第三次ROP (LEVEL 5)

最新推荐文章于 2022-04-14 15:33:33 发布
最新推荐文章于 2022-04-14 15:33:33 发布
阅读量1k 收藏 4
点赞数 2
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43467772/article/details/89131527
版权
本文详细介绍了如何通过栈溢出利用ROP技术获取shell的过程,包括禁用保护机制、构造payload泄露write地址、找到Libc中system和/bin/sh的地址,最终实现getshell。
摘要由CSDN通过智能技术生成

1、题目拿到是的一段C代码。

看到write 和 read 函数,猜测可以用栈溢出来getshell。

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

void vulnerable_function() {
    char buf[128];
    read(STDIN_FILENO, buf, 512);
}

int main(int argc, char** argv) {
    write(STDOUT_FILENO, "Hello, World\n", 13);
    vulnerable_function();
}

2、生成可执行文件。

通过gcc编译可执行文件,加上参数 -fno-stack-protector -o -z execstack -o 禁用CANARY和NX栈保护机制。

gcc -fno-stack-protector -z execstack -o level5 level5.c

再执行命令关闭本机的地址随机化,降低一下难度。

# echo 0 > /proc/sys/kernel/randomize_va_space

3、checksec查看一下文件的保护机制。

在这里插入图片描述
(这里看到有PIE,但是由于我们关闭了本机上的地址随机化,仍可以当作PIE disable)

4、ida查看文件。

在这里插入图片描述可以看到,read只申请了80h的栈空间,但是可以读进去200h的数据,所以可以利用栈溢出来getshell。

5、构造通用gadgat泄露write的地址,以获取libc。

------------------------------------------------------------------------------------------------------------------------------
在一些64位的可执行文件中,一般使用libc,就会有个libc初始化函数,如下:

