啥也不会还想学PWN

最新推荐文章于 2023-12-27 16:28:11 发布

秦时明月-W

最新推荐文章于 2023-12-27 16:28:11 发布

阅读量150

点赞数

文章标签： p2p 网络协议网络

本文链接：https://blog.csdn.net/weixin_67749304/article/details/124718856

版权

今天，是rop的介绍与编写。

什么是rop呢？

上一次我学习了一种栈溢出的思路：pop rdi ret ；/bin/sh+字符串地址；system。

像这种形式的传参和调用，或者说这种编程方法，就叫做rop。

rop，是英文返回导向编程的简称，实际上就是程序中以一大堆ret的拼凑来完成代码逻辑。所以，这些ret的如何拼凑？（编写？）

以system(“/bin/sh”)为例：

我们需要做的，是将rdi这个地址改写为/bin/sh的字符串地址，然后call system。

如果我们不能执行shellcode，那么我们可以通过栈来修改参数。

pop rdi ret ;/bin/sh addr。

那么如何call？我们使用ret。

综上，我们构造的payload是：

填充区（用于填充缓冲区buf的那部分无效数据）+pop rdi ;ret +/bin/sh +system

比喻一下，rop就像是搭积木，一小部分一小部分的拼凑，基本上只会用到栈。

这些“积木”，我们称之为gadget。

怎么找到gadget呢？这里就要用到两个工具：ropper和ropgadgets。

简单说一下ropgadgets 的使用：

指令：ROPgadgets --（想找的二进制文件）。

当分析一些内核的时候，ropgadgets可能就会比较慢。

接下来是ropper。

使用：ropper --file file的名字。

比如这样，执行后很快就会将gadget打印出来：

正常情况：

好了，今天到这。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

秦时明月-W

关注关注

0
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

PWN入门学习

qq_20254219的博客

10-20

2567

基础PWN知识入门二进制基础从C源代码到可执行文件的生成过程可执行文件广义上的可执行文件，文件本身是没有执行权限的，和用户权限无关。可以通过命令给文件赋权。 ELF的执行需要将在磁盘上的程序载入内存中。在磁盘中的是节，映射到内存就是段。在执行过程中，存储在磁盘中具有相同权限的节会被映射到内存中合成一个段。进程虚拟地址空间操作系统管理所有硬件，程序

【pwn】学pwn日记（堆结构学习）（随缘更新）

woodwhale的博客

08-20

4787

【pwn】学pwn日记（堆结构学习） 1、什么是堆？堆是下图中绿色的部分，而它上面的橙色部分则是堆管理器我们都知道栈的从高内存向低内存扩展的，而堆是相反的，它是由低内存向高内存扩展的堆管理器的作用，充当一个中间人的作用。管理从操作系统中申请来的物理内存，如果有用户需要，就提供给他。 2、了解堆管理器注意：linux使用glibc 这里有两种申请内存的系统调用： brk mmap 第一种brk，是将heap下方的data段（bss属于data段），向上扩展申请的内存。第二种mmap，其实下

参与评论您还未登录，请先登录后发表或查看评论

pwn的五道基础题

lllwky的博客

03-27

7275

文章目录一：ret2text1：服务器地址与端口号2：传入参数3：参数的接收范围4：找到bin/sh所在的地址二：your_nc三：overflow四：printf1：找到如何进入/bin/sh2：找到sth的地址3：获得格式化字符串的偏移量五：rop拓展：一：ret2text from pwn import * context.arch="amd64" io=remote("101.34.90.86",10002) secure_addr=0x400852 payload=b"a"*0x10+b"a"*

Pwn中阶学习1-[栈溢出]/篇3

m0_52343643的博客

04-14

1528

这种题型一般是在题目没有给出程序文件的时候，我们对程序一无所知，对程序是否栈溢出、栈溢出长度、gadget地址，源函数地址等只能进行爆破得到攻击条件：程序存在栈溢出漏洞服务器端的进程在崩溃后会重新启动，且启动进程地址与先前一样。目前 nginx, MySQL, Apache, OpenSSH 等服务器应用都是符合这种特性的。 BROP绕过ASLR、NX、Canary保护步骤爆破栈溢出长度得到漏洞函数或main函数地址（stop gadget：使程序返回地

PWN入门一函数调用和栈溢出

xlsj雪松的博客

10-19

2163

函数调用和栈溢出

CTFshow-pwn入门-栈溢出pwn41-pwn42

最新发布

T1ngSh0w的博客

12-27

1088

CTFshow-pwn入门-栈溢出pwn41-pwn42

【HUST】信息系统安全:系统调用介入作业,安全策略制定，编写简单的64位ret2libc攻击程序

weixin_45695828的博客

05-21

1392

本次实验内容：针对第一次作业的代码，利用seccomp方法进行对程序进行约束，使得attacker只能将/tmp/flag的内容，向标准输出（STDOUT ）进行输出，且只能输出 32 bytes的内容。要求： 1. 实现上述约束方法； 2. 通过attack，验证上述约束方法的效果，attack包括：1）调用system函数创建shell（或直接调用execve，或调用其它系统调用）；2）向其它目标输出内容（如：STDERR）、输出长度调整（超过32 bytes）。虽然说...

02-linux pwn入门学习到放弃.pdf

09-20

Linux Pwn入门学习到放弃的文档内容主要涉及Linux系统下Pwn基础、保护机制、漏洞分析和常用工具集合等知识。Pwn在这里指的是黑客利用漏洞获取系统权限的技术，字面意思为“拥有”，在游戏对战中取得优势。首先，...

