。 NX策略是指在中的代码不会被执行,ASLR是使共享库的装载位置随机化不可预测。 信息搜集 首先查看是64位还是32位文件: 然后查看安全策略: 可见开启了NX和PIE,PIE也就是ASLR。然后在IDA中查看伪代码,无需详细阅读,直接找溢出函数即...
CTF-PWN-level1(Jarvis oj)[上shellcode的执行]
SuperGate的博客
02-14 833
checksec发现没有开保护机制,所以我们可以考虑使用shellcode方法pwn掉。 查看vulnerable_function函数内部 发现程序直接给我们了buf的首地址。点进去看之后发现,buf只能存0x88个字符,但是我们可以读入0x100个字符。由于读入的时候字符串会暂时存在上,我们可以考虑覆盖return的地址到buf的首地址中,然后在buf首地址开始写入shellcode...
劫持 64 位静态程序 fini_array 进行 ROP 攻击
SkYe's Blog
09-13 750
[scode type=“lblue”]2020年8月6日 标题添加“静态程序”,补充与 64 位动态程序对比和利用方法差异小结[/scode] 程序起点 程序的启动流程如图所示: 可以看到 main 函数不是程序起点,之前写的 格式化字符串盲打 也分析过 text 段起点是 _start 函数 。_start 函数调用__libc_start_main 完成启动和退出工作。具体看看 _start 函数: .text:0000000000401A60 public star
CTF逆向-Dig the way Interesting Pointer-通过栈溢出方式覆盖变量以达到修改执行流程的目的
serfend's blog
04-28 1535
CTF逆向-Dig the way Interesting Pointer-通过栈溢出方式覆盖变量以达到修改执行流程的目的 来源:https://buuoj.cn/ 内容:dig the way(to get the key)! 附件:链接:https://pan.baidu.com/s/1ohai-S1epbYp2O-hzH8CRQ?pwd=rhz5 提取码:rhz5 答案:8cda1bdb68a72a392a3968a71bdb8cda 总体思路 发现流程正常执行的话无法获得flag 尝试通过栈溢出
栈溢出基础知识、栈溢出保护机制、栈溢出利用方法.docx
01-10
CTF(网络安全竞赛)中,例如Defcon 2015 Qualifier的`R0pbaby`、AliCTF 2016的`vss`、PlaidCTF 2013的`ropasaurusrex`等题目,都涉及到栈溢出的利用。攻击者需要根据具体环境和漏洞情况,灵活运用上述技术构造...
栈溢出入门到放弃_19_7_211
08-08
栈溢出是一种常见的安全漏洞,通常发生在C语言或其他低级编程语言中,由于程序员未正确管理函数调用,导致超出预期的数据写入空间,从而可能篡改关键的程序控制流。本篇将深入探讨栈溢出的三种主要利用方式,...
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
栈溢出基础——ROP1.0的例题
07-13
ROP(Return-Oriented Programming)是利用栈溢出的一种高级技术,它不依赖于直接注入恶意代码,而是通过寻找存在于程序中的小段已有的可信任指令(通常称为“gadgets”),并利用这些片段构造出任意代码执行的链条...
pwn栈溢出10道练习题有writeup
01-04
在这个场景中,"pwn栈溢出10道练习题有writeup" 提供了10个关于栈溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在上分配的内存不足,...
PNW入门之got覆写-附件资源
03-05
PNW入门之got覆写-附件资源
c仿照pwn题实现arm64下的rop
weixin_45574485的博客
04-25 499
代码基于一个ctf竞赛的rop用例写成,省去了用pwn进行攻击的过程,减少了工具的使用,方便以后添加到自动化测试用例。 废话不多说,先贴代码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/mman.h> #include <string.h> char * rop_chain = "\x61\x61\x61\x61\x61\x61\x61\
CTF竞赛 -- 栈溢出ROP
最新发布
yyyyyybw的博客
09-15 242
栈溢出攻击ROP技术是CTF竞赛中的重要议题,本文通过理论解释和实际代码示例,向读者展示了它们的原理与应用。栈溢出攻击是一种经典的漏洞利用技术,其基本原理是利用程序中的缓冲区溢出错误,将恶意代码注入到程序的执行流程中。一般情况下,是用于存储局部变量、返回地址等信息的区域,但如果程序未正确验证输入的大小,攻击者可以输入超出缓冲区边界的数据,覆盖控制流信息。ROP的核心思想是将上的返回地址指向程序中的某些"小片段",这些片段以一系列指令结尾于ret(返回)指令,执行后会将控制权交还给上的下一个地址。
pwn刷题num19----栈溢出
tbsqigongzi的博客
04-24 474
BUUCTF-PWN-rip 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got可写 未开启NX保护-----堆执行 未开启PIE-----程序地址为真实地址 RWX----有可读可写可执行段 动态链接 ida一下,看一下主函数 这里的gets(&s, argv); gets第一个参数是要输出的字符串首地址,第二个参数是输出的字符串的长度 s占0xf个字节,这里argv的值是未知的,但这个程序能利用的也只
CTF-PWN笔记(一)-- 栈溢出 之 基础ROP
CK_0ff的博客
01-09 4395
文章目录linux内存布局原理文件保护机制CanaryNXPIE(ASLR)RELRO简单的栈溢出(ret2txt)ret2shellcode 是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压 (push) 与出 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作顶,当然,它也有底。 高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的,用于保存
【pwn学习】GOT劫持
Morphy_Amo的博客
12-15 3885
文章目录例题GOT劫持获取Syscallopen-read-write利用系统调用号调用open构造payload获取syscall读取flag文件exp 例题 例题:XCTF-008-Recho 查看安全策略 root@kali:~/ctf/xctf/pwn# checksec 008_Recho [*] '/root/ctf/xctf/pwn/008_Recho' Arch: amd64-64-little RELRO: Partial RELRO Stac
pwn刷题num11-----覆盖上数据修改程序执行流程
tbsqigongzi的博客
04-22 622
攻防世界pwn进阶区 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启全部RELRO---got不可写 未开启canary保护---存在栈溢出 开启NX保护----堆不可执行 开启PIE----内存地址随机化 动态链接 ida一下 查看主函数 memset(buf, 0, 0x30uLL);意思是建立0x30大小的buf区,并用0填充 *(_QWORD *)seed = time(0LL);使每次程序运行产生的随机数种子都不同 查看sub_A2
[BUUCTF]PWN——x_ctf_b0verfl0w(汇编代码写shellcode+jump esp指令劫持esp)
mcmuyanga的博客
02-04 1239
x_ctf_b0verfl0w 附件 步骤 例行检查,32位程序,开启了RELRO(不可改写got) 本地试运行一下程序,看看大概的情况 32位ida载入 fgets可以溢出,但是只可以溢出0x32-0x20-0x4=14字节,由于没有开启nx,首先想到的是shellcode,0x20肯定放不进pwntools生成的shellcode,只能自己手写,但是得想办法劫持esp去执行我们的shellcode 在hit函数中找到了jump esp的gadget 因此我们可以构造这样的
c语言到汇编指令 长亭科技,从0开始CTF-PWN(ROP绕过执行保护GOT劫持...
weixin_34440860的博客
05-21 322
int main(int argc, char* argv[]) {char buf[128];if (argc < 2) return 1;strcpy(buf, argv[1]);printf("Input:%sn", buf);return 0;}使用如下命令进行编译:gcc-4.8 -g -m32 -O0 -fno-stack-protector -o pwn_test_bof3_3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值