ROP和Ret2libc漏洞

于 2024-08-12 22:28:28 发布
阅读量1k 收藏 30
点赞数 20
文章标签: web安全 经验分享 ROP攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_67812668/article/details/141143503
版权

一、ROP攻击原理

ROP全称为Return-oriented Programming(返回导向式编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。

ROP攻击同缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。

ROP的核心思想:攻击者扫描已有的动态链接库和可执行文件,提取出可以利用的指令片段(gadget),这些指令片段均以ret指令结尾,即用ret指令实现指令片段执行流的衔接。操作系统通过栈来进行函数的调用和返回。函数的调用和返回就是通过压栈和出栈来实现的。每个程序都会维护一个程序运行栈,栈为所有函数共享,每次函数调用,系统会分配一个栈桢给当前被调用函数,用于参数的传递、局部变量的维护、返回地址的填入等。栈帧是程序运行栈的一部分 ,在Linux中 ,通过%esp和 %ebp寄存器维护栈顶指针和栈帧的起始地址 ,%eip是程序计数器寄存器 [1]  。而ROP攻击则是利用以ret结尾的程序片段 ,操作这些栈相关寄存器,控制程序的流程,执行相应的gadget,实施攻击者预设目标 。ROP不同于retum-to-libc攻击之处在于,ROP攻击以ret指令结尾的函数代码片段 ,而不是整个函数本身去完成预定的操作。从广义角度讲 ,return-to-libc攻击是ROP攻的特例。最初ROP攻击实现在x86体系结构下,随后扩展到各种体系结构.。与以往攻击技术不同的是,ROP恶意代码不包含任何指令,将自己的恶意代码隐藏在正常代码中。因而,它可以绕过W⊕X的防御技术。

ret2libc 这种攻击方式主要是针对 动态链接(Dynamic linking) 编译的程序,因为正常情况下是无法在程序中找到像 system() 、execve() 这种系统级函数(如果程序中直接包含了这种函数就可以直接控制返回地址指向他们,而不用通过这种麻烦的方式)。因为程序是动态链接生成的,所以在程序运行时会调用 libc.so (程序被装载时,动态链接器会将程序所有所需的动态链接库加载至进程空间,libc.so 就是其中最基本的一个),libc.so 是 linux 下 C 语言库中的运行库glibc 的动态链接版,并且 libc.so 中包含了大量的可以利用的函数,包括 system() 、execve() 等系统级函数,我们可以通过找到这些函数在内存中的地址覆盖掉返回地址来获得当前进程的控制权。通常情况下,我们会选择执行 system("/bin/sh") 来打开 shell,

如此就需要解决两个问题:

1) 找到 system() 函数的地址;

2) 在内存中找到 "/bin/sh" 这个字符串的地址。  

为了找到system() 函数和 "/bin/sh" 字符串的地址,可以通过直接传送大量的字符覆盖返回地址使其在动态调试时报错的方法来确定偏移。

几个gdb的常用命令:

