X64之ROP

X64架构下的栈溢出与ROP技术解析
最新推荐文章于 2024-04-12 17:43:00 发布
原创 最新推荐文章于 2024-04-12 17:43:00 发布 · 748 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文详细介绍了X64架构下利用栈溢出漏洞构造ROP链以获取shell的过程。通过分析程序,找到栈溢出点,然后利用gadget(如pop rdi ; ret)设置参数,通过相对偏移计算获取system和/bin/sh的地址,最终实现getshell。文章强调了X64与X86在传参规则上的区别,并展示了构造payload的脚本步骤。 
   实验步骤:

  1. 首先拿到文件先看看有没有什么栈保护在这里插入图片描述
    因为在生成文件的时候我们就已经关掉了地址随机化,所以这里并没有什么栈保护

  2. 将文件拖入IDA中进行反编译,然后静态分析

在这里插入图片描述
这里有先写入hello world ,然后又进入了vulnerable_function函数,我们进入函数看看
在这里插入图片描述

我们发现用到了read函数,这里用到的是rbp定位,而它读了200个,实际rbp到ret只有(80+8)h的空间,很显然存在栈溢出漏洞,那我们下面要做的和以往一样,泄露system和bin_sh地址,然后通过ROP链getshell

  1. x64与x86的区别 因为64位程序的传参规则变了,所以我们的rop也要进行相应变动。
    在原来的32位程序中我们会直接将目标函数的入口地址和相应的参数放在payload中,最后进行rop时,参数是根据与ebp的相对位置来进行确定的。
    而在64位程序中,我们不仅要将目标函数的入口地址和相应参数放在payload中,同时还要插入一些gadget,将参数放入相应的寄存器中,从而达到传参的目的。
最低0.47元/天 解锁文章
贾志金
关注
Pwn 学习 question_5 x64ROP编程
MrTreebook的博客
04-30 681
Pwn 学习 question_5 x64ROP编程1.源代码2.编译x86x643.x863.1.确定溢出量3.2.布栈3.2.1.第一次溢出3.2.2.计算libc_base3.2.3.第二次溢出3.3.exp4.x644.1.确定溢出量4.2.布栈4.2.1.第一次布栈4.2.2.计算偏移4.2.3.第二次布栈4.3.exp 1.源代码 #include<stdio.h> #include<stdlib.h> #include<unistd.h> int dofun
【逆向学习记录】学习《一步一步学ROP_x64
卦星的专栏
01-12 1175
1.概述 通过前面几篇文章,基本上搞定了x86的漏洞原理,针对x64的还需要进一步学习,依然利用最经典的当属蒸米大神的一步一步教学系列 一步一步学ROP之linux_x64篇 – 蒸米 环境:ubuntu 16.04 2.linux x86与x64的区别 这里引用一下上面文章中的语言: linux_64与linux_86的区别主要有两点: 1.首先是内存地址的范围由32位变成了64位。但是可以使用...
rop x64分析记录
inquisiter
12-30 682
rop x64分析记录##!c #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <dlfcn.h>void systemaddr() { void* handle = dlopen("libc.so.6", RTLD_LAZY); printf("%p\n",dlsym(handle,"syste
蒸米ROP_X64学习总结
Gtooler的博客
10-09 2108
X86与X64 x86中参数都是存在栈上,但在x64中的前六个参数依次存在RDI,RSI,RDX,RCX,R8、R9中,如果还有更多的参数的话才会存在栈上 level3(ROP简单绕过NX) 发现有栈溢出 找到system(/bin/sh) 把这个函数写入栈中就ok了 exp如下 #!/usr/bin/env python3 from pwn import * p = process("./level3") payload = b"a" * 136 + p64(0x0000000000400584)
RCTF 2015 welpwn [ROP] [x64通用gadgets]
ACdream
01-26 872
先checksec一下: 漏洞点其实蛮好找的:程序里也没几个函数 main函数中read了一个字符串,然后当成参数传递给了echo函数 在echo中的函数的接收buffer长度仅仅为0x10,而且是一个一个字符赋值的,栈缓冲区溢出漏洞,0x10 + 0x8 = 0x18个填充 控制了ESP之后,程序开启了NX,一定想到的是ROP 这里的基础知识是: http:/...
【How2Pwn】DreamHack x64下的ROP问题
Jeongon的博客
09-04 1030
Pwn中的ROP问题演示
64位ROP(level5)
weixin_44642009的博客
04-06 1653
64位ROP 开始接触的ROP都是针对于32位,和64位的比起来,主要是编址以及函数传参的方式不一样,32位的传参是直接将其压入栈中,我们便可以通过覆盖返回地址的方法,对函数的跳转进行控制而达到我们的目的,而64位的传参首先是使用六个寄存器,其次更多的参数压入栈中,其参数存放寄存器的顺序依次是rdirdirdi,rsirsirsi,rdxrdxrdx,rcxrcxrcx,r8dr8dr8d,r9d...
一步一步学 ROP 之 linux_x64 篇-level5
weixin_43489686的博客
02-02 1695
这道题是来自蒸米的一步一步学ROP之linux_x64篇中的level5,主要考察的是中级ROP中的__libc_csu_init。 原理 __libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000...
