利用ROP链突破DEP保护机制

最新推荐文章于 2023-04-25 21:54:34 发布
最新推荐文章于 2023-04-25 21:54:34 发布
阅读量6.6k 收藏 7
点赞数 2
分类专栏: 安全 文章标签: 内存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Puzzor/article/details/8826209
版权
本文详细介绍了如何利用Return-Oriented Programming (ROP)来绕过Data Execution Prevention (DEP)保护机制。通过实例展示了如何找到溢出点,控制EIP,构建ROP链,并最终利用VirtualProtect()函数改变内存权限,执行shellcode。
摘要由CSDN通过智能技术生成
@Puzzor         

本文旨在介绍如何利用ROP绕过DEP保护机制,也是学习过程中的总结

DEP保护机制即Data Execution Prevention,其分为软件DEP以及硬件DEP,下面所讨论的都是基于硬件DEP下的绕过方式。相关术语请自行学习。

所用实例为一存在溢出漏洞的程序,当处理某些文件时未能检查文件长度的限制,导致栈区溢出,若不开启DEP保护,则溢出后EIP可以跳转至栈区执行指令,而当添加了DEP保护后,由于栈区被标记为不可执行,故抛出Access violation (0xC00000005)错误,错误提示如下:


前面准备工作就不详细叙述了,假设我们现在已经找到了溢出点并且能够控制EIP指向任意地址,正如我所说的,我暂时将EIP控制为0x43434343



此时挂载调试器,停到中断点上。如下图所示,正如我们所设计的,EIP成功变为0x43434343



此时栈区情况如下图

基本情况就是这样,接下来正式讨论如何绕过DEP机制。我们都知道在PE文件内存在好多的Section,.Text Section,也就是指令区,存放了CPU所要执行的指令,而其它Section一般不会存放指令的。DEP的保护机制就是给.Text赋予Executable的属性,而其它区域是不具有这种属性的,这样一来,当我们在程序运行时想把我们的shellcode拷入堆栈区执行是不可能的。

