PWN中的ROPgadget

最新推荐文章于 2024-04-09 10:43:56 发布
最新推荐文章于 2024-04-09 10:43:56 发布
阅读量3.2k 收藏 13
点赞数
分类专栏: pwn 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LL021101/article/details/123771887
版权

文章目录

前言

ROPgadget是一种基于代码复用的一种攻击技术。

一、ROP的使用(其中一种)

我们做pwn的时候,一般我们的目标是找到system函数和“/bin/sh”字符串,但是基本上pwn题是不会让你这么简单就解决了,他会隐藏system函数,和/bin/sh字符串,此时我们就要用到ROP方法。

ROPgadget --binary rop  --only 'pop|ret'
//单引号中间的是你要找的ropgadget的种类。
//rop是你要找的存有你需要的ropgadget的文件。

 

桌面$ ROPgadget --binary ret2libc3  --only 'pop|ret'
Gadgets information
============================================================
0x080486cf : pop ebp ; ret
0x080486cc : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x08048399 : pop ebx ; ret
0x080486ce : pop edi ; pop ebp ; ret
0x080486cd : pop esi ; pop edi ; pop ebp ; ret
0x080481a1 : ret
0x080484ae : ret 0xeac1

Unique gadgets found: 7

 这就是我们使用ROP命令找到的gadget,当我们没有system并且我们没有对方网站的libc,我们可以使用execeve("/bin/sh",0,0)函数,用此函数时必须要让eax寄存器的值为0xb(该函数的编号)

payload(垃圾数据+p32(pop_eax_ret地址)+p32(0xb),p32(pop_ebx_ret地址)+p32("/bin/sh"地址)+p32(pop_ecx_edx_ret地址)+p32(0)+p32(0))

二、平衡栈帧

有时我们使用ROP时候需要考虑到平衡栈帧,因为栈是有限的,有的时候我们不仅仅是使用一两次ROP当使用两次以上ROP是我们必须要平衡栈帧。我们从最简单的例子入手(这是我自己假设的例子)。

buf1和buf2分别是gets和system的参数,如果我们直接这么构造payload那么这两个参数无法被清理那么我们就要使用pop函数来清理,我们可以这么改写。

 gets会被之前的执行溢出的函数retn掉,gets自己的retn返回到pop,pop_ebx将buf1放入寄存器ebx中,然后retn到system,后面的过程以此类推,使buf1,buf2,以及两个函数的数据都移出出栈,不占用栈的空间。(这里暂时讲一点,具体的以后再说。)

 

