使用ROPgadget快速寻找arm64 pwn的rop链之ret2csu

最新推荐文章于 2024-12-10 23:34:22 发布
最新推荐文章于 2024-12-10 23:34:22 发布
阅读量1.3k 收藏
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fjh1997/article/details/113351604
版权
本文介绍了如何通过ROPgadget工具,找到ROP链的入口并利用ldp, ret等指令构建第一阶段的攻击链,重点讲解了填充x30寄存器和最终目标如system地址的使用。涉及的技术包括内存操作和控制,以及基本的逆向工程技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 ROPgadget --binary ./pwn --only "ldp|ret"

在这里插入图片描述
看到最长的那个就是,我们得到rop链的入口0x400ff8接下来使用x30寄存器跳转的地址就是0x400ff8-0x20也就是0x400fd8这块.rop链第一阶段的目的是将0x400fd8填充到x30寄存器中。
也可以用rop

ROPgadget --binary ./chall --only "ldr|mov|add|blr"

找到rop链链接的第二个片段入口
在这里插入图片描述
最后我们可以在x3中填充我们想要的地址,比如libc中的system地址。

高级栈溢出技术—ROP实战(ret2csu
ChuMeng1999的博客
01-09 1066
目录预备知识关于ROP本系列rop实战题目的背景ret2csu涉及知识点实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmpori
静态编译:Mprotect、自动化ropRet2csu
2301_79880752的博客
01-24 1352
开启NX,64位,IDA分析:看左半边不难看出这是一道静态编译题(简单解释,左边函数很多,静态编译占内存一般比动态多的多右半边可以看到,只有一个gets函数可以利用(存在栈溢出由于这题是静态编译题,因此我们可以有多种写法,这里我们分别使用Mprotect与自动化rop解题。
寻找 ROP 的常见流程解析
最新发布
m0_57836225的博客
12-10 974
寻找 ROP 是一个复杂但有规律可循的过程,需要攻击者对目标系统、漏洞原理、汇编语言和程序内存布局等有深入的理解。通过以上介绍的常见流程,结合实际情况进行分析和实践,能够提高构建和利用 ROP 的能力,在安全研究和 CTF 比赛等场景中更好地应对相关挑战。同时,需要注意的是,在实际应用中,应遵循道德和法律规范,仅在合法的安全研究和测试环境中进行相关操作。
中级ROPret2csu
至臻求学,胸怀云月
02-22 8029
ret2csu 原理 在64位程序中,函数的前6个参数是通过寄存器传递的,但是大多数时候,我们很难到每一个寄存器对应的gadgets。这时候,我们可以利用x64下的__libc_csu_init中的gadgets,如例二情况。 这个函数是用来对libc进行初始化操作的,而一般的程序都会调用libc函数,所以这个函数一定会存在。 下面是我在IDA摘出来的__libc_csu_init函数的汇编...
ROP_Emporium_ret2csu
Starr
03-28 410
文章目录1. ret2csu信息收集反汇编关于ret2csu利用Rop chainExp3. 参考文章 1. ret2csu 信息收集 题目只有64位版本,提供了以下文件: encrypted_flag.dat key.dat libret2csu.so ret2csu 作者提示,这个题和callme类似,调用ret2win()并提供指定的参数即可,但缺少明显的可利用的gadget。 $ file ret2csu ret2csu: ELF 64-bit LSB executable, x86-64,
ROP Emporium ret2csu
u014377094的博客
02-18 478
现在的ROP Emporium一共有8题,后几道题相比过去的题有了一些变化,国内的新wp也是非常难,本篇基于ROP Emporium - Ret2csu (x64) - blog.r0kithax.comhttps://blog.r0kithax.com/ctf/infosec/2020/10/20/rop-emporium-ret2csu-x64.html 这位大佬的wp进行部分的解释。 打开ida,依旧是惯例的明显栈溢出的pwnme,ret2win中我们可以看到flag是加密后文件,key文件是.
ROPgadget:使用此工具,您可以在二进制文件中搜索小工具,以方便您对ROP的利用。 ROPgadget在x86,x64ARMARM64,PowerPC,SPARC和MIPS架构上支持ELF,PE和Mach-O格式
05-02
ROPgadget工具 使用此工具,您可以在二进制文件中搜索小工具,以方便您对ROP的利用。 ROPgadget在x86,x64ARMARM64,PowerPC,SPARC和MIPS体系结构上支持ELF / PE / Mach-O格式。 从版本5开始,ROPgadget具有一个新的内核,该内核是使用Capstone拆卸框架针对小工具搜索引擎用Python编写的-较旧的版本可以在Archives目录中到,但将无法维护。 安装 如果要使用ROPgadget,则必须先安装 。 对于Capstone在nix机器上的安装: $ sudo pip install capstone Capstone支持多种平台(Windows,iOS,Android,cygwin ...)。 对于交叉编译,请参考文件。 安装Capstone后,ROPgadget可以用作独立工具: $ ROPgadget.
从o开始的pwn学习之ret2csu
jzc020121的博客
04-09 3526
ret2csu 前置知识 X64寄存器 我们知道,64位寄存器有RAX,RBX,RCX,RDX,RDI,RSI,RBP,RSP,R8,R9,R10,R11,R12,R13,R14,R15,而rdi,rsi,rdx,rcx,r8,r9便用来传递函数的前六个参数,如多于六个,便在放到栈里。 __libc_csu_init 一般的程序都会调用libc中的函数,而此函数便是来将libc初始化的,故此函数几乎是每一个程序所必备的。 gadget 我们在构造ROP的时候,往往会用到能够给寄存器赋值的gadget,形如
