喵喵喵喵

有用的ROP技巧__libc_csu_init 从stack中将值加载到寄存器的通用gadget x86和x86_64中都存在，x86_64中这个会很方便 经常找不到pop rdi; ret这类，我们可以通过这种方式设置rdi 可以从stack经过r13设置rdi的值，但是需要注意只能设置32位，因为这里是edi而不是rdi alarm(x) 在x86/x64中，想要通过ROP... 続きを読む…

至今为止都是调用system(“/bin/sh”)的攻略方式 system()超甜 接下来在chroot环境下运行level2 system()隐式调用”/bin/sh” 调用system(command)时，内部是这样 execve(“/bin/sh”, &[“-c”, command, NULL], envp) 这意味着，chroot环境下，调用system会失败 需要... 続きを読む…

ROP区域较小的情况 改变read的size 256字节 -> 160字节 限制写入size1$ xxd -p ropasaurusrex | sed -e 's/c744240800010000/c7442408a0000000/' | xxd -r -p > ropasaurusrex2 确认123456789$ diff &... 続きを読む…

Plaid CTF 2013 - pwn200 – ropasaurusrex 根据难度可以分成Level 1 ～ 5 Level 1(原始二进制)会详细讲解 后面的难度自行探索 ropasaurusrex攻略(Level 1)查看x86二进制文件文件可以在这里下载： http://shell-storm.org/repo/CTF/PlaidCTF-2013/Pwnable/ropasau... 続きを読む…

ROP的问题点ROP需要一个较大的溢出缓冲区 因为只包含一些细分的小指令，要发送的数据不可避免的增加 如果在srack返回地址下没有较大的溢出，就会很糟糕 如果没有足够的溢出缓冲区该怎么办？ stack pivot 溢出量问题绕过 - stack pivot stack pivot 使用ret2plt等将后续ROP加载到bss(适当区域) 通过pop ebp; ret来调整... 続きを読む…

ASLR绕过 - 方式2在ASLR中，并非所有地址都是随机的 也可以利用.text区域 NX+ASLR绕过2 - ROPROP(Return Oriented Programming) 狭义：想要执行的代码细分后在.text区域搜索合并 RX权限，即能够执行的只有.text区域，因此想办法使用.text区域 广义：除了狭义的ROP之外，也包括ret2plt/ret2libc之类的... 続きを読む…

ret2libc对策 – ASLRASLR(Address Space Layout Randomization) 主要是地址随机化 现代Linux内核中默认开启 ret2libc成功的原因是，libc之类的读取地址是固定的 因此如果每次运行时，libc之类的地址随机，是一个比较好的方式 miao# echo 2 > /proc/sys/kernel/randomize_va_... 続きを読む…

ret2plt链的问题点 如果想要使用的函数不在PLT中，则无法构成链 ret2libc img 绕过NX2 - ret2libc想要使用的函数不在PLT时，应该怎么办？ 源代码... 続きを読む…

下载源码包https://www.openwall.com/php_mt_seed/php_mt_seed-4.0.tar.gz 编译直接编译会报错，缺少openmp 可以去掉这... 続きを読む…

PLT与GOTPLT(Procedure Linkage Table)与GOT(Global Offset Table) ELF文件调用库函数时，存在PLT入口和GOT入口 注意，静态链接库没有这些 是一种在libc.so等动态查找外部函数地址的机制 PLT解析外部地址，之后保存(缓存)在GOT中 如果有PLT入口，就可以在不知道函数实际地址的情况下去调用它 PLT作为代理跳... 続きを読む…