pwn入门(2):ROP攻击的原理,缓冲区溢出漏洞利用(ret2text+ret2shellcode)

最新推荐文章于 2025-09-15 10:36:02 发布
原创 最新推荐文章于 2025-09-15 10:36:02 发布 · 6.8k 阅读 · 55 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络安全 #数据结构

本文介绍了ROP攻击的基本原理,包括利用程序中的gadgets改变执行流程,以及需要满足的条件。讨论了二进制程序的保护机制,如RELRO、StackCanary、ASLR、PIE和NX,并通过ret2text和ret2shellcode两个实例展示了如何利用这些技术进行溢出攻击。文章还提供了利用工具如IDApro、gdb-peda和pwntools进行分析和利用的步骤。

本节将介绍基本的ROP(Return-Oriented Programming,返回导向编程的)的攻击原理、二进制程序的保护机制,并通过两个实例ret2text、ret2shellcode,为读者简介基本的ROP攻击过程。本节所使用的实例可在CTF wiki上进行下载,链接为:基本 ROP - CTF Wiki (ctf-wiki.org)

本节使用的工具包括IDA pro、gdb-peda、pwntools,已在上一篇博客中进行了介绍,详情请见:(58条消息) pwn入门(1):kali配置相关环境(pwntools+gdb+peda)_Bossfrank的博客-优快云博客

ROP攻击原理

ROP的全称为 Return-oriented programming,即返回导向编程,其主要思想是在栈缓冲区溢出的基础上,通过利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。 是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御,比如内存不可执行和代码签名等。ROP攻击执行需要满足如下两个条件:

  • 程序存在溢出点(如C语言的gets等不安全的函数),并且可以控制返回地址。

  • 可以找到满足条件的 gadgets 以及相应 gadgets 的地址(如系统调用相关函数system等)

 简单的将,ROP攻击的思想就是:在栈溢出的基础上,努力去代码段(可执行区域)拼凑出机器指令的片段,完成要执行攻击的逻辑。

二进制程序保护机制

拿到二进制程序后,使用checksec即可查看该程序开启了哪些保护机制,包括以下几种:

RELRO     

全称为Relocation Read-Only,重定位表只读。设置符号重定向表格为只读或在程序启动时就解析并绑 定所有动态符号,从而减少对 GOT 表的攻击。如果 RELRO 为“Partial RELRO”,说明对 GOT 表具有写权限。

Stack Canary

cannary单词本意是“金丝雀”,我的理解这里将该词引申为“标记位置”。函数开始执行时先在栈帧基址 (如 EBP 位置) 附近插入 cookie 信息(标记),当函数返回后验证 cookie 信息是否合法, 如果不合法就停止程序运行。攻击者在执行溢出时,在覆盖返回地址的时候往往也会覆盖 cookie 信息,导致栈保护检查失败从而阻止 shellcode 的执行。

ASLR

全程为Address Space Layout Randomization,地址空间布局随机化。通过对堆、栈、共享库等加载地址随机化,增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置。随机化影响的是程序加载的 基地址,页内偏移不会发生变化。

PIE

全称为Position Independent Executable,地址无关的可执行文件,每次加载程序时都变换 text、 data、bss 等段的加载基地址,使得

