Pwn入门笔记(五)ROP

最新推荐文章于 2024-10-28 20:04:54 发布
原创 最新推荐文章于 2024-10-28 20:04:54 发布 · 957 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文对比介绍了32位和64位程序中的Return Oriented Programming (ROP)技术。在32位程序中,通过在返回地址上写入函数PLT地址实现跳转,参数在栈上。而在64位程序中,参数由寄存器存储,通过poprdi指令修改rdi寄存器并调用函数。文中还提到了利用ROPgadget工具寻找相关gadgets的方法,并展示了如何构造payload。

ROP

32位的ROP

这个在栈基础中提到过,此处写出是为了和64位的形成对比。通过在返回地址上写上函数PLT的地址来实现跳转到函数,调用函数时压入参数后会压入eip(返回地址),然后32位程序参数在栈上,所以结构如下图:

栈底-高地址->c
b
a
实际调用函数中的返回地址eipdddd
原返回地址(r)system的plt表地址
原ebp (s)aaaa
aaaaaaaaaaaaaaa…
栈顶-低地址->

system的参数为a处,所以构造为

payload = flat([cyclic(0xn),p32(system_addr),cyclic(0x4),p32(binsh_addr)])

64位的ROP

而在64位程序中,参数由rdi,rsi,rdx,rcx,r8,r9来寄存前六个参数,多的才会存放到栈上,而当我们执行汇编指令pop rdi时,就会将栈顶的值赋给赋给rdi,所以只需要我们将我们需要修改的参数值写在pop rdi上面(靠近栈底的方向),再加上函数,即可实现给rdi赋值并且调用函数使用这个值。

栈底-高地址->
函数地址
参数
原返回地址(r)pop rdi;ret的地址
原rbp (s)aaaaaaaa
aaaaaaaaaaaaaaa…
栈顶-低地址->

在虚拟机中有工具ROPgadget可以直接进行搜索,如下图
在这里插入图片描述在图中搜索的是$0,这个在linux中相当于/bin/sh
也就是system("$0") == system("/bin/sh")

ROPgadget --binary 文件名 | grep '需要的汇编指令'

ROPgadget --binary 文件名 --string '\字符串'

