高级栈溢出技术—ROP实战(split)

最新推荐文章于 2025-04-23 13:57:00 发布
原创 最新推荐文章于 2025-04-23 13:57:00 发布 · 773 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文详细介绍了返回导向编程(ROP)的概念和在实际安全攻防中的应用。通过一个名为'split'的实战题目,讲解了如何利用radare2、gdb、ROPGadget和pwntools进行ROP利用技术的学习,包括分析汇编、查找gadget、构造exploit等步骤,最终实现通过溢出栈来执行特定指令并获取flag。

目录

预备知识

关于ROP

ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。
ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。

本系列rop实战题目的背景

来自ROPEmporium,旨在通过解决一系列挑战来一步步进阶学习ROP利用技术。

split涉及知识点

1)radare2使用(相关专栏:radare2实战)。
2)汇编程序(阅读、分析,要求熟悉相关指令、寄存器等)。
3)gdb使用。
4)ROPGadget使用。
5)pwntools使用(相关实验:基于pwntools编写pwn代码)。

实验目的

通过该实验学习ROP概念及其思路,了解高级栈溢出时需要注意的事项,并掌握解决方法,同时通过练习给出的关卡来增强实践能力。

实验环境

服务器:kali,IP地址:随机分配
题目文件与源码请在实验机内下载使用:http://tools.hetianlab.com/tools/ROP/2.zip

实验步骤一

这一关是split。
先使用file split命令看一下:

最低0.47元/天 解锁文章
二、pwn - 零基础ROP之PIE保护绕过-碰撞
键盘的起始页
04-18 731
本文唯一区别在于,我们不利用vulnerable_function打印的地址,无法定位pie base地址,直接随机碰撞(爆破)~ 有一定比例成功的可能,贴近实战!但是呢,内存溢出后覆盖PC,要么修改2位、4、6、8...位,无法修改3位,又因为arm是小端模式,例如0x6b25741, 在内存中排列为0x41 0x57 0x6b...所以0x70d 是低地址,前面存在1位 未知的数值,在1-F (16进制)之间,可能是0x170d、也可能是0x270d、0x370d...0xf70d。
Linux radare2反汇编引擎使用
qq_42931917的博客
10-28 4292
radare使用入门
一个栈溢出问题
lvzhyt的专栏
02-16 750
/* * To change this template, choose Tools | Templates * and open the template in the editor. */package test;import java.io.BufferedReader;import java.io.File;import java.io.FileNotFoundException;
BUU刷题 ROPgadget直接拼凑,off by one,overlapping,fastbin attack uaf system参数截断 data段覆盖指针
carol2358的博客
06-27 821
考完了,我活了。 这题ida里看着特别复杂,但其实就一个gets 静态编译: ida看起来特复杂,就是静态编译的结果。静态编译就不会调用libc中的东西,所以我们也不存在泄露版本利用libc的函数了。 https://www.cnblogs.com/bhxdn/p/12347296.html 直接 ROPgadget --binary rop --ropchain from pwn import * from struct import pack #r = process('./inndy_rop
rop [ 一] 栈溢出和简单ROP思路
令则
02-02 3558
ROP ROP即返回导向的编程 我认为就是不断的去思考代码的作用和计算位置,调试中一步步确定下的代码,这样的手段用于在一个已经成型的程序上调试并写出利用代码,是一种攻击技术 这一篇是结合经典文档:《蒸米的一步步学ROP》自己的笔记 排布首先是栈溢出的简述,然后就是按照攻击的思路去划分出的知识框架。 文章目录ROP栈溢出栈帧:程序运行流程漏洞利用修改ret后门函数ELF中查找函数参数传递32...
栈溢出与递归优化
锋利的绵羊的博客
02-25 533
关于栈溢出错误 函数调用会在内存形成一个 调用记录,又称 调用帧(call frame),保存调用位置和内部变量等信息,所有的调用帧存放在调用堆栈中。 在函数中调用函数会保存之前的调用栈数据,将新的调用帧入栈。 栈溢出错误常见于递归操作,函数不断地重复调用自身导致调用堆栈不断堆叠,在超出浏览器限制的调用堆栈大小时抛出栈溢出错误 Uncaught RangeError: Maximum call stack size exceeded 递归优化 以阶乘函数为例: function factorial(n) {
探秘r2dec-js:高性能的反汇编器与C代码转换工具
gitblog_00047的博客
05-21 780
探秘r2dec-js:高性能的反汇编器与C代码转换工具 去发现同类优质开源项目:https://gitcode.com/ 1、项目介绍 r2dec-js是一款强大的开源工具,它将汇编语言转换为伪C代码,使得程序理解变得更加容易。通过集成在radare2框架中,它能够支持多种架构,包括x86/x64, ARM, MIPS, AVR等,并提供了实验性支持对WebAssembly和一些经典的嵌入式处理...
栈溢出导致崩溃?ESP32中Stack Canary检测技术实战解析
栈溢出是嵌入式系统中最常见且危害严重的内存安全漏洞之一。当函数调用过程中局部变量越界写入,覆盖了返回地址或关键上下文数据时,程序流将失控,导致不可预测的行为甚至系统崩溃。在无保护机制的裸机或RTOS环境...
动态缓冲区引发写入异常?深度排查栈溢出与堆碎片的4种诊断方法
# 1. 动态缓冲区写入异常的本质与典型表现 动态缓冲区写入异常是内存安全漏洞中最常见且危害严重的类型之一。其本质在于程序向缓冲区写入超出预分配边界的内存,导致相邻数据结构被覆盖,进而引发程序崩溃或任意...
栈溢出无声杀手现身!图像递归调用中Stack Usage可视化分析3法
栈溢出的隐形威胁与递归调用陷阱 在现代软件系统中,堆栈溢出常被视为低级错误,实则隐藏着深层次的设计风险。尤其在高并发、深度计算场景下,递归调用若缺乏控制,极易触达栈空间极限,导致程序崩溃或安全漏洞...
radare2 入门与反汇编
最新发布
lovely_yoshino的博客
04-23 6522
如果现有的 Linux 原生工具也能做类似的事情,你自然会问为什么需要另一个工具。嗯,这和你用手机做闹钟、做笔记、做相机、听音乐、上网、偶尔打电话和接电话的原因是一样的。以前,使用单独的设备和工具处理这些功能 —— 比如拍照的实体相机,记笔记的小记事本,起床的床头闹钟等等。对用户来说,有一个设备来做多件(但相关的)事情是_方便的_。另外,杀手锏就是独立功能之间的_互操作性_。同样,即使许多 Linux 工具都有特定的用途,但在一个工具中捆绑类似(和更好)的功能是非常有用的。这就是为什么我认为。
一个ARM简单反汇编例子
彪悍的人生不需要解释
11-23 9054
下面是一个简单的函数调用ARM反汇编例子/*C语言源代码*/static int d = 13;char e = 1;char* fun(char a, int b){    char *p = "anhu";    *p = a;    *(p+3) = b;    return p;}int main(void){     char* f = fun(100,200);     *f=c
反汇编知识点总结
宝剑锋从磨砺出,梅花香自苦寒来!
01-31 1041
“水至清则无鱼,人至察则无徒”蕴含了做人的道理,它告诉我们水如果太清了,鱼就无法生存;对别人要求太严格了,就没有伙伴或朋友。所以,我们在为人处事方面如果不是原则性的问题,就不要太较真,那样显得我们太个色,会失去很多朋友或同伴。偶尔“难得糊涂”一次也不错。 今天把我之前反汇编so库或bin文件过程中总结的一些经验分享给大家,其中有些是我总结的,有些是我的同事总结的,我一起做了个汇总,分享出来,希望
CTF-PWN笔记(一)-- 栈溢出 之 基础ROP
CK_0ff的博客
01-09 5982
文章目录栈linux内存布局原理文件保护机制CanaryNXPIE(ASLR)RELRO简单的栈溢出(ret2txt)ret2shellcode 栈 栈是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压栈 (push) 与出栈 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作栈顶,当然,它也有栈底。 高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存
反汇编工具objdump的使用简介
1
03-27 8396
《朱老师物联网大讲堂》学习笔记 学习网站:www.zhulaoshi.org objdump是我们进行反汇编的工具 还记得Makefile文件吗? led.bin: start.o  arm-linux-ld -Ttext 0x0 -o led.elf $^ 下载烧录执行的bin文件,内部其实是一条一条的指令机器码。这些指令每一条都有一个指令地址,这个地址是连接的时候l
浅析栈溢出遇到的坑及绕过技巧
蚁景网安学院
12-25 1131
0x00前言对于刚开始入门pwn的萌新来说可能会遇到一些坑,这里我就来总结一下我之前做栈溢出的时候遇到的两种坑以及绕过技巧,具体我会通过例题来讲解,希望对此时正在入门的pwn的萌新能带来...
位图的光栅操作及ROP码解析
ChipArtist's Blogs
01-26 5882
位图的光栅操作及ROP码解析(SnowStart于2005年3月22日)位图是windows图形编程中非常重要的一个方面。在进行普通的位图操作中,如GDI函数BitBlt,StretchBlt, StretchDIBits,都会用到一个光栅操作码,即ROP码,像SRCCOPY,PATPAINT,SRCAND等,由于最近在开发图形驱动,涉及了许多的ROP2,ROP3和ROP4码的操作,对RO
面试官:小伙子你知道几种内存溢出的原因和解决办法
Java圈全能架构师的博客
12-24 1528
内存不足是影响生产中Java(和其他JVM语言)应用程序的最常见问题之一。这篇文章解释了如何识别内存不足的问题,并使用一个小程序演示一些工具,可以用来找出哪些东西在占用你的内存。 内存问题是Java环境中不幸的一部分。如果您在Java虚拟机(JVM)上运行程序,并且没有看到上面所示的错误,那就算幸运了。对于其他人来说,这类问题太常见了,通常通过增加堆大小或尝试JVM开关的随机排列来解决,直到它们消失。 我们倾向于在JVM中看到这类问题,因为它在固定大小的堆中运行,在JVM第一次启动时设置。作为.
ROP实例分析(三)--------------------------实例分析
iDevil7的博客
07-13 1585
实例分析源程序如下IDA分析分析过程首先关注mian函数可以看到程序流程设置定时器打印输出Welcometo RCTF\n清空_bss_start数据流读取用户输入到buff(1024字节)中去调用echo函数,参数为buff然后看子函数echo,该子程序流程如下将用户输入的buff逐字节地拷贝到s2(16字节)中,如果遇到\x00截断于是我们找到了漏洞所在处我们要做的工作就是覆盖返回地址并且构造...
栈溢出利用教程全集:从基础到高级技术
教程内容包括栈溢出基础、ShellCode跳转、SEH利用、Metasploit Exploit编写、调试器应用、DEP绕过(如Cookie、SafeSEH、HWDEP、ASLR)以及Unicode Exploit、Egg Hunting、Shellcode编写入门和ROP技术。教程适合溢出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值