-q 参数不显示欢迎信息等

-n 不加载任何插件,使用原生 gdb

info 后面跟上想要查看的信息,如函数信息 info functions

b/breakpoint 设置断点

del/delete br

最低0.47元/天 解锁文章
针对Android上的ROP攻击剖析
简行之旅
11-01 1万+
引言        ROP(Return-oriented programming),即“返回导向编程技术”。其核心思想是在整个进程空间内现存的函数中寻找适合指令片断(gadget),并通过精心设计返回堆栈把各个gadget拼接起来,从而达到恶意攻击的目的。构造ROP攻击的难点在于,我们需要在整个进程空间中搜索我们需要的gadgets,这需要花费相当长的时间。但一旦完成了“搜索”“拼接”,这样
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)
网络安全知识分享
03-28 5745
ROP-ret2libc-32实例 32位思路: 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下: 接下来我们检查保护 我们看到是有NX保护,没有canarypie保护,我们使用ROP进行绕过。关键在于如何获取system /bin/sh。 objdump -d -j .plt
使用ROP攻击技术
热门推荐
海枫的专栏
09-28 3万+
随着64系统广泛应用,原来通过栈控制函数参数的方法已不再适用了,攻击提出ROP攻击,又展开了一场新的较量。
使用ret2libc攻击方法绕过数据执行保护
海枫的专栏
02-08 2万+
本文介绍ret2libc攻击方法,可以绕过栈执行保护安全机制
20145236《网络对抗》进阶实验——64位Ubuntu 17.10.1 ROP攻击
weixin_30276935的博客
03-25 298
20145236《网络对抗》进阶实验——64位Ubuntu 17.10.1 ROP攻击 基础知识 ROP攻击 ROP全称为Retrun-oriented Programmming(面向返回的编程)是一种新型的基于代码复用技术的攻击攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP攻击同缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。 ROP的...
什么是ROP系统攻击
WH的博客
12-17 3719
文章目录ROP系统攻击初步了解寄存器内存管理常见汇编指令再究ROP攻击 ROP系统攻击初步了解 ROP全称为Return-oriented Programming(面向返回的编程)是一种新型的基于代码复用技术的攻击攻击者从已有的库或可执行文件中提取指令片段,构成恶意代码。 ROP的核心思想 (1)攻击者扫描已有的动态链接库可执行文件,提取出可以利用的指令片段(gadget),这些指令片段均以ret指令结尾,即用ret指令实现指令片段执行流的衔接。 (2)操作系统通过栈来进行函数的调用返回。函数
[CTF]PWN--新人入门第一关--Ret2libc
2301_79880752的博客
02-29 1624
首先我们需要找到pop rdi|ret这个指令在程序中的位置(前面提到该指令为程序中自带的,只不过需要我们去寻找),然后让程序返回到pop rdi|ret这个指令上去执行它,通过ROPgadget --binary pwn --only 'pop|ret' 该指令来寻找pop |ret这个指令的地址,其中ROPgadget为一个插件,需要自己下载,binary意思为一个二进制文件,后面跟着的是文件名,only后面跟着的为要搜索的命令地址。
ROPRet2libc应用详解;CTF-pwn writeup;pwntools,one_gadget应用
CHERRY_cong的博客
05-01 742
ROP;Ret2libc; CTF-pwn题writeup;pwntools,one_gadget解题 pwn1 逆向代码 // IDA 7.5 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[48]; // [rsp+0h] [rbp-30h] BYREF init(); puts("Show me your code :D"); gets(buf, argv); return 0
64位linux系统:栈溢出+ret2libc ROP attack
Zhangmii的博客
06-03 2498
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,主要通过...
计算机系统:Return Oriented Programming(ROP)详解——颠覆传统的攻击方式
m0_72410588的博客
08-31 1647
在计算机领域,随着技术的不断发展,攻击者也在探索新的方式来突破系统的安全防线。其中一种被广泛讨论的攻击方式就是"Return Oriented Programming"(ROP,返回导向编程)。本文将深入探讨ROP的原理、应用以及对计算机系统安全的影响。
ROP 返回导向编程 攻击
10-29 4405
之前工作中一直研究ARM 体系结构函数调用标准(AAPCS),分析栈中内存溢出对ARM 体系结构函数调用产生的影响。 Android 的流行促进了hacker 对 Android root 的研究,最出名的莫过于 基于堆栈溢出攻击ROP gadgets ROOT方法。 首先看下ROP的基本概念(摘自wiki): http://zh.wikipedia.org/wiki/%E8%B
从汇编层看64位程序运行——ROP攻击以控制程序执行流程
方亮的专栏
07-17 1395
一般我们运行有调用关系的代码,就像套娃一样,一个套着一个。比如main函数调用foo7函数,foo7调用foo函数,则main函数要先进入foo7,然后进入foo。等foo执行完,会回到foo7;等foo7执行完,再回到main。那么我们有办法脱离这种套娃模式,然后foo函数执行返回到main函数吗?当然是有的。这就需要使用ROP攻击ROP攻击全称是:Return Oriented Programming (ROP) attacks。
x86 架构中的内存攻击技术 ROP(二)
个人笔记
04-12 1040