【pwn】学pwn日记（栈学习）（随缘更新）

woodwhale的博客

08-04

5436

【pwn】学pwn日记（持续更新）前言从8.2开始系统性学习pwn，在此之前，学习了部分汇编指令以及32位c语言程序的堆栈图及函数调用。文章中的部分图片来自于教学视频学习视频链接：XMCVE 2020 CTF Pwn入门课程、【星盟安全】PWN系列教程（持续更新）学习文章链接： CTF Wiki elf文件未初始化的全局变量glb，编译出来在内存中bss中初始化的全局变量str（没有被修改过），编译出来在内存中data 而hello world在text段中 main和sum

PWN学习

csdn159357258456的博客

03-24

392

在程序运行过程中，堆可以提供动态分配的内存，允许程序申请大小未知的内存。堆其实就是程序虚拟地址空间的一块连续的线性区域，它由低地址向高地址方向增长。我们一般称管理堆的那部分程序为堆管理器。响应用户的申请内存请求，向操作系统申请内存，然后将其返回给用户程序。同时，为了保持内存管理的高效性，内核一般都会预先分配很大的一块连续的内存，然后让堆管理器通过某种算法管理这块内存。只有当出现了堆空间不足的情况，堆管理器才会再次与操作系统进行交互。管理用户所释放的内存。

PWN 学习—某平台ROP2 writeup

SNAKEのBlog

08-01

484

64位栈帧学习 writeup 本能反应 RELRO：RELRO会有Partial RELRO和FULL RELRO，如果开启FULL RELRO，意味着我们无法修改got表 Stack：如果栈中开启Canary found，那么就不能用直接用溢出的方法覆盖栈中返回地址，而且要通过改写指针与局部变量、leak canary、overwrite canary的方法来绕过 NX：NX enabl...

CTF学习日记----攻防世界pwn高手区welpwn

派大星的博客

11-16

579

CTF学习日记----攻防世界pwn高手区welpwn 前言本人CTF菜鸡一枚，今天也是第一次创作博客，今天做了一个ROP链的题目，特地记录一下，如有错误，还请各位大佬批评指正，侵删。题目题目没有任何提示，附件扔进kali看看 64位程序，开启NX保护。对于NX保护，我的理解是NX（DEP）的基本原理是将数据所在内存页标识为不可执行，当程序溢出成功转入shellcode时，程序会尝试在数据页面上执行指令，这时就违反了NX，CPU就不干了，从而不能执行恶意指令。但是我们可以通过其他命令绕过NX保护，

鹏程杯2018 Pwn Writeup

Kaller的博客

12-05

1491

PWN code hash爆破（By：Apeng师傅）：得到wyBTs。这里栈溢出，控制 ret后，“pop rdi ret”用来调用call。 1.leak_libc 把puts的got.plt表用puts函数输出 2.计算偏移，得到system和字符串/bin/sh 3.调用system。 from pwn import * context.log...

linux漏洞分析入门笔记-栈溢出

weixin_30471561的博客

12-10

265

ida7.0 ubuntu16.04 lts 0x00:环境配置使用IDA远程调试Linux程序步骤如下： 1. 在进行远程调试之前需要对Linux平台进行一些准备工作。在IDA的安装目录中的dbgsrv文件夹中，选择linux_server或者linux_serverx64复制到需要调试Linux程序所在的目录下。将复制过来的文件赋予执行权限chmod 777 linux_server...

ciscn_2019_c_1 1

qq_41560595的博客

10-06

4417

payload构造此题和之前总结的ret2libc题型相似，但是那个题是32位的，而此题是64位的。因此，payload的构造方式不一样。 payload1 此时的esp正处于函数返回的状态，即从上往下走。在64位中，有rdi,rsi,rdx,rcx,r8,r9几个寄存器保存参数。当esp指向pop rdi ;ret时，rip指向puts_got，puts_got所保存的真实地址就能弹到rdi上。以上是准备参数。再往下就是是固定格式“函数地址+返回地址+参数”的体现：利用puts_plt作为函数地

PWN入门之通用gadgets

weixin_44681716的博客

04-09

2926

实验目的针对一些程序运行时的初始化函数（如加载libc.so的初始化函数），提取一些通用的gadgets，从而更利于我们继续ROP操作。实验文件这次实验的可执行文件文件通过我们自己编译一个程序产生，为了降低实验的难度，我们在进行编译的时候，关闭栈保护和数据执行保护（DEP）。 ...

NX 栈不可执行的绕过方式--ROP链

weixin_30265103的博客

04-22

788

目标程序下载提取码：5o0a 环境:Ubuntu linux 工具 pwn-gdb pwntools python库 ROPgadget ( 这些工具可以到github官网找) 1.检查程序开了哪些安全机制 checksec 检查保护机制 Arch: amd64-64-little RELRO: No RELRO Sta...

7.pwn入门新手练习NX 栈不可执行的绕过方式--ROP链

qiudalaojiao的博客

02-18

1046

文件地址提取码5o0a 我们先看看它开了那些保护看到了只开了nx 漏洞很明显可以看到 buf 这个字符串数组只有0x80的大小,但是却可以 read 0x200 个字节多出来的 0x200-0x80 就会造成溢出 32位程序默认调用函数的方式为先将参数压入栈中,靠近call指令的是第一个参数而64位程序默认调用函数的方式则不同 RDI 中存放第1个参数 RSI 中存放第2个参数 RD...

英飞凌TC264学习PWN

10-18

如果你想学习PWN技术，可以从以下几个方面入手： 1. 学习汇编语言和C语言编程基础，了解程序运行原理和常见漏洞类型； 2. 学习逆向工程技术，掌握反汇编、调试等工具的使用； 3. 学习常见的漏洞挖掘技术，如栈溢出...