Pwn 学习 question_5_plus_x64 ret2csu
MrTreebook的博客
05-01 455
Pwn 学习 question_5_plus_x64 ret2csu1.源代码2.源代码分析3._libc_csu_init 分析4.ROP编程5.ropper看以下gadget6.exp[点击跳转 libc database search](https://libc.blukat.me/)7.看一下效果所有源代码和程序以及调试程序都放在了gitee 1.源代码 #include<stdio.h> #include<stdlib.h> #include<unistd.h>
深入探究64rop构造,wp中常见的万能gadgets详解| 攻防世界pwn进阶区welpwn
Kni9hT's Blog
03-20 1994
文章目录前言思路分析0x00.检查保护机制0x01.到溢出点0x02.跳过echo在buf上构造rop0x03.选择合适的gadgets0x04.万能的通用gadgets利用过程使用DynELF使用LibcSearcher 前言 这一题做的时间跨度比较长了,断断续续做了一天多,然后尝试了两种方式,一种是DynELF泄露system地址,还有一种是利用python的LibcSearcher模块得到...
arm64_rop_exploit:Arm64返回定向编程(ROP)漏洞
03-02
arm64_rop_exploit arm64 rop小工具二进制文件,用于将arm64反向外壳程序代码映射到内存中并执行代码 这仅适用于目标arm64设备。 用于将rop小工具映射到内存中并从libc库执行shell代码的源代码。 在运行Ubuntu 18.04.4 LTS(GNU / Linux 4.15.0-1062-raspi2 aarch64)的Raspberry Pi上测试了arm64代码。 执照 有关详细信息,请参阅文件。 rop.py 关于 该项目将研究漏洞的利用以及面向收益的编程的使用。 这将建立在注入外壳程序代码以进行开发的基础上。 该项目的创举来自以下博客: 但是,该博客有一些非常有用的小工具,但不到该博客所指向的解决方案。 因此,决定以此为基础,并使用rop博客的一些小工具来设计项目。 在受DEP(数据执行保护)保护的过程中-不应同时存在可执行和可写的
ret2csu
F_Day_的博客
10-19 362
ret2csu 我认为这道题本身是没有什么实际意义的,但是它教会了我一种新的利用思路 这道题虽然明确指出利用函数__libc_csu_init来进行 但这个函数本身不是做为攻击者使用而设计的,它是设计出来初始化libc,只是恰好我们能够利用 因此,我认为这道题的主要目的是利用现有的汇编片段来实现攻击(与ret2por比较类似) __libc_csu_init 在本题里,这个函数的汇编代码如下(可能与你看到的有点不同) ; void _libc_csu_init(void) public __libc_c
arm64 调试环境搭建及 ROP 实战
weixin_30478619的博客
11-08 498
前言 比赛的一个 arm 64 位的 pwn 题,通过这个题实践了 arm 64 下的 rop 以及调试环境搭建的方式。 题目文件 https://gitee.com/hac425/blog_data/tree/master/arm64 程序分析 首先看看程序开的保护措施,架构信息 hac425@ubuntu:~/workplace$ checksec pwn [*] '/home/hac425/...
ARM64ROP,以及调试技巧总结:
qq_39869547的博客
04-06 1588
aarch64依赖库: apt-get install libc6-arm64-cross 动态需要指定动态库加载路径: qemu-aarch64-static -L /usr/aarch64-linux-gnu ./arm 安装:gdb-multiarch sudo apt-get install git gdb-multiarch 调试时,需要启动gdb-multiarch gdb-multi...
CTF|ropemporium ret2csu题型
skyattractive的博客
06-14 835
CTF|ropemporium ret2csu题型 题目来源:https://ropemporium.com/challenge/ret2csu.html 这个题只能下载64位文件 IDA查看后发现gets存在栈溢出,题目条件是ret2win的第三个函数必须是“0xdeadcafebabebeef” ret2win函数里面有system x86 与 x64 的区别: x86 都是保存在栈上面的, 而 x64 中的前六个参数依次保存在 RDI, RSI, RDX, RCX, R8 和 R9 中,如果还
c仿照pwn题实现arm64下的rop
weixin_45574485的博客
04-25 601
代码基于一个ctf竞赛的rop用例写成,省去了用pwn进行攻击的过程,减少了工具的使用,方便以后添加到自动化测试用例。 废话不多说,先贴代码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/mman.h> #include <string.h> char * rop_chain = "\x61\x61\x61\x61\x61\x61\x61\
ROPgadget:二进制漏洞利用的利器
gitblog_01016的博客
10-09 441
ROPgadget:二进制漏洞利用的利器 ROPgadget This tool lets you search your gadgets on your binaries to facilitate your ROP exploitation. ROPgadget supports ELF, PE and Mach-O...
iOS冰与火之歌 – Objective-C Pwn and iOS arm64 ROP
Kiven's Program Space
08-17 1352
原文地址:http : //drops.wooyun.org/papers/12355 0x00序 冰指的是用户态,火指的是内核态。如何突破像冰箱一样的用户态沙盒最终到达并控制如火焰一般燃烧的内核就是“iOS的冰与火之歌”这一系列文章将要讲述的内容目录如下: Objective-C Pwn和iOS arm64 ROP██████████████████████████
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值