ROP初探之ret2text

最新推荐文章于 2024-10-05 18:28:51 发布
原创 最新推荐文章于 2024-10-05 18:28:51 发布 · 810 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #安全 #网络安全 #系统安全

ROP(返回导向编程)是一种高级的利用技术,用于在存在安全防御(如NX保护)的环境中执行代码。攻击者通过缓冲区溢出等手段控制程序调用栈,利用内存中已存在的指令序列(gadgets)来执行任意操作。文章详细介绍了ROP的工作原理、前置条件、分类以及具体利用方式,如ret2shellcode、ret2text等,并通过一个实例展示了如何利用ROP获取shell。

ROP

什么是ROP

ROP即返回导向编程是一种计算机安全利用技术,它允许攻击者在存在诸如可执行空间保护和代码签名等安全防御的情况下执行代码。
在这种技术中,攻击者通过控制调用栈来劫持程序控制流,并执行机器内存中已存在的精心选择的机器指令序列,称为“gadgets”。
每个gadgets通常以返回指令结束,并位于现有程序和/或共享库代码中的子程序内。
这些gadgets串联在一起,允许攻击者在使用阻止更简单攻击的防御的机器上执行任意操作。

ROP的原理

ROP的原理是利用程序内存中已存在的以返回指令结尾的指令序列(gadgets)来控制程序执行流程。攻击者通过缓冲区溢出或其他方式在栈上布置数据,覆盖返回地址为gadgets的地址,从而实现代码注入。ROP可以绕过NX保护,因为它不需要在栈上执行任何新的代码,只需要利用现有的代码。ROP需要精心选择和拼接gadgets,以实现所需的功能。

ROP的前置条件

  1. 需要程序存在缓冲区溢出漏洞。
  2. 需要在程序内存中找到合适的gadgets,即以返回指令结尾的指令序列,可以实现所需的功能。
  3. 需要能够在栈上布置数据,以控制gadgets的执行流程。

ROP的分类

ROP的分类有多种方式,其中一种是根据gadgets的来源和功能进行分类。例如,可以将ROP分为以下几类:

  • 基本ROP:使用程序内存中已存在的gadgets,实现基本的功能,如控制寄存器、调用函数、执行系统调用等。
  • 高级ROP:使用程序内存中不存在的gadgets,通过动态生成或修改代码,实现更复杂的功能,如解密、解压缩、加载库等。
  • 混合ROP:使用程序内存中部分存在的gadgets,结合动态生成或修改代码,实现更灵活和多样的功能,如跳过安全检查、绕过防御机制等。

其中基本ROP的利用方式有:

  • ret2shellcode:将返回地址覆盖为栈或BSS段中存放的shellcode的地址,从而执行shellcode。
  • ret2text:将返回地址覆盖为程序.text段中已有的代码的地址,从而执行程序本身的代码。
  • ret2libc:将返回地址覆盖为libc库中的函数或字符串的地址,从而执行libc库中的代码或调用系统函数。
  • ret2plt:将返回地址覆盖为程序.PLT段中的函数入口的地址,从而执行程序导入的函数。
  • ret2dlresolve:将返回地址覆盖为程序.GOT段中的函数入口的地址,从而执行程序导入的函数。
  • ret2syscall:将返回地址覆盖为系统调用指令的地址,从而执行系统调用。