即构造为

flat([cyclic(0xn),p64(pop_rdi_addr),p64(binsh_addr),p64(system_addr)])
Pwn 学习 question_5 x64ROP编程
MrTreebook的博客
04-30 719
Pwn 学习 question_5 x64ROP编程1.源代码2.编译x86x643.x863.1.确定溢出量3.2.布栈3.2.1.第一次溢出3.2.2.计算libc_base3.2.3.第二次溢出3.3.exp4.x644.1.确定溢出量4.2.布栈4.2.1.第一次布栈4.2.2.计算偏移4.2.3.第二次布栈4.3.exp 1.源代码 #include<stdio.h> #include<stdlib.h> #include<unistd.h> int dofun
CTFWIKI-PWN-ret2libc
m0_64180167的博客
04-20 1429
一遍我们只能找到got表的泄露 我们要写入的话就要重新执行一下 所以等等通过把start的地址存入返回地址 让程序执行两次。puts函数的真实地址 和 通过LibcSearcher工具得到的偏移量 就可以计算出每个函数的基地址。这里有一个问题 为什么我们需要找到开始的地址 _start表示程序开始的地址。如果我们无法找到system的plt地址 那我们就无法调用system函数。不是地址不会变 是函数和puts真实地址的之间的链接是不会变的。所以我们只要使用puts函数的真实地址 求出他们之间的链接。
pwn栈溢出2
Innocence_0的博客
11-03 165
(英语:Return-Oriented Programming,缩写:ROP)是计算机安全中的一种,该技术允许攻击者在程序启用了安全保护技术(如堆栈不可执行)的情况下控制程序执行流,执行恶意代码。其核心思想是通过栈溢出等方式控制堆栈调用,以劫持程序控制流并执行针对性的机器语言指令序列(称为所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。F5反汇编checksec 查看信息计算padding查找gadgets。
rop链攻击实例
dszfzzm的博客
12-13 1433
rop32和rop64的个人解题思路,以及一点思考。
栈迁移之变相增加溢出长度(pwn入门
2402_83422357的博客
06-27 1181
如果说,不给我们打印rsp也就是栈的地址呢,那我们怎么做?我们可以把栈空间迁移到另外一部分可读可写(rw)的空间里面去操作呀比如说哪些内容可读可写呢?.bss段就是常见的一个空间我们就可以把栈迁移到.bss段去迁移方式的话还是可以利用这个leave指令去操作,但是需要结合read函数了(输入函数)原理和本质还是一样。
Linux pwn入门教程(3)——ROP技术
xiaoi123的博客
07-10 7953
作者:Tangerine@SAINTSEC原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html0×00 背景在上一篇教程的《shellcode的变形》一节中,我们提到过内存页的RWX三种属性。显然,如果某一页内存没有可写(W)属性,我们就无法向里面写入代码,如果没有可执行(X)属性,写入到内存页中的shellcode就无法执行。关于这个特性的实验在...
CTF中pwn入门指南
热门推荐
菜的只能随便写写博客
09-13 3万+
CTF中pwn入门指南 pwn简介: CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就需要对程序进行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。   接下来介绍相关的学习思路(自己总结的,当作参考) 0x01 基础知识准备   pwn相对于web,更需要专业的技能和知识,最主要的是要学会如何分析程序,这就需要有足够的准备 c语言 汇编语言...
【我的 PWN 学习手札】setcontext + ROP
最新发布
Mr_Fmnwon的博客
10-28 1652
setcontext的gadget能够“恢复上下文”,即设置寄存器的值。除了可以利用其执行shellcode,还可以实现ROP来getshell。本篇介绍了利用setcontext+ROP的方法,ORW地打印flag信息。
PWN入门系列(2)ROP
小心信科理化声
12-03 900
PWN入门系列(2)ROP 基本ROP 在上一篇博客中我们介绍了在ELF文件经过checksec查看保护措施后,有一个叫做NX的保护措施,即数据执行保护,在此保护措施开启后,很难直接向栈或者堆上直接注入代码,所以攻击者得想办法绕过NX的保护机制,而ROP(Return Oriented Programming)就是主要的绕过措施,主要的思想是在栈缓冲溢出的基础上,利用程序中已经有的小片段,也被称作(gadgets)来改变某些寄存器或者变量的值,进而达到控制程序的执行流程。那么什么是gadgets呢? gad
PWN工具之Pwntools
CYXMDTT的博客
03-25 5648
pwntools是一个Python库,用于编写和利用漏洞利用工具和exploit代码。该库提供了许多功能,包括远程连接、二进制文件解析、shellcode生成、ROP链构建、GDB集成等,使渗透测试人员和安全研究人员更容易编写和测试漏洞利用代码。它是CTF竞赛和漏洞利用开发中广泛使用的工具之一。安装pwntools有多种方法,其中最简单的方法是使用pip包管理器。可以按照以下步骤安装pwntools。1:确认你已安装Python和pip。如果你还没有安装,先安装Python和pip。
