【pwn学习】ROP(更新中)

最新推荐文章于 2022-05-01 01:01:18 发布
最新推荐文章于 2022-05-01 01:01:18 发布
阅读量712 收藏 3
点赞数
分类专栏: pwn学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Morphy_Amo/article/details/121860511
版权

什么是ROP?

ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。

gadgets就是以ret结尾的指令序列。

ROP主要是针对NX保护而诞生的方法,NX开启后,难以直接向栈或者堆上注入代码,因此需要利用gadgets来构建可控的程序流。

前提条件

  • 程序存在溢出,且可以控制返回地址
  • 可以找到满足条件的gadgets以及gadgets地址。

几种不同的类型

1. ret2text

原理:利用程序中本身存在的危险函数,例如调用了system("/bin/sh"),通过栈溢出返回到system执行的位置。

前提条件

  • 开启了NX保护
  • 程序中存在可以直接利用的获取shell的危险函数

例题XCTF-pwn-新手区-003 解题记录

2. ret2shellcode

原理:利用栈溢出函数,返回到攻击人注入的shellcode处。shellcode注入的区域必须拥有可执行的的权限。

具体shellcode的编写参考之前写的这篇文章 【pwn学习】pwn中的简单shellcode

前提条件

  • 没有可以利用的危险函数
  • 未开启NX保护(存在满足RWX三个权限的区域)
  • 可以将shellcode注入到相应的区域

例题:ret2shellcode

3. ret2syscall

原理:控制程序执行系统调用,获取shell

应用程序调用系统调用的过程是:

  1. 把系统调用的编号存入 EAX;
  2. 把函数参数存入其它通用寄存器;
  3. 触发 0x80 号中断(int 0x80)。

execve(“/bin/sh”, 0,0)为例,在调用时,对应的汇编代码为

mov eax, 0xb ; execve对应的系统调用号是 11 即 0xb
lea ebx, [binsh_addr];
mov ecx, 0
mov edx, 0
int 0x80

实际上,如果把int 0x80看作一个函数,相当于执行了 int_80(execve, "/bin/sh", 0, 0),同时参数依次用eax,ebx,ecx,edx传递。

