inndy_rop
ROP-ret2syscall 栈溢出
开了栈堆执行保护,有很多函数应该是静态链接,然后main函数里面有一个overflow,纯粹的小栈溢出。
这道题的思路大概是这样的:通过不断地创造return,跳转,来执行很多语句。
我们的目的是执行一个execv(“/bin/sh”),首先先要塞入/bin/sh,通过read函数来塞入到.bss段,然后再通过execv(.bss_addr)的内容即可.
.bss段有好多空缺的部分啊,随便找个地址吧:bss_addr = 0x080EC010
然后让我们回忆一下这几个参数:首先int 0x80是syscall的作用,第一参数为eax,也就是调用int 0x80对应的函数。例如read是0x03,execv是0x0b
然后read和execv都有三个参数,在系统中,某个函数的第一参数是ebx,第二参数是ecx,第三参数是edx。如果加上int 0x80的用于选择调用系统函数的第一参数的话,上面就分别是第二参数到第四参数了。
我们需要找很多的指令地址,并且他们后面都要有ret才能去下一个地址位置:
通过ropper工具来查找:
分别是:
int080_addr = 0x0806f430
popeax_addr = 0x080b8016
popebx_addr = 0x080481c9
popecx_addr = 0x080de769
popedx_addr = 0x0806ecda
逻辑是:我需要构造一个read(0,bss地址,8)的读取,这段代码的意思是从标准读取(第一参数=0)中读取内容,取8(第三参数=8)个字节,存放到bss地址(第二参数)中。随后再构造一个execv(“/bin/sh”,0,0)函数,类似于system(“/bin/sh”)。具体如exp:
exp:
1 | from pwn import * |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Kanyo’s Blogs!
给我来杯咖啡
个人微信
相关推荐
2025-07-25
jarvisoj_level1
ROP-ret2syscall,栈溢出 https://buuoj.cn/challenges#jarvisoj_level2_x64 checksec 保护全关,32位系统。其中一开始会输出buf的地址 这个逻辑很简单,我先输入shellcode,然后栈溢出,返回到栈上的buf地址运行即可。 exp: 12345678910111213141516171819from pwn import *context(log_level = 'debug', arch = 'i386', os = 'linux')ip='ip_addr'port=1111file_addr = './jarvisoj_level1'# p = remote(ip,port)p = process(file_addr)elf = ELF(file_addr)buf_addr = int(p.recvline()[len("What's this:")+2:-2],16...
2025-07-25
jarvisoj_level2
ROP-ret2text,栈溢出 https://buuoj.cn/challenges#jarvisoj_level2 首先checksec一下: 32位,有栈堆不可执行。 main函数调用了system函数,说明我们可以知道system函数的地址,找一下: system_addr = 0x08048320 再看一下main函数中调用的另外一个函数vulnerable_function() 非常明显的栈溢出。 回忆一下栈帧结构: 在这里,我们首先溢出覆盖vulnerable_function()函数的返回地址,将返回地址修改成system函数,然后再往system函数里面塞入参数“/bin/sh”即可。 在system函数的栈帧结构是这样的:command参数在返回地址的上面,所以我们的payload的构造思路是这样的: 然后还需要一个参数“/bin/sh”,非常好的是我们不需要自己构造了,在Strings视图里面找到了一个存有此参数的地址,我们直接把这个地址塞进去即可。0x0804A024 exp: 12345678...
2025-07-25
jarvisoj_level2_64
ROP-ret2text,栈溢出 https://buuoj.cn/challenges#jarvisoj_level2_x64 是jarvisoj_level2的64版本。 按照32位的思路,我们找一下system函数和“/bin/sh”即可。 system_addr = 0x00000000004004C0 binsh_str_addr = 0x0000000000600A90 这边的buf栈帧变为128了,需要改一下。其他32位中所有的占4字节的都变成8字节例如saved registers。 然后,在64位里面,所谓的“形式参数”不再是存储在栈中而是存储在了rdi里面。如图中鼠标指出的所示(因为byd每次截图都截不到只能用手机拍了) 所以我们要把0x0000000000600A90传递给rdi才行。 通过ropper很轻松就能找到这行数据。并且后面还有一个ret我们刚好可以用到。 其payload构造思路也变成了: 整个流程就是:先调用pop rdi,在rdi里面塞入/bin/sh的值,随后需要一个ret地址,塞入s...
2025-07-25
[NewStarCTF 2023 公开赛道]shell code revenge
特殊shellcode https://buuoj.cn/challenges#[NewStarCTF%202023%20%E5%85%AC%E5%BC%80%E8%B5%9B%E9%81%93]shellcode%20revenge 这道题有点像我之前做过的mrctf的shellcode的revenge。不过范围不一样。 大概看一下,把所有的大写字母和数字都排除在外了,意思是只要输入大写字母和数字就不会被break——跳出。 所以我们要创造一个只有大写字母和数字的shellcode? 然后我也懒得checksec了,而且用的是rsp——也就是64位。开了一些保护啥的,反正jumpout到的66660000h这个地址在上面的mmap里面写入了权限’7’(第三参数),也就是可读可写可执行。 整个代码的逻辑是:出现Show me your magic之后,进入一个for循环,for循环一开始会有一个read让我们输入数据,因为是一个char类型指针buf,每次读取一个值。然后下面的strncpy()会把我们一个一个输入的buf存到src里面的src复制到我们的0x6666000...
2025-07-25
ciscn_2019_s_9
Shellcode 栈溢出 https://buuoj.cn/challenges#ciscn_2019_s_9 首先checksec一下,看一下大概内容: IDA打开之后,发现有一个后门函数hint,逻辑如下: 使用此函数的时候,执行esp里面的内容(使用了jmp),我们不需要这些上面什么乱七八糟的东西,我们只需要.text里面的0x08048554的jmp esp就行了。先记下来这是我们可以利用的漏洞。 然后这里是程序唯一一个输入口,也就是说大概率这里有漏洞: 他首先可以让我输入32h的内容,不过通过伪C代码(其实汇编也能看到),这个字符串的长度只有24。也就是说可以构造栈溢出,这个就很简单了。那么我现在构造含有shellcode这样的一个payload: 所以说,大概代码如下: 12345678910111213141516171819202122from pwn import*context(log_level = 'debug', arch = 'i386', os = 'linux')p = re...
2025-07-25
mrctf2020_shellcode
类型:pwn、shellcode https://buuoj.cn/challenges#mrctf2020_shellcode 首先检查文件 大概了解情况之后,根据题目标题,我大概知道是shellcode,然后打开IDA查看一下代码长啥样。 一整个流程是这样的,然后F5也没有办法正常反编译成伪C。 整个使用流程大概如此。 再回到汇编,在输出之后可以让我读取值。因为call了read函数 123456#include <unistd.h>ssize_t read(int fd, void *buf, size_t count);//其中,fd是文件描述符//buf是指向数据将被读取的缓冲区的指针//而count是期望读取的字节数//当调用read函数时,它会尝试从fd指向的文件中读取count个字节的数据到buf所指向的内存中。如果读取成功,函数返回实际读取到的字节数;如果读取到文件末尾或没有可读取的数据,函数返回0;如果发生错误,则返回-1,并将错误代码存入errno中。 这边题目给了不少备注,在程序的一开始用了一个buf什么-410h,这个就是rb...