最低0.47元/天 解锁文章
Awesomeld
关注
专栏目录
一步一步学 ROP 之 linux_x64 篇-level5
weixin_43489686的博客
02-02 1567
这道题是来自蒸米的一步一步学ROP之linux_x64篇中的level5,主要考察的是中级ROP中的__libc_csu_init。 原理 __libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000...
64位ROPlevel5)
weixin_44642009的博客
04-06 1541
64位ROP 开始接触的ROP都是针对于32位,和64位的比起来,主要是编址以及函数传参的方式不一样,32位的传参是直接将其压入栈中,我们便可以通过覆盖返回地址的方法,对函数的跳转进行控制而达到我们的目的,而64位的传参首先是使用六个寄存器,其次更多的参数压入栈中,其参数存放寄存器的顺序依次是rdirdirdi,rsirsirsi,rdxrdxrdx,rcxrcxrcx,r8dr8dr8d,r9d...
ROP-中等-level5
ATFWUS的博客
02-29 818
这个题做了一下午。 文件下载地址: 链接:https://pan.baidu.com/s/1Ix7kc1ulu9a3OktifdUWWw 提取码:etug 0x01.分析 checksec: 64位程序,开启NX。 源码: 存在栈溢出,可利用的函数有red和write。暂时没有思路了。。。 0x02.新知识:利用__libc_csu_init 在x64程序中,前六...
通用gadget详解
weixin_44932880的博客
12-26 7423
gadget 利用gadget是做pwn题时控制程序流程一种重要且常用的方法。 rop是什么? 参考链接 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop-zh/ 我今天主要写我对通用gadget的原理的理解 通用 gadget 通用gadget之所以叫通用,说明这是可以广泛使用的。 本人理解: 程序编译...
Pwn中阶学习1-[栈溢出]/篇3
m0_52343643的博客
04-14 1536
这种题型一般是在题目没有给出程序文件的时候,我们对程序一无所知,对程序是否栈溢出、栈溢出长度、gadget地址,源函数地址等只能进行爆破得到 攻击条件: 程序存在栈溢出漏洞 服务器端的进程在崩溃后会重新启动,且启动进程地址与先前一样。目前 nginx, MySQL, Apache, OpenSSH 等服务器应用都是符合这种特性的。 BROP绕过ASLR、NX、Canary保护 步骤 爆破栈溢出长度 得到漏洞函数或main函数地址(stop gadget:使程序返回地
蒸米一步一步ROP X64学习笔记
weixin_30359021的博客
06-12 1038
原文地址https://segmentfault.com/a/1190000007406442,源代码地址https://github.com/zhengmin1989/ROP_STEP_BY_STEP(冒昧的贴一下, 本文有一些作为一只菜鸡的思考,原文蒸米大大可能站的角度比较高,有的地方没有写清楚,这里权当补充一下 首先是level4,源代码如下 #include &l...
welpwn [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列24
重新启程
12-27 1256
题目地址:welpwn 本题是高手进阶区的第13题,先看看题目 照例检查一下保护机制 [*] '/ctf/work/python/welpwn/a9ad88f80025427592b35612be5492fd' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found ...
[BUUCTF]PWN——[HarekazeCTF2019]baby_rop2
mcmuyanga的博客
10-04 4440
[HarekazeCTF2019]baby_rop2 题目附件 步骤: 例行检查,64位,开启了nx保护 运行了一下程序,了解大概的执行情况 64位ida载入,shift+f12检索程序里的字符串,没有发现可以直接利用的,从main函数开始看程序 利用思路: 程序很简单,buf的大小是0x20,但是读入的时候读入的是0x100,会造成溢出,我们要想办法覆盖返回地址为” system(‘/bin/sh’)“,那样在执行13行语句的时候,程序回去调用我们布置好的栈,从而得到shell 但是程序里没有现成
中级ROP
m0_49959202的博客
09-23 486
文章目录中级ROP1.原理1.1 ret2csu1.1.1 libc_csu_init展示1.1.2 可用gadget介绍1.1.3 组合使用gadget思路1.1.4 类似于libc_csu_init,其他可用的gadget1.1.5 利用libc_csu_init尾部偏移,控制其他寄存器1.2 ret2reg1.2.1 原理1.2.2 防御方法1.3 BROP1.3.1 概念1.3.2 攻击条件1.3.3 攻击原理1.3.3.1 栈溢出长度1.3.3.2 Stack Reading1.3.3.3 Bli
高级ROP
m0_49959202的博客
10-01 1337
文章目录高级ROP1.原理1.1 ret2_dl_runtime_resolve1.1.1 _dl_runtime_resolve()函数机制介绍1.1.2 利用思路1.1.2.1 思路 1:直接控制重定位表项的相关内容1.1.2.2 思路 2 - 间接控制重定位表项的相关内容1.1.2.3 思路 3 - 伪造 link_map1.2 SROP1.2.1 signal机制1.2.2 攻击原理1.2.3 相关工具介绍1.3 ret2VDSO1.3.1 概述1.3.2 vdso.so内函数和gadget1.3.
Tamevic’s Ctf-Pwn writeup@软件安全‘实验4pwn’
Tamevic的博客
04-08 302
Tamevic’s Ctf-Pwn writeup@软件安全‘实验4pwn’ x64和x86到底有什么不同? 文件: 这次是给到一段源码,自己对其进行编译,然后再pwn可执行文件,源码如下: #include <stdio.h> #include <stdlib.h> #include <unistd.h> void vulnerable_function...
CTF总结-PWN篇
qq_42747131的博客
05-14 7108
一、通用过程 通过file指令查看二进制文件是32位还是64位,这个影响特别大(涉及参数的传递方式) 通过checksec指令查看可执行文件的保护措施开启情况 运行一下这个可执行文件,了解一些程序运行流程 开始通过pwntools解题 pwntools 二、缓冲区溢出攻击 寻找可以进行攻击的位置 通过cyclic [number] 获得一个长度为number的序列 在攻击处输入上一步获得的序列,查看报错信息 通过cyclic -l [序列] 来判断从第几位开始覆盖的是返回地址 构造payload 构造
64位linux系统:栈溢出+ret2libc ROP attack
weixin_34232363的博客
06-03 916
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
python栈溢出_栈基础 & 栈溢出 & 栈溢出进阶
weixin_39584549的博客
12-08 931
author : shavchentitle : stack-ooverflow exploit栈基础内存四区代码区(.text):这个区域存储着被装入执行的二进制机器代码,处理器会到这个区域取指令执行。数据区(.data):用于存储全局变量和静态变量等。堆区:动态地分配和回收内存,进程可以在堆区动态地请求一定大小的内存,并在用完后归还给堆区。地址由高到低生长栈区:用于动态地存储函数之间的调用关系...
知识图谱-基于Neo4j+Python+Cypher+KG实现的小型金融知识图谱构建项目-附项目源码+流程教程-优质项目实战
10-20
知识图谱_基于Neo4j+Python+Cypher+KG实现的小型金融知识图谱构建项目_附项目源码+流程教程_优质项目实战
资产管理系统-使用Python+CSS开发的资产配置管理系统-附完整流程教程-优质项目.zip
10-20
资产管理系统_使用Python+CSS开发的资产配置管理系统_附完整流程教程_优质项目
基于SpringMVC+Spring+MyBatis的博客网站系统源码+数据库+使用说明(毕业设计)
10-20
基于SpringMVC+Spring+MyBatis的博客网站系统源码+数据库(毕业设计),本项目是一套个人98分毕业设计系统,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业,包含:项目源码、项目说明等。该项目可以直接作为毕设使用,项目都经过严格调试,确保可以运行! 基于SpringMVC+Spring+MyBatis的博客网站系统源码+数据库+使用说明(毕业设计)基于SpringMVC+Spring+MyBatis的博客网站系统源码+数据库+使用说明(毕业设计)基于SpringMVC+Spring+MyBatis的博客网站系统源码+数据库+使用说明(毕业设计) 基于SpringMVC+Spring+MyBatis的博客网站系统源码+数据库+使用说明(毕业设计)基于SpringMVC+Spring+MyBatis的博客网站系统源码+数据库+使用说明(毕业设计)基于SpringMVC+Spring+MyBatis的博客网站系统源码+数据库+使用说明(毕业设计)基于SpringMVC+Spring+MyBatis的博客网站系统源码+数据
614075276467436开心叠一叠.apk
最新发布
10-20
614075276467436开心叠一叠.apk
优秀毕业设计-基于海思Hi3516开发板的RTP流媒体服务器系统-项目实战.zip
10-20
优秀毕业设计_基于海思Hi3516开发板的RTP流媒体服务器系统_项目实战
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值