总结

pwn并不像我们想象的那么简单,并不是所有题都给你system函数以及/bin/sh字符串,我们必须要灵活运用他给我们的文件中做包含的函数,数据来构造。

请输入昵称_____
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ROPgadget初识 ——— ret2syscall
qq_41696518的博客
07-01 1157
PWN
pwn练习1-ret2syscall(ROP-gadget)
m0_51756263的博客
10-07 1605
pwn练习1-ret2syscall(ROP-gadget)
ROPgadget使用
最新发布
Jingged的博客
04-09 593
需要注意的是,ROPgadget只是工具的一部分,成功的ROP攻击还需要深入理解目标二进制文件的结构和行为,以及攻击场景的具体细节。此外,随着软件安全性的提高和漏洞修复的不断进行,可用的gadgets可能会变得越来越少,因此在使用ROPgadget时,最好与其他工具和技术结合起来进行更全面的分析和利用开发。ROPgadget是一种基于代码复用技术的攻击工具,它可以帮助攻击者在二进制文件找到可利用的代码片段(即ROP链的gadgets),从而构建出有效的攻击载荷。是你想要分析的二进制文件的路径,
探秘安全领域利器:`ROPgadget` - 反向工程与漏洞利用的新工具
gitblog_00017的博客
03-22 266
探秘安全领域利器:ROPgadget - 反向工程与漏洞利用的新工具 项目地址:https://gitcode.com/JonathanSalwan/ROPgadget 项目简介 在网络安全的世界里,ROPgadget 是一个非常实用的开源工具,由 Jonathan Salwan 开发并托管在 GitCode 上。它主要用于分析二进制文件,搜索可用于 Return-Oriented Program...
PWN入门之通用gadgets
weixin_44681716的博客
04-09 2766
实验目的 针对一些程序运行时的初始化函数(如加载libc.so的初始化函数),提取一些通用的gadgets,从而更利于我们继续ROP操作。 实验文件 这次实验的可执行文件文件通过我们自己编译一个程序产生,为了降低实验的难度,我们在进行编译的时候,关闭栈保护和数据执行保护(DEP)。 ...
ROPR:一款功能强大的极速多线程ROPGadget查找工具
阿道夫的博客
02-10 1441
Programming),即返回导向编程,而ROPGadget是一些包含汇编指令的代码段,通常以ret指令结尾,这些指令已经作为可执行代码存在于每个源码文件或代码库,而这些小工具可用于二进制攻击,并破坏易受攻击的可执行文件。大多数可执行文件包含足够的小工具来编写ROP链一旦我们知道了地址,就可以使用包含在同一地址空间(如libc)的动态库。而使用ROPGadget的好处在于,无需在任何地方编写新的可执行代码,攻击者可以仅使用程序已经存在的代码来实现其目标。这时候你当然需要一份系统性的学习路线。
ROPgadget.zip
09-17
pip install ropgadget下载总是断的可以试试,pwn必备工具ROPgadget,
pwn题目的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
2024NKCTF-pwn
03-25
2024NKCTF_pwn
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
welpwn pwn 入门题
02-11
pwn 入门题
【ubuntu20pwn环境搭建】
weixin_51055545的博客
02-23 1500
一 镜像下载 这里我给大家总结几个比较常用的网站: ubuntu官网下载:https://cn.ubuntu.com/download/desktop 清华源:https://mirror.tuna.tsinghua.edu.cn/ubuntu-releases/20.04/ 阿里云开源镜像站:http://mirrors.aliyun.com/ubuntu-releases/20.04/ 推荐使用清华源或者阿里云 二 ubuntu20安装 镜像下载好后,打开虚拟机,点击文件,选择新建虚拟机: 选择自定义
pwn入门(3):缓冲区溢出ROP攻击(ret2syscall+ret2libc)
Bossfrank的博客
04-18 1071
本节通过两个实例ret2tsyscall、ret2libc1,非常详细地为读者介绍基本的ROP攻击过程。对函数的调用、传参、返回的过程以及系统调用过程对寄存器的赋值进行了详细阐释。
PWN基础之构造ROP链(基本ROP)
weixin_46132162的博客
02-02 4109
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
(Pwn)CTF工具 ROPgadget 的安装与使用介绍
热门推荐
半岛铁盒的博客
03-10 1万+
一. 介 绍 使用此工具,您可以在二进制文件搜索Gadgets,以方便您对ROP的利用。 我们知道x86都是靠栈来传递参数的而x64换了它顺序是rdi, rsi, rdx, rcx, r8, r9,(这里6个寄存器可以被理解为Gadgets)如果多于6个参数才会用栈我们要先知道这个特性. 有的题,里面既没有现成的system也没有/bin/sh字符串,也没有提供libc.so给我们,那么我们要做的就是想办法泄露libc地址,拿到system函数和/bin/sh字符串; 我们就需要获取rdi, rsi,
64位ROP——通用gadget
qq_44759495的博客
04-09 2844
原理与目的 程序在编译的时候会加入一些通用函数来进行初始化操作,所以可以针对初始化函数来提取一些通用的gadget,通过泄露某个在libc的内容在内存的实际地址,通过计算偏移量来得到system和bin/sh的地址,然后利用返回指令ret连接代码,最终getshell。 实验步骤 chechsec命令检查是否有canary保护 图显示并没有,如果有的话,就先进行泄露。 IDA反汇编 int...
ROP gadget的一些遇到的问题和思考
qq_45595732的博客
12-06 701
发个好久之前写的把。(现在一看那时候可真呆,滑稽.jpg) 今天总算搞明白了之前没懂的疑问 看过64位的rop应该知道一般的rop都会调用下面的gadgets 因为正常编译出来的都会有这两个函数 正常的思路都是利用puts函数和write函数来泄露别的函数的真实地址,然后去连libc 当利用write函数做泄露的时候因为要传3个参数,所以肯定会用到这一整段gadgets 然后一般第一段payload就一般是 payload=‘A’offset+p64(ppppppr)+p64(0)+p64(1)+p
错误记录
一点涵的博客
12-14 2496
ROPgadget突然抽风,出现错误: $ ROPgadget -help Traceback (most recent call last): File "/usr/local/bin/ROPgadget", line 4, in <module> __import__('pkg_resources').run_script('ROPGadget==5.8', '...
ROPgadget 工具
weixin_30414635的博客
03-14 5724
Install $ pip install ropgadget $ ROPgadget Usage usage: ROPgadget.py [-h] [-v] [-c] [--binary <binary>] [--opcode <opcodes>] [--string <string>] [--memstr ...
pwnaoti函数
10-31
aoti函数是C语言的一个函数,用于将字符串转换为整数。它的原型为int atoi(const char *nptr),其nptr是指向要转换的字符串的指针。该函数会扫描字符串,跳过前面的空格字符,直到遇到数字或正负号才开始转换。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值