最低0.47元/天 解锁文章
PWN基础-ROP技术-ret2syscall突破NX保护
Welcome To Myon'Blog !
05-07 569
我们 ret2syscall 实际还是希望调用 execve,和 ret2shellcode 类似,只是多了堆栈不可执行。后面我们会继续发送内容(/bin/sh)给 read 函数,读取到 bss_addr。我们继续调用 execve,其 32 位系统调用号是 11,即 0xb。没有找到,因此我们后面需要手动将 /bin/sh 写到 bss 段。我们先系统调用 read,其 32 位系统调用号是 3,即 0x3。接下来我们找 /bin/sh 字符串的地址。32 位程序,小端序,开启了 NX 保护。
缓冲区溢出 - ROP 基础
weixin_46099552的博客
10-28 1242
ROP基础
21、深入了解ROP攻击原理、工具与实践
Pepper的专栏
09-02 227
本文深入解析了返回导向编程(ROP攻击原理、常用工具与实践方法。ROP攻击通过利用程序中的代码片段(小工具)绕过DEP/NX和ASLR等安全机制,实现对系统的攻击。文章介绍了ROP的核心思想、攻击构建过程,并通过示例C程序演示了如何使用ROPgadget和MSFrop等工具提取小工具、生成ROP链及编写攻击代码。同时,还探讨了ROP攻击的防御思路,包括增强防护机制、代码审查与修复以及监控与检测。通过本文的学习,读者可以全面了解ROP攻击的技术原理及应对策略。
x86 架构中的内存攻击技术 ROP(一)
个人笔记
04-05 2487
返回导向编程(Return-Oriented Programming,ROP)是一种高级的内存攻击技术,主要是为了绕过操作系统的防御手段 NX。该技术往往利用一些已有的漏洞,特别是缓冲区溢出攻击者控制堆栈调用以劫持程序控制流并执行针对性的机器语言指令序列(gadgets),这些 gadget 组合,就能成功执行我们自己的逻辑。
Return-Oriented Programming (ROP) 攻防对抗:从挑战到现实的漏洞利用演化
fearhacker的专栏
09-15 768
文章摘要: 本文深入剖析了ROP(返回导向编程)技术在二进制安全攻防中的核心应用。通过ROP Emporium的8个实战挑战,系统讲解了从基础返回劫持到复杂栈迁移的进阶技术,包括Gadget构造、参数传递、内存写入、字符绕过等关键技术点。同时分析了ROP对抗现代防护机制(如DEP/NX、ASLR、CFG)的策略,并指出该技术的局限性与防御建议。文章强调ROP是理解软件安全脆弱性的关键,但仅限于合法授权场景下的技术研究。
ROPRet2libc漏洞
qq_67812668的博客
08-12 1268
ROP全称为Return-oriented Programming(返回导向式编程)是一种新型的基于代码复用技术的攻击攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP攻击缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。
Pwn-高阶ROP-[栈溢出]/篇3
m0_52343643的博客
05-11 1586
大概调用过程: 也就是我们这里先调用了write函数的plt表项触发了_dl_runtime_resolve函数(会push linkmap)之后会先到.rel.plt段,通过plt中给的push <偏移>在.rel.plt段中找到偏移处对应函数的重定位表项,再通过该表项的r_info(一个偏移量),找到.dynsym段中对应偏移量函数的符号表项,又通过该符号表项的st_name(也是一个偏移量)在.dynstr段找到对应的字符串,最后就会通过这个字符串(函数名)来调用该函数。
使用ROP攻击技术
热门推荐
海枫的专栏
09-28 3万+
随着64系统广泛应用,原来通过栈控制函数参数的方法已不再适用了,攻击提出ROP攻击,又展开了一场新的较量。
pwn入门(3):缓冲区溢出ROP攻击ret2syscall+ret2libc)
Bossfrank的博客
04-18 1924
本节通过两个实例ret2tsyscall、ret2libc1,非常详细地为读者介绍基本的ROP攻击过程。对函数的调用、传参、返回的过程以及系统调用过程中对寄存器的赋值进行了详细阐释。
CTFpwn:ret2text,mprotece,shellcode,自动化rop
2302_79813730的博客
01-25 1181
text:0000000000401324 75 EA jnz short loc_401310 #对比rbp里的值与rbx里的值,如果相同就继续运行程序,如果不同就返回0x401310。先将栈溢出的返回地址填成0x40132A,将需要的数据依次填入栈顶,依次弹入寄存器中,随后在执行到0x401334,retn返回的时候将返回地址填成0x401310,这样,我们就可以控制edi,rsi,rdx里的值,并调用write函数泄露基址。
PWN · ret2shellcode | “jmp esp“】[i春秋]ret2shellcode
Mr_Fmnwon的博客
10-04 1532
回顾ret2shellcode发现还有很多基础的技巧没有掌握。本题算是一个经典地、通过jmp esp将栈上的shellcode进行执行的题目。一、题目重述通过本例,掌握一个基础而常见的技巧:控制执行流到栈上指定位置开始执行。核心是利用了jmp esp 指令。
计算机系统:Return Oriented Programming(ROP)详解——颠覆传统的攻击方式
m0_72410588的博客
08-31 1925
在计算机领域,随着技术的不断发展,攻击者也在探索新的方式来突破系统的安全防线。其中一种被广泛讨论的攻击方式就是"Return Oriented Programming"(ROP,返回导向编程)。本文将深入探讨ROP原理、应用以及对计算机系统安全的影响。
linux内核rop姿势详解,[原创]rop攻击原理与思路(x86/x64)
weixin_42397925的博客
05-02 1211
rop链的基础原理rop是Return Oriented Programming(面向返回的编程)的缩写;根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:栈顶是返回地址,紧接着是自己的参数(X86架构下);然后,被调用者会对栈空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的栈空间,以使其回到自己被调用前的栈空间,保持栈平衡;最后,被调用者以ret指令结...
