原创

: pwn学习记录笔记

pwn学习记录笔记

转自知乎大神 —— 手把手教你栈溢出从入门到放弃

基础4方法

修改返回地址,让其指向溢出数据中的一段指令(shellcode)
修改返回地址,让其指向内存中已有的某个函数(return2libc)
修改返回地址,让其指向内存中已有的一段指令(ROP)
修改某个被调用函数的地址,让其指向另一个函数(hijack GOT)

修改返回地址,让其指向溢出数据中的一段指令(shellcode)

payload : padding1 + address of shellcode + padding2 + shellcode
在这里插入图片描述
在这里插入图片描述会有一些权限的问题

而下面的两种方法就可以解决权限的问题
就是

修改返回地址,让其指向内存中已有的某个函数(return2libc)

修改返回地址,让其指向内存中已有的一段指令(ROP)

Return2libc

修改返回地址,让其指向内存中已有的某个函数
重点是找到系统级指令
payload: padding1 + address of system() + padding2 + address of “/bin/sh”

在这里插入图片描述
一些系统级的函数(例如 system() 等)

调用 system() 函数打开 shell 的完整形式为 system(“/bin/sh”)

ROP ( Return Oriented Programming )

目标函数在内存内无法找到,有时目标操作并没有特定的函数可以完美适配。这时就需要在内存中寻找多个指令片段,拼凑出一系列操作来达成目的。

payload : padding + address of gadget
在这里插入图片描述

payload : padding + address of gadget 1 + address of gadget 2 + …
address of gadget n
在这里插入图片描述

Hijack GOT

--修改某个被调用函数的地址,让其指向另一个函数