例题ret2Syscall

4. ret2libc

原理:ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址

前提条件

  • 没有可以直接利用的危险函数
  • 开启了NX保护,也不能直接注入shellcode

例题-1: 简单难度

在程序中可以找到能利用的system 函数和/bin/sh字符串
XCTF-简单题-pwn-004
例题-2: 中等难度

ret2csu

ret2reg

Morphy_Amo
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PWN基础之构造ROP链(基本ROP
weixin_46132162的博客
02-02 4143
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
Pwn-高阶ROP-[栈溢出]/篇3
m0_52343643的博客
05-11 1329
大概调用过程: 也就是我们这里先调用了write函数的plt表项触发了_dl_runtime_resolve函数(会push linkmap)之后会先到.rel.plt段,通过plt给的push <偏移>在.rel.plt段找到偏移处对应函数的重定位表项,再通过该表项的r_info(一个偏移量),找到.dynsym段对应偏移量函数的符号表项,又通过该符号表项的st_name(也是一个偏移量)在.dynstr段找到对应的字符串,最后就会通过这个字符串(函数名)来调用该函数。
2017广东红帽杯pwn1_writeup:简单ROP
ACdream
05-09 4122
先来正能量一波:作为一个一直没入门pwn的小菜鸟,这一段时间一直被学弟按在地上摩擦很不爽很不爽~~~~~~~~ ------------------------------------------------------------------------------------ 先给出几个学习链接: 一步一步ROP:x86 一步一步ROP:x64 论文: Return-O
一步一步学ROP之linux_x64篇
weixin_34204057的博客
11-07 277
一步一步学ROP之linux_x64篇 一、序 **ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x86的ROP攻击:《一步一步学ROP之linux_x86篇》,在这次的教程我们会带来上...
基本ROP(二)
Pwnpanda的博客
05-07 1573
每日一结【第二天】 这年头果然不能随便立flag,随便有点啥事都能给耽误了,今天继续 二进制保护机制:http://www.mamicode.com/info-detail-1990426.html ret2shellcode 原理: ret2shellcode需要我们控制程序执行shellcode代码。而所谓的shellcode指的是用于完成某个功能的汇编代码,常见...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
[pwn]ROP:通过ESP和EBP间接控制EIP-附件资源
03-02
[pwn]ROP:通过ESP和EBP间接控制EIP-附件资源
位图的光栅操作及ROP码解析
ChipArtist's Blogs
01-26 5468
位图的光栅操作及ROP码解析(SnowStart于2005年3月22日)位图是windows图形编程非常重要的一个方面。在进行普通的位图操作,如GDI函数BitBlt,StretchBlt, StretchDIBits,都会用到一个光栅操作码,即ROP码,像SRCCOPY,PATPAINT,SRCAND等,由于最近在开发图形驱动,涉及了许多的ROP2,ROP3和ROP4码的操作,对RO
栈溢出的第一步进阶——ROP返回导向编程
XJJ的博客
05-01 723
前面两次栈溢出只是让我们学习原理,是最简单、最基本的栈溢出问题,一般的pwn题不会这么简单,溢出一次就可以到位。今天我们就做第一步进阶,正式进入ROP。 就我目前理解的ROP,就是要通过连续多次栈溢出,利用其原有的gadget(可以叫做代码片段),构造一次系统调用,调用execve()函数,就相当于获得了一个shell。首先我们要知道,系统调用的断号是0x80,而execve的功能号是11,也就是16进制的0xb。所以在进行系统调用(即执行INT 80H这条语句)之前,我们先要构造出调用execve()
pwn1及ROP总结
weixin_44464829的博客
11-08 524
Babystack 本题,用 checksec 检查二进制,发现开启了 CANARY、NX、以及 RELRO 保护,CANARY 是用 来检测栈溢出的,canary 是一个随机数,存储在栈里。程序通过对比栈里的 canary 值和读 取到的实际 canary 值进行对比,如果不相等,则抛出异常。因此,为了绕过 canary 机制, 我们需要先想泄露 canary 的值,然后利用栈溢出,把这个值放到 payload 对应的位置里, 这样,程序发现 canary 的值没变,我们就成功绕过。
初探ROP
KKABqN
03-16 2849
文章目录0x01 前言0x02 什么是ROP0x03 为什么要ROP0x04 基本ROPret2shellcode含义从原理解析ret2shellcode从例子解析ret2shellcode发现利用点确定利用前提调试扩展点ret2text含义从例子解析ret2text发现利用点确定利用前提调试ret2syscall含义从例子解析ret2syscall的方法细说系统调用在ret2syscal......
基本ROP技巧总结
极目楚天舒的博客
05-06 5624
ROP攻击前提:存在栈溢出并且可以控制返回地址存在满足条件的gadget,如果开启了PIE保护则要想办法泄露gadget的地址ret2text程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段,我们可以直接将返回地址覆盖为其地址跳转到已有代码上。例子:TODOret2shellcode这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的s...
pwn学习入门教程(一)
StevenOnesir的博客
11-24 2859
写这个系列的文章是因为想系统回顾之前学过的ctf知识,也希望引领更多人入门。 1. 对pwn的理解 pwn是ctf的一种题型,主要是利用程序的漏洞造成内存破坏以获取远程计算机的shell,从而获得flag。对面服务器运行的更多是C/C++语言编写的程序,而我们通过网络与服务器进行数据交互,我们可以构造恶意数据发送给服务器,导致服务器执行恶意代码,从而远程控制服务器。 个人感觉逆向工程是pwn的基础,两者极其类似。学习pwn的门槛比web高很多,所以更需要长期的钻研与学习。 2、pwn入门学习的几点建议 首
PWN学习总结
windy_ll的博客
12-26 1781
一、栈溢出原理     什么是栈溢出?栈溢出就是缓冲区溢出的一种。 由于缓冲区溢出而使得有用的存储单元被改写,往往会引发不可预料的后果。程序在运行过程,为了临时存取数据的需要,一般都要分配一些内存空间,通常称这些空间为缓冲区。如果向缓冲区写入超过其本身长度的数据,以致于缓冲区无法容纳,就会造成缓冲区以外的存储单元被改写,这种现象就称为缓冲区溢出。缓冲区长度一般与用户自己定义的缓冲变量的类型有关。(PS:摘自百度百科)     简单来说,就是程序没有检查用户输入的数据长度,导致攻击者覆盖栈上不是程序希望写
linux内核rop姿势详解,[原创]rop链攻击原理与思路(x86/x64)
weixin_42397925的博客
05-02 795
rop链的基础原理rop是Return Oriented Programming(面向返回的编程)的缩写;根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:栈顶是返回地址,紧接着是自己的参数(X86架构下);然后,被调用者会对栈空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的栈空间,以使其回到自己被调用前的栈空间,保持栈平衡;最后,被调用者以ret指令结...
rop入门(二)
李永亮的专栏
07-05 9412
一: 上一篇讲解了一下什么是rop以及如何搭建rop框架,本章节讲解,如何使用rop进行服务的调用以及参数的传递 同springMvc相似 rop也是通过在web.xml配置拦截来声明该url链接启用rop框架。至于如何调用controller层内的方法,rop有专门的参数用来指定,这个下边会讲到。示例: web.xml <!-- rop servlet --> <servle
pwn 如何查看栈数据的变化
最新发布
08-09
pwn,要查看栈数据的变化,可以通过以下几种方法: 1. 使用gdb调试器:使用gdb调试程序时,可以设置断点在关键的地方,例如函数调用之前或之后。当程序停在断点处时,可以使用x命令查看栈的数据。例如,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值