初探ROP
KKABqN
03-16 3746
文章目录0x01 前言0x02 什么是ROP0x03 为什么要ROP0x04 基本ROPret2shellcode含义从原理中解析ret2shellcode从例子中解析ret2shellcode发现利用点确定利用前提调试扩展点ret2text含义从例子中解析ret2text发现利用点确定利用前提调试ret2syscall含义从例子中解析ret2syscall的方法细说系统调用在ret2syscal......
汇编基础-----通过x64dbg了解什么是堆栈
最新发布
a1309525802的博客
04-12 1958
在汇编语言中,堆栈(stack)是一种用于存储临时数据和执行函数调用的内存结构。堆栈是一种后进先出(Last-In-First-Out, LIFO)的数据结构,通常用于保存函数调用的返回地址、局部变量和参数等。ESPRSP理解堆栈在汇编语言中的作用和原理对于理解函数调用、内存管理和程序执行流程非常重要。通过合理地使用堆栈,可以实现高效的函数调用和数据传递,同时避免堆栈溢出等问题。
rop开放平台
04-12
rop开放平台s
python3-pwntools教程_python的pwntools工具的日常使用
weixin_36050894的博客
12-23 1317
1.安装操作系统:ubuntu16.04环境准备:pythonpiplibssl-devlibffi-devpwntools安装:sudo apt-get install libffi-devsudo apt-get install libssl-devsudo apt-get install pythonsudo apt-get install python-pipsudo pip instal...
Windows下x64反汇编参数传递约定,一句话,调用顺序为从左到右, Function( rcx, rdx, r8,r9, [rsp+0x20], [rsp+0x28], [rsp+0x30]..
AppNinja 开发手记
11-09 4914
x64 体系结构是 x86 的向后兼容扩展。 它提供与 x86 相同的旧 32 位模式,以及新的 64 位模式。术语"x64"包括 AMD 64 和 Intel64。 指令集接近相同。x64 将 x86 的 8 个常规用途寄存器扩展为 64 位,并添加了 8 个新的 64 位寄存器。 64 位寄存器的名称以"r"开头,因此例如, eax 的 64 位扩展名为 rax。 新寄存器的名称为 r8 到 r15。每个寄存器的低 32 位、16 位和 8 位可直接在操作数中处理。 这包括寄存器,如 esi,其低 8
rsp rbp 寄存器用途
热门推荐
lyndon
01-08 1万+
其中 rbp 保存的是栈中当前执行函数的基本地址,当前执行函数所有存储在栈上的数据都要靠 rbp 指针加上偏移量来读取; 而 rsp 就是常说的栈指针,它永远指向一个进程的栈顶。
linux内核rop姿势详解,[原创]rop链攻击原理与思路(x86/x64)
weixin_42397925的博客
05-02 1203
rop链的基础原理rop是Return Oriented Programming(面向返回的编程)的缩写;根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:栈顶是返回地址,紧接着是自己的参数(X86架构下);然后,被调用者会对栈空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的栈空间,以使其回到自己被调用前的栈空间,保持栈平衡;最后,被调用者以ret指令结...
一步一步学ROP之linux_x64
weixin_34204057的博客
11-07 434
一步一步学ROP之linux_x64篇 一、序 **ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x86的ROP攻击:《一步一步学ROP之linux_x86篇》,在这次的教程中我们会带来上...
Pwn question_4_2_x64 ROP编程 以及 ropper初使用
MrTreebook的博客
04-23 1366
ROP编程
基于ret2libc3的简单ROP实验
amae_coder的博客
03-26 815
基于ret2libc3的简单ROP实验 实验目的:利用ROP实现getshell 实验背景:对于实验二,我们找到了system函数,可以直接getshell,但是对于很多情况,代码都会设置一些例如NX等的保护,我们无法直接找到system进行getshell,那么我们就需要利用ROP(return oriented programing)来绕过保护进行getshell 实验的原理:对于文件中的函数...
【网络安全Rop绕过DEP和ASRL流程实例介绍
Walter的专栏
09-16 8593
本文主要介绍带DEP防护和ASLR功能的操作系统或软件如何被绕过,从而执行漏洞利用和攻击,其它相关知识领域请自行上网搜索。 1、工具软件 ImmunityDebugger1.85 mona 插件 python 2.7.1 vulnserver win7虚拟机开启所有程序的DEP防护并运行vulnserver,ip 192.168.254.154 kali1.0虚拟机执行攻击脚本,ip
arm64 的 rop 实现C代码
04-01
由于 arm64 架构与 x86 架构不同,因此 ROP 实现的方法也有所不同。以下是一些常见的 arm64 ROP 实现方式的示例代码。 1. 堆栈溢出 堆栈溢出是一种常见的 ROP 实现方式。以下是一个 arm64 程序的示例代码,通过...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值