pwn-ROP
aitangdao4981的博客
05-23 335
首先对目标文件checksec,提示NX enabled,看看其解释 NX/DEP(堆栈不可执行) NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。 打开qira调试一下,报segmentation fa...
Rop攻击
weixin_34082854的博客
07-03 1819
参考:http://en.wikipedia.org/wiki/Return-oriented_programming Rop全称Return-Oriented Programming,就是对栈上的返回地址进行利用的一种攻击方式。 对于栈的利用经历了几个阶段,都是在“道高一尺,魔高一丈”的正邪较量中不断地升级地。 1. Stack Smashing Attack 简单版本,主要是覆盖返回地址,...
什么是ROP系统攻击
WH的博客
12-17 4096
文章目录ROP系统攻击初步了解寄存器内存管理常见汇编指令再究ROP攻击 ROP系统攻击初步了解 ROP全称为Return-oriented Programming(面向返回的编程)是一种新型的基于代码复用技术的攻击攻击者从已有的库或可执行文件中提取指令片段,构成恶意代码。 ROP的核心思想 (1)攻击者扫描已有的动态链接库和可执行文件,提取出可以利用的指令片段(gadget),这些指令片段均以ret指令结尾,即用ret指令实现指令片段执行流的衔接。 (2)操作系统通过栈来进行函数的调用和返回。函数
ROP系统攻击
weixin_34367845的博客
01-25 797
2019独角兽企业重金招聘Python工程师标准>>> ...
ROP缓冲区溢出利用
小龙在线
09-30 587
32位应用 32位ELF的参数直接放到栈中。 先找到一个EFF程序,用IDA打开F5,发现了fgets缓冲区溢出利用点: 溢出长度为:0x28 + 0x4 = 0x2C。 Shift+F12查找可以利用的字符串: 这俩看着能用: .rodata:08048747 00000008 C /bin/ls .data:0804A030 00000012 C /bin/cat flag.txt usefulString db '/bin/cat flag.txt',0地址0x0804A030,没有被其他函数
PWN-ROP
MuMuLee_的博客
08-27 810
题目:给出PWN2文件和libc 查看: 文件类型及其保护方法 找system和bin_sh都么有 所以只能利用libc文件 思路 计算偏移量=91
ret2shellcoderet2syscall的题目怎么做,ret2system难吗
最新发布
12-10
### ret2shellcode题目的解题方法 ret2shellcode的目标是将一段用于获取系统控制权的机器语言代码(shellcode)放置在内存的某个位置(通常是栈上),然后修改程序的返回地址,使程序返回到shellcode并执行,从而获取系统控制权,通常是开启一个可以执行任意命令的shell[^2]。 依赖条件为向可执行内存写入并执行Shellcode,需要内存可写且可执行(NX关闭)[^4]。 以一个具体例题为例,先用`checksec`查看程序保护机制,若没有开启任何保护机制,且是一个32位的程序,使用IDA分析程序,若发现`gets`函数没有对输入长度做限制,存在溢出,且将输入的值复制到了`buf2`的内存空间里,`buf2`是一块为`64h`字节大小的`.bss`段内的空间,就可以构造如下的Python利用脚本: ```python from pwn import * context.binary = './ret2shellcode' p = process('./ret2shellcode') p.sendline(asm(shellcraft.sh()).ljust(112, 'a') + p32(0x0804A080)) p.interactive() ``` 上述代码中,`asm(shellcraft.sh())`生成了一段执行`/bin/sh`的shellcode,`ljust(112, 'a')`将shellcode填充到112字节,`p32(0x0804A080)`是shellcode所在的地址,最后通过`p.sendline`将构造好的payload发送给程序,`p.interactive()`进入交互模式,获取shell[^5]。 ### ret2syscall题目的解题方法 ret2syscall主要目标是通过控制程序流程,使程序执行系统调用(syscall)指令来获取系统控制权或者执行特定的操作。系统调用是操作系统提供给用户程序的接口,用于请求内核服务[^2]。 依赖条件是构造ROP链触发系统调用,需要足够的Gadgets。 一般步骤为,先使用`checksec`检查程序保护机制,再使用IDA等工具分析程序,找出可用的Gadgets,然后构造ROP链,触发系统调用。例如,要调用`execve("/bin/sh", NULL, NULL)`系统调用,需要找到合适的Gadgets来设置寄存器的值,将`/bin/sh`字符串地址放入`eax`,`NULL`放入`ebx`、`ecx`和`edx`,最后触发`syscall`指令。 ### ret2system的难度分析 ret2system的核心思路是跳转到程序已有的`system`函数,执行`system("/bin/sh")`来获取shell,依赖条件是存在可利用的`system`函数[^4]。 其难度主要取决于程序中是否存在`system`函数以及能否找到`/bin/sh`字符串的地址。如果程序中存在`system`函数和`/bin/sh`字符串,且可以通过溢出漏洞控制程序的返回地址,那么难度相对较低。但如果程序中没有直接的`system`函数,或者`/bin/sh`字符串需要通过其他方式构造或查找,难度就会增加。此外,如果程序开启了较高的保护机制,如PIE、Canary等,也会增加利用的难度。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Boss_frank

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值