PWN学习笔记(一)Basic Rop

最新推荐文章于 2022-11-29 08:52:08 发布
最新推荐文章于 2022-11-29 08:52:08 发布
阅读量334 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44120526/article/details/111561933
版权
此学习笔记主要基于CTF WIKI 中的Basic rop部分。 网址为:https://wiki.x10sec.org/pwn/linux/stackoverflow/basic-rop/ --------------------------------------------------------------------首先翻译了一下文章的开头,内容为:打开NX保护后,很难继续直接将代码注入堆栈或堆中。攻击者也提出了相应的绕过保护的方法。目前最主要的是面向返回的程序设计。主要思想是基于堆栈.
摘要由CSDN通过智能技术生成 
 此学习笔记主要基于CTF WIKI 中的Basic rop部分。附攻防世界cgpwn2的WP
 网址为:https://wiki.x10sec.org/pwn/linux/stackoverflow/basic-rop/
 --------------------------------------------------------------------

首先翻译了一下文章的开头,内容为:
打开NX保护后,很难继续直接将代码注入堆栈或堆中。攻击者也提出了相应的绕过保护的方法。目前最主要的是面向返回的程序设计。主要思想是基于堆栈缓冲区溢出使用程序中现有的小片段。)改变某些寄存器或变量的值以控制程序的执行流。所谓gadgets就是以ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,以方便控制程序的执行过程。
之所以称之为ROP,是因为核心是使用指令集中的ret指令来改变指令流的执行顺序。ROP攻击通常必须满足以下条件
1.程序有溢出,可以控制返回地址。
2.您可以找到符合条件的小工具以及相应小工具的地址。
3.如果小工具的地址不是每次都固定的,那么我们需要找到一种方法来动态获取相应的地址。

可以从中获取的信息有:
1.使用ROP的前提是有栈溢出
2.ROP链由一系列小片段构成,对于这些具有特定作用的小片段我们可以将它们组装起来构造出payload,最终获取flag
3.寻找的这些小片段必须含有ret指令 。