ROP 返回导向编程作为一种高级的内存攻击技术,可以让代码执行程序中已有二进制代码片段,将若干指令拼接在一起,形成 ROP 链。上一章讲述了其一般用法,本次继续讲述 ROP emporium 剩余的题目。
Linux使用ROP进行栈溢出攻击
stonesharp的专栏
08-06 3236
过Protostar stack6演示Linux下ROP的简单使用,ROP就是所谓的Return Orientated Programming,早期也叫ret2libc,关于ROP的介绍可以看早期的文章《CVE2012-1889 Exploit编写(三)》,思路是一样的,只是平台换到了Linux下而已。 0×01. __builtin_return_address函数 先介绍下__bu
pwn入门(3):缓冲区溢出ROP攻击(ret2syscall+ret2libc
Bossfrank的博客
04-18 1739
本节通过两个实例ret2tsyscall、ret2libc1,非常详细地为读者介绍基本的ROP攻击过程。对函数的调用、传参、返回的过程以及系统调用过程中对寄存器的赋值进行了详细阐释。
适合初学者的ROP攻击入门教程 - [Pwn] ROP Emporium Guide
HiTaQini
06-08 3682
ROP Emporium 是一个ROP攻击入门教学网站,提供了一系列的挑战任务,这些挑战对逆向工程或debug的要求不高,因此对初学者十分友好,适合初学者了解ROP攻击。网站中共有8个挑战任务,每个挑战都引入了一个新概念/知识点,其复杂性难度逐渐增加,循序渐进,而且每个挑战都有32/64位两个版本的程序,适合初学者了解二者之间的差异。
ROP攻击初试 Return2PLT
lingyuexueai的博客
08-05 645
具体内容在http://netsecurity.51cto.com/art/201703/534647.htm,这里摘取操作步骤,原理有待以后补充 关于PLT的介绍来自http://pwdme.cc/2017/09/26/lazy-binding-in-detail/ 最后解释了一下为什么写入数据字节数是28个A Procedural Linkage Table,也就是PLT是过程链接表,为...
pwn入门(2):ROP攻击的原理,缓冲区溢出漏洞利用(ret2text+ret2shellcode)
Bossfrank的博客
04-18 5704
本节将介绍基本的ROP(Return-Oriented Programming,返回导向编程的)的攻击原理、二进制程序的保护机制,并通过两个实例ret2text、ret2shellcode,为读者简介基本的ROP攻击过程。本节所使用的实例可在CTF wiki上进行下载。
rop攻击实例
dszfzzm的博客
12-13 1193
rop32rop64的个人解题思路,以及一点思考。
pwn ret1libc
最新发布
03-02
### 关于 pwn 中 ret2libc 技术的实现方法 #### 概述 ret2libc 是一种利用栈溢出漏洞的技术,通过覆盖返回地址来执行 libc 库中的函数。这种方式不需要注入额外的 shellcode,而是重定向程序流到已有库函数,从而绕过一些安全机制。 #### 原理说明 当发生缓冲区溢出时,攻击者可以控制 EIP 寄存器指向任意位置。如果能够计算出标准 C 函数如 `system()` 的确切内存地址,则可以通过设置参数并调用该函数达到特定目的[^1]。 #### 实现步骤详解 为了成功实施 ret2libc 攻击,通常需要满足以下几个条件: - **获取目标机器上 libc 版本及其加载基址** 这一点非常重要因为不同版本之间函数偏移量会有所差异。对于远程服务器来说这一步可能会变得复杂,但在本地测试环境中相对容易完成[^2]。 - **找到合适的 gadget 链接点** Gadget 是一小段可重复使用的汇编代码片段,它们存在于二进制文件内部并且以 `ret` 结束。理想情况下应该寻找那些可以直接跳转至所需功能入口处的 gadgets 或者构建一系列连续操作最终导向 system() 调用链路[^3]。 - **构造 payload 数据包** Payload 构建是整个过程中最核心的部分之一。它由多个部分组成:首先是填充物用来触发溢出;其次是精心挑选的目标地址(通常是 system@plt 或其他有用函数);最后是要传递给所选函数的实际参数列表,比如 "/bin/sh" 字符串的位置等信息。 ```python from struct import pack # Example of constructing a simple ROP chain for educational purposes only. offset = b"A"*76 # Offset to reach the saved return address on stack system_addr = pack("<I", 0xb7ecffb0) # Address of 'system' function from known libc version exit_addr = pack("<I", 0xb7ecfa80) # Address of 'exit' function, used as next instruction after calling system() sh_str_addr = pack("<I", 0xbffffc9a) # Memory location containing string '/bin/sh' payload = offset + system_addr + exit_addr + sh_str_addr ``` 上述 Python 代码展示了如何创建一个简单的 ROP (Return-Oriented Programming) 链条用于教学演示用途。实际应用中还需要考虑更多因素,例如 ASLR 地址空间布局随机化防护措施的影响等问题。 #### 安全建议与预防措施 现代操作系统已经引入了许多缓解此类攻击安全特性,例如 DEP ASLR 。因此,在真实世界里单纯依靠传统意义上的 ret2libc 已经难以奏效。不过了解这项技术仍然是非常有价值的,有助于加深对计算机体系结构的理解,并为更高级别的逆向工程打下坚实基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值