正如我们的实例所展示的那样当EIP变为0x43

最低0.47元/天 解锁文章
Puzzor
关注
专栏目录
Windows内存保护机制绕过方法
墨痕诉清风的博客
10-27 2634
0 目录 GS编译 SafeSEH机制 SEH覆盖保护 数据执行保护DEP) 地址随机化(ASLR) 1 GS编译 1.1 基本原理 Windows操作系统为解决溢出漏洞的问题引入了一个对策——GS编译保护技术。 GS编译保护技术是通过编译时添加相关代码而实现的,开启GS 编译选项后会在函数的开头和结尾添加代...
ROP技术绕过DEP--MPlayer溢出漏洞
weixin_30251587的博客
06-02 469
一、前言 1.1 DEP介绍 数据执行保护 (DEP) 是一套软硬件技术,能够在内存上执行额外检查以防止在不可运行的内存区域上执行代码。 在 Microsoft Windows XP Service Pack 2、 Microsoft Windows Server 2003 Service Pack 1 、 Microsoft Windows XP Tablet PC Edition 2005...
利用ROP绕过DEP(Defeating DEP with ROP)调试笔记
thesum的专栏
04-25 520
http://www.05112.com/anquan/gjbc/hkbc/2014/1105/16034.html 有空再仔细读了
利用WPN与ROP绕过DEP保护机制
如鹿渴慕泉水的专栏
05-04 1413
利用WPN与ROP绕过DEP保护机制作者:Sud0译者:riusksk (泉哥:http://riusksk.blogbus.com) 前言对于本教程,假设读者具备以下条件:1. 在电脑拥有各项所需工具的实验环境;2. 具备编写溢出利用程序的基础;3. 掌握SEH概念及利用SEH编写exploit的基础知识。 基础概念DEP(Data Execution Prevention):防止一些内存位置...
利用 ROP 技术绕过 DEP 保护的一次简单尝试
墨鱼菜鸡
01-28 170
\x 01 前言 DEP是数据执行保护的英文缩写,全称为Data Execution Prevention。数据执行保护(DEP)...
ROP构造与利用
ROP的原理是利用程序中的或堆上的数据结构,将一系列gadget地址和参数组成的表构造出来,当攻击者成功控制程序流程,跳转到ROP的入口地址时,程序将从第一个gadget开始执行,执行完毕后,继续跳转到下一个...
ROP的构建与利用
# 第一章:ROP的基础概念...ROP的原理主要是利用程序中的代码片段(gadgets),这些gadgets是程序中已有的指令序列,而攻击者可以将这些指令序列连接在一起,以实现其恶意目的。通过研究程序在内存中的布局和执行过
ROP利用在不同操作系统环境下的应用
ROP的基本原理是利用程序已有的代码片段来绕过DEP(Data Execution Prevention)等防御机制,实现对系统的控制。 ## 1.2 ROP攻击的危害和应用场景 ROP攻击可以绕过传统的代码注入和执行代码的方式,对系统...
exrop:自动ROPChain生成
04-23
多余的 Exrop是自动ROP生成器工具,可以根据给定的二进制文件和约束条件自动构建小工具 要求: , 目前仅支持x86-64! 特征: 处理单向小工具(jmp reg,call reg) 设置寄存器( rdi=0xxxxxx, rsi=0xxxxxx ) 将寄存器设置为寄存器( rdi=rax ) 写给内存 将字符串/字节写入内存 函数调用( open('/etc/passwd',0) ) 函数调用中的传递寄存器( read('rax', bss, 0x100) ) 避免坏蛋 堆Exrop.stack_pivot ( Exrop.stack_pivot ) syscall( Exrop.syscall ) 看 安装 安装python(推荐并测试3.6) 安装triton( ),确保将-DPYTHON36=on添加为cmake选项 安装ropgadget(
PWN基础之构造ROP(基本ROP
weixin_46132162的博客
02-02 4546
​随着 NX 保护的开启,以往直接向或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
linux内核rop姿势详解,[原创]rop攻击原理与思路(x86/x64)
weixin_42397925的博客
05-02 869
rop的基础原理rop是Return Oriented Programming(面向返回的编程)的缩写;根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:顶是返回地址,紧接着是自己的参数(X86架构下);然后,被调用者会对空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的空间,以使其回到自己被调用前的空间,保持平衡;最后,被调用者以ret指令结...
[网络安全自学篇] 五十五.Windows系统安全之构建ROP绕过DEP及原理详解
杨秀璋的专栏
03-03 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了基于SEH异常处理机制溢出漏洞,利用一个恶意的请求头部(HEAD或GET)引起缓冲区溢出,从而改写SEH的地址并反弹Shell。本文将讲解DEP执行保护机制,通过构造ROP绕过DEP保护,重点利用VirtualProtect,最终编写漏洞利用脚本并实现自动化攻击。基础性文章,希望对您有所帮助。
深入探究64位rop构造,wp中常见的万能gadgets详解| 攻防世界pwn进阶区welpwn
Kni9hT's Blog
03-20 1897
文章目录前言思路分析0x00.检查保护机制0x01.找到溢出点0x02.跳过echo在buf上构造rop0x03.选择合适的gadgets0x04.万能的通用gadgets利用过程使用DynELF使用LibcSearcher 前言 这一题做的时间跨度比较长了,断断续续做了一天多,然后尝试了两种方式,一种是DynELF泄露system地址,还有一种是利用python的LibcSearcher模块得到...
【CTF】初学ROP
最新发布
刘家华(游戏开发)
04-25 192
win_function2为什么要返回到pop_ebp_ret,这里困扰我一直不能理解,单步跟踪后发现,原因是此函数有参数,当前函数执行ret后,此时顶是win_function2的参数,需要执行pop ebp将顶弹出,让顶指针指向vuln函数的地址,在利用ret跳转到到vuln函数,这就是pop ebp​;单步调试,观察内存的变化,运行到ret指令,观察到ebp被pop成为了我们填充的aaaa,此时顶指针为我们覆盖的返回地址,此地址为win_function1的地址,该函数不需要参数。
2021 rois暑假集训——溢出与简单的rop(buuctf练习)
weixin_56780239的博客
08-07 1278
2021年暑假参加集训,在buuctf上做的几道题的writeup.
构建ROP实现远程溢出
热门推荐
CSDN
02-21 1万+
通常情况下溢出可能造成的后果有两种,一类是本地提权另一类则是远程执行任意命令,通常C/C++并没有提供智能化检查用户输入是否合法的功能,同时程序编写人员在编写代码时也很难始终检查是否会发生溢出,这就给恶意代码的溢出提供了的条件,利用溢出,攻击者可以控制程序的执行流,从而控制程序的执行过程并实施恶意行为,而微软的DEP保护机制则可使缓冲区溢出失效,不过利用ROP反导技术依然是可被绕过的,接下来...
DEP绕过技术:利用ROP分析与构造
总结来说,本文详细介绍了DEP的基本概念、其在防止缓冲区溢出攻击中的作用,以及如何利用ImmunityDebugger和mona.py工具在DEP保护下构造和利用ROP进行攻击。这种方法虽然复杂,但对于理解DEP的安全机制和攻击者的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值