ret2text

ret2text的原理(来自

最低0.47元/天 解锁文章
PWN基础-ROP技术-ret2syscall-64位程序栈溢出利用
Welcome To Myon'Blog !
05-08 739
后面传两个参数就可以了,分开写,一起写都可以的,这里就不做过多演示了。前置 ret2syscall 的基础我们就不做过多讲解了。execve 系统调用号是 59,也就是 0x3b。ida 看一下 main 函数,存在明显的栈溢出。看到有两个连一起的,当然我们也可以一个一个地传参。而 64 位系统调用最后是执行 syscall。32 位系统调用最后是执行 int x080。我们这里只用到前三个就可以了,以及 rax。这里看到的这个不对,因为后面没有 ret。正确的应该是 0x45BAC5。
ret2text
m0_49959202的博客
09-18 332
文章目录ret2text1.检查保护机制2.ida分析程序3.exp编写 ret2text 进程存在危险函数如system(“/bin”)或execv(“/bin/sh”,0,0)的片段,可以直接劫持返回地址到目标函数地址上,从而获取shell。 1.检查保护机制 首先调用checksec,检查保护机制: 发现pie没有开启 2.ida分析程序 使用ida打开程序ret2text,静态分析: 发现main函数中存在函数:vulnerable(),里面有危险函数gets(),可以用来进行栈溢出 发现
[PWN][进阶篇]Rop-Ret2Text介绍及实例教学
网络安全知识分享
03-22 6580
Rop-Ret2Text介绍及实例教学1、前提知识2、实例教学 1、前提知识 什么是Rop系统攻击 是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP也有其不同于正常程序的内在特征: (1)ROP控制流中,call和ret指令不操纵函数,而是用于将函数里面的短指令序列的执行流串起来,但在正常的程序中,call和ret分别代表函数的开始和结束; (2)ROP控制流中,jmp指令在不同的库函数甚至不同的库之间跳转,攻击者抽取的指令序列可能取自任意一个二进制文件
刷题小结1:ret2text,mprotect,自动化rop链,ret2csu
weixin_66751120的博客
01-26 872
先看ida,64位,乍一看,栈溢出且有binsh字符串,但是计算后返回地址只能控制一个字节。但是本地调试发现原来的返回地址与binsh的地址只相差了两位,也就是一字节,那么就可以构造exp了。
ROPRet2libc漏洞
qq_67812668的博客
08-12 1254
ROP全称为Return-oriented Programming(返回导向式编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP攻击同缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。
浅谈 ret2text
akdelt的博客
01-21 1816
而此时栈顶指针指向 ‘/bin/sh’ 的地址,于是 ‘/bin/sh’ 被放入 rdi 中,然后执行 ret,此时后门函数地址顶上来了,于是就 ret 到了 func 的地址 (这就是为什么找的是pop rdi;我瞎猜的,不然不好解释)而拿去参数也是同过 EBP 偏移量来实现的,本来有返回地址时通过 [EBP+8] 来拿参数一,但是因为没有返回地址 此时 EBP 和 参数相邻相差 4 个字节,所以 EBP + 8 就不是参数一的地址了。前六个参数依次存放于rdi,rsi,rdx,rcx,r8,r9中。
【ctf】ret2text
woodwhale的博客
04-17 6294
PWN ret2text 题目链接:ret2text 参考博客:CTF Wiki 基本 ROP 参考视频:【CTF】Linux PWN入门 Bamboofox社课系列 0x01 下载ret2text文件,复制到 翔哥的van美pwn机 中 查看保护机制 Arch: i386-32-little //文件为32位程序 RELRO: Partial RELRO Stack: No canary found //未开启canary保护 NX: NX enabled
[CTFHub] ret2text
Lucien_Carr的博客
04-14 1169
gets_s(buffer,size)函数:从标准输入中读取数据,size表示的最多读取的数量,在这里是argv,没有定义是多大,所以我们就可以无限的输入。输入超过程序设定的字节数以后,就会发生栈溢出,多出的内容会覆盖返回地址。这个题目中要获得系统的shell,只需要先用垃圾数据填充填满数组的空间,再拼上系统system函数的返回地址就可以。只要我们能控制程序返回到0x4007B8(“/bin/sh”指令的地址),就可以得到系统的shell。我们攻击的目的主要是获得系统的控制权(也就是拿到shell)。
[二进制安全学习]ret2text
Y4tacker的博客
07-12 1591
文章目录写在前面前置小知识bss段data段text段heapstackret2text参考链接 写在前面 已经学了一小段时间二进制了,以后慢慢确定一个深入的方向吧,开冲 前置小知识 bss段 bss段(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。 bss是英文Block Started by Symbol的简称。 bss段属于静态内存分配。 比如 int a; data段 数据段(data segment)通常是指用来存放程序中已初始化的全局变量的一块内存区域。 数据
pwn ret2text
young‘s blog
02-06 1627
好久没有写博客了,今天记录一下做ctf-wiki上ret2text的过程,也记录一下学到的东西,一点一点积累成长。 地址:ctf-wiki 源程序也在里面 边看视频边学的,视频地址为: ret2text 程序下载好之后通过checksec查看保护措施: 没有开启canary,32位动态链接程序 知道程序的基本信息后运行一下程序,看看程序都有什么功能。 测试后得知只有一个输入点。 拖进ida分析一下...
好好说话之ret2text
hollk’s blog
06-22 2665
本题为bamboofox-ret2text 题目路径: /ctf-challenges/pwn/stackoverflow/ret2text/bamboofox-ret2text 一、原理 ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadget...
pwn自学笔记(1)--——ret2text
最新发布
CDU__mint__的博客
10-05 2173
此篇文章是对ret2text的学习初步总结。目标利用栈溢出执行危险程序获取shell。
基本ROPret2text
至臻求学,胸怀云月
01-12 1489
(IDA分析存在错误,抠了一天终于在大佬的帮助下抠出来了) 背景 当程序开启NX保护之后,直接向栈或堆上注入代码的方式难以发挥效果(数据页不执行操作) 提出绕过操作: ROP(Return Oriented Programming) 主要思想是:在栈缓冲区溢出的基础上,利用程序中已有的小片段(gadgets),来改变寄存器或者变量的值,从而控制程序的执行流程。 所谓 gadgets 就是以 ret...
pwn基本ROP——ret2text
turtlesd的博客
04-25 1133
ret2text环境原理漏洞分析利用`checksec [file_name]`指令获取可执行文件的保护措施开放情况利用IDA32位进行调试利用pwndbg获取偏移量payload 环境 ret2text 原理 控制主函数的return返回到文件函数中自带的system函数的地址,从而获得最高权限 漏洞分析 利用checksec [file_name]指令获取可执行文件的保护措施开放情况 命令: checksec ret2text 可以看到,该可执行文件是32位的,仅开启了NX堆栈不可执行保护。 也就是
PWN初体验之ret2text
weixin_43137410的博客
08-04 859
"Hello,World!"的浪漫可能只有直男才懂!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值