Pwn学习-ret2libc三联
cdl10000的博客
11-05 596
正常请求ebp要ret至main函数,因此把此间的变量覆盖成其他的函数地址。此处调试过程需要注意,输入的位置是gets函数,要继续调试至main函数再查看stack,计算此时的偏移量,偏移量为112。此题目与上一题最大的区别就是没有/bin/sh,那么结合攻击思路,需要写一个/bin/sh进去执行。调试过程中有坑,需要一个地址能够写进程序,使用IDA调试,发现buf2函数可以写入。继续跟进调试,直至ret至下个main函数,再查看stack。思路一样,减少找函数的过程,提升解题效率。
PWN_新手学习内容
mi_qianfeng的博客
08-03 928
一,程序执行以及栈的调用 1,基本程序调用过程 取数 运算 条件 控制 2,函数调用过程 压参数栈 call目标函数:push %rip, jmp 保存状态 压栈局部变量 ret:pop %rsp,jmp 3,函数调用中的链接plt和got表 延迟链接:初次调用时会比较麻烦 jmp plt jmp got jmp plt push x jmp plt[0] call resolve push , jmp ..................
64位ROP(level5)
weixin_44642009的博客
04-06 1691
64位ROP 开始接触的ROP都是针对于32位,和64位的比起来,主要是编址以及函数传参的方式不一样,32位的传参是直接将其压入栈中,我们便可以通过覆盖返回地址的方法,对函数的跳转进行控制而达到我们的目的,而64位的传参首先是使用六个寄存器,其次更多的参数压入栈中,其参数存放寄存器的顺序依次是rdirdirdi,rsirsirsi,rdxrdxrdx,rcxrcxrcx,r8dr8dr8d,r9d...
Pwn入门笔记(四)canary初识
qq_33590156的博客
11-26 2065
Leak Canary Canary1 wp 什么是canary呢,就是在程序进行输入前会生成一个随机数(每一次执行程序这个数都不一样),格式为“0x…00”,在ida中是这样的 画圈的地方就是生成了canary值赋给v4,最后一行将v4和之前的值取异或,之后return将这个值返回。 题目逻辑很简单,就是两次输入输出,很明显格式化字符串漏洞。然后还有个函数叫getshell,这就是我们要执行的system函数,思路就清晰了,先用格式化字符串漏洞打印canary的值,然后栈溢出获取shell。 那么在栈上他
pwn学习——ret2libc1
MrTreebook的博客
11-28 1468
pwn学习——ret2libc11.看一下程序的保护2.看一下main函数有没有溢出3.ROPgadget4.exp 1.看一下程序的保护 ➜ ret2libc1 checksec ret2libc1 Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 2.看一
Pwn基础学习1-[栈溢出]/篇2
m0_52343643的博客
03-29 2605
继上一篇的内容 题目3-ret2syscall 定义 控制程序执行系统调用 原理 不同于之前的 ret2text 和 ret2shellcode 题型,系统调用并不是执行程序中现有的代码或自己写进去的代码,其实就如其字面意思,系统调用就是我们让系统来调用一些函数,那么如何做到让系统来调用,需要满足以下几个条件: 某函数的系统调用号【系统调用号表】—— 放在寄存器 eax 需传入某函数的参数 —— 放在寄存器 ebx、ecx、edx 一个指令 —— int 0x80 int 0x80(软中断)
PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))
Mr_Fmnwon的博客
05-31 6487
pwn题中要通过system/excute等返回shell,进而cat flag。今天遇到一题,参数$(0)也可返回,有必要记录一下。
pwn()
小明的小书包Ya
10-04 2657
pwn() 简单的溢出利用方法 程序没有开启任何保护 方法一:寻找程序中system的函数,再布局栈空间,最后成功调用system('/bin/sh') 方法二:将我们的shellcode写入bss段,然后用elf.bss()来获取bss段地址,从而程序流向到我们的shellcode 这里不用具体程序分析了,把payload分别写上 方法一:payload = 'a' * offset...
2017湖湘杯pwn200_wp_格式化字符串漏洞
aptx4869_li的博客
01-02 1698
本文是格式化字符串漏洞的利用,题目为2017年湖湘杯pwn200,题目文件 链接:https://pan.baidu.com/s/1geZAemZ 密码:b51f 0x0001 看文件类型为elf文件,用  binwalk  查看一下: 一个32位的文件,用IDA看看: main函数: sub_80485CD()
xctf攻防世界pwn基础题解(新手食用)
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值