一.ret2text
第一个例子 ret2text 这是一个简单的栈溢出,没有用到rop的方法,在此不做赘述。

二.ret2shellcode
首先是最基本的检查
在这里插入图片描述
可以看到这是一个32位的ELF文件,基本没有保护。
然后我们用IDA看一下反编译后的代码

最低0.47元/天 解锁文章
居合
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Basic rop学习
I'm five的博客
12-26 1065
Basic rop学习基本ROP简单例题:cgpwn2分析:exp: 基本ROP 主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROPROP 攻击一般得满足如下条件: 程序存在溢出,并且可以控制返回地址。 可以找到满足条件的 gadgets 以及相应 gadgets 的地址。 简单例题:cg
pwn学习系列--任务4 pwn200
weixin_44113469的博客
02-11 840
栈溢出之pwn200解题步骤 主要涉及到Ret2libc–修改返回地址,让其指向内存中已有的某个函数,还涉及到简单的rop( Return Oriented Programming )构造 思路分析:有read函数,变量buf大小为0x68,read可写入0x100,可知有栈溢出。题目中只给出system函数,没有给出“/bin/sh”,所以要自己通过read函数写入“/bin/sh”,然后返回调...
2019上海市大学生网络安全大赛 部分re 部分pwn
qq_41071646的博客
11-06 728
看萝卜师傅的博客 感觉题目很有趣 然后决定刷一波 萝卜师傅博客链接 http://radishes.top/2019/11/03/2019-11-03-2019shanghai/ RE 函数逻辑非常简单 一开始 check1 把我迷惑了 让我认为 限制字符只有 a-f 后来输入过程中 发现了 不止是 a-f 。。。 然后 发现 输入字符0也可以,,原来是 无符号,,, 智障了...
python栈溢出_栈基础 & 栈溢出 & 栈溢出进阶
weixin_39584549的博客
12-08 840
author : shavchentitle : stack-ooverflow exploit栈基础内存四区代码区(.text):这个区域存储着被装入执行的二进制机器代码,处理器会到这个区域取指令执行。数据区(.data):用于存储全局变量和静态变量等。堆区:动态地分配和回收内存,进程可以在堆区动态地请求一定大小的内存,并在用完后归还给堆区。地址由高到低生长栈区:用于动态地存储函数之间的调用关系...
python pwntools库 简介 主要功能有 网络 进程 文件 编解码 elf 汇编 调试
whatday的专栏
11-29 3071
Pwntools是一个工具包,使选手们在CTF期间的尽可能容易的编写EXP,并使EXP尽可能的容易阅读。有些代码每个人都写过无数次,而且每个人都有自己的方法。Pwntools的目标是以半标准的方式提供所有这些,这样你就可以停止复制粘贴相同的代码,而是使用更多稍微清晰的包装器,如pack或p32甚至。除了对日常的功能进行方便的包装外,它还提供了一套非常丰富的IO管道,将所有你曾经执行过的IO封装在一个统一的界面中。从本地攻击切换到远程攻击,或者通过SSH进行本地攻击,都只是修改一行代码的工作。
linux 栈溢出
sky123博客
02-01 3746
栈基础知识 栈结构 函数调用过程 32位为例: KaTeX parse error: No such environment: align* at position 8: \begin{̲a̲l̲i̲g̲n̲*̲}̲ & \text{push a… 函数参数传递 32位程序 普通函数传参:参数基本都压在栈上(有寄存器传参的情况,可查阅相关资料)。 syscall传参:eax对应系统调用号,ebx、ecx、edx、esi、edi、ebp分别对应前六个参数多余的参数压在栈上。 64位程序: 普
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
Pwn学习路线及学习笔记以及gem安装
10-15
Pwn学习路线及学习笔记 Pwn是计算机安全领域中的一个重要方向,旨在研究和学习 Binary Exploitation,CTF 等安全知识。本文将从Pwn学习路线及学习笔记入手,总结作者在学习Pwn过程中的心得体会和经验。 一、前期...
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
pwn学习历程.pdf
09-30
pwn学习修炼之旅,内部包含各个模块各个知识点,有助于爱好者有方向的学习前进,加油,很好的资料哦,很有意义。
啥也不会还想学PWN
weixin_67749304的博客
04-26 2765
本人真小白,真的0基础。 PWN 是CTF比赛中比较难的部分。首先要做的就是把基础知识打牢。 预备知识:C语言,汇编语言,Linux基础等。 栈,是一段特殊存取的内存。它好比一个盒子,数据好比一本本的书。先放进的书会被放在盒子的最底部,后放进的书会被放在盒子的最上面。这是栈的LIFO原则。 栈溢出。在存放数据的过程中,如果不注意检测数据的顶端是否超过栈的顶端,容易产生栈溢出。 一些汇编语言的常用指令:move A ,B 表示把寄存器B中的内容放到A当中;ret 返回主程序;call 调用一个子程序
Buuctf pwn1_sctf_2016
qq_53809201的博客
03-19 446
checksec run ida 在程序中搜索既没有system又没有bin/sh,所以明显的rop nptr处可以使用整数溢出构造rop 然后可以利用printf函数来泄露程序的libc版本 覆盖返回地址执行system来getshell exp from pwn import * from LibcSearcher import * context(os = 'linux', arch = 'i386', log_level = 'debug') elf = ELF("./pwn2") loca
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)
网络安全知识分享
03-28 4520
ROP-ret2libc-32实例 32位思路: 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下: 接下来我们检查保护 我们看到是有NX保护,没有canary和pie保护,我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。 objdump -d -j .plt
basic rop3-rop
taopaode的博客
03-11 346
pwn——basic rop (ret2system): 老规矩,先checksec一下: 开启了NX,堆栈不可执行,这里提一下,复制文件进虚拟机之后最好改一下权限,命令是: chmod 755 name 放入ida中:发现get()函数,可以溢出 这里与上一道题不同的是NX保护,所以我们无法通过在用户态的栈里写入一些类似system()的命令,所以我们要往内核态的栈里面写,但两个栈内存上是独...
pwn——basic rop1
taopaode的博客
03-10 382
pwn——basic rop (ret2text): 老规矩,先checksec一下: 发现开启了NX,堆栈不可执行 放入ida中: 发现存在get函数,可溢出: 查看其他函数,发现在secure中存在完整控制台: 很容易找到system地址: 下面在gdb里面动态调试找到偏移量: 在这里提一下,peda里面的pattern create number命令可以整出一堆完全固定混乱的数字,在输入时...
基本ROP
听鬼哥说故事
08-29 8621
随着NX保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是ROP(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上(这一条之后不再重复提及),通过利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而改变程序的执行流程。**所谓gadgets就是以ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
basic rop-ret2shellcode
taopaode的博客
03-10 251
pwn——basic rop (ret2shellcode): 老规矩,先checksec一下: 发现啥都没开 放入ida中: 查看源代码发现存在get函数,存在溢出 查找控制台,发现没有,当然题目已经告诉没有了,但是在这里我们发现了一个函数strncpy, 它的功能就是将第二个参数里的值按第三个参数大小复制到第一个参数里面,进入buf2里查看,发现buf2在bss段里: 在这里我们通过gdb...
c语言格式化字符漏洞,格式化字符串漏洞题目练习
weixin_30111277的博客
05-22 891
整合一下最近做的格式化字符串题目的练习,把wp给写一下,方便对总结对这个漏洞的利用套路和技巧。inndy_echo保护和arch[*] '/media/psf/mypwn2/buuctf/inndy_echo/echo'Arch: i386-32-littleRELRO: Partial RELROStack: No canary foundNX: NX enabl...
学习pwn需要学习哪些数学知识
最新发布
05-18
学习 pwn 通常需要掌握以下数学知识: 1. 二进制和十六进制:pwn 题目通常会给出二进制或十六进制的数据,因此需要熟悉这两种进制的转换和计算。 2. 离散数学:离散数学是计算机科学中的一门重要课程,它涉及到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值