ROP的一些疑惑

最新推荐文章于 2022-10-22 10:25:05 发布
最新推荐文章于 2022-10-22 10:25:05 发布
阅读量602 收藏 2
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zarcs_233/article/details/103996634
版权

之前对于ROP有点疑惑,现在似乎清楚一些了
https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5055&page=1

payload:

from pwn import *
context.update(arch='i386')

p = remote('111.198.29.45',30411)
e = ELF('./level2')

p.sendlineafter(':',flat(['a'*0x8c,e.plt['system'],0,0x804A024,0,0]))
p.interactive()

萌新写篇文章记录一下
正常的的函数func都会有函数序言:push ebp,mov ebp,esp.
这里就会将ebp保存下来,此时的func的栈帧esp=ebp,一般都会sub esp一下抬高栈顶。

而call一般会push eip(伪代码),所以此时栈帧是这样的:

这里的payload:刚好0x88填充到ebp-0x4,多出的四个字节填充ebp(总计0x8c个字符),接下来就是system的返回地址。
这样这个函数执行完之后,会立马跳转到system去
函数结尾一般都会pop ebp,但是由于这里的ebp被覆盖掉了(变成了未知值AAAA),所以当时一直没搞懂,到system函数去了之后会怎样访问接在后面的参数。

后面模拟了一下程序,发现进入system时按道理会:mov ebp,esp所以此时的ebp和之前的在func函数下栈帧中的一样,所以可以访问到后面的参数。
但是system函数返回后,pop ebp,就会将AAAA再次赋予ebp,当返回到main函数时ebp就彻底烂掉了。

总结

所以总结一下,这道题具体情况是这样的:
进去func: push ebp —> mov ebp esp
读入后: push ebp保存的ebp被修改,栈中保存eip的值被修改为system的地址
func返回: pop ebp,此时ebp寄存器的值也被改为覆盖的值,retn返回到system函数体内
进入system: push ebp —>mov ebp esp,此时函数ebp=esp,即等于刚进入func时的ebp的值的情况,那么下面+0x4的位置时system返回地址,+0x8就是第一个参数的位置
system返回: 从栈中取处原先保存的ebp和eip的值,则ebp和eip都修改为了覆盖的值

还有一个小问题,这个p32(0)为什么就成为返回地址的填充了呢
由于在func返回时(执行retn),eip从栈中取出,那么esp必定降低了,当进入system时
mov ebp,esp,ebp所对应的位置也降低了,所以返回地址也从之前的p32(system)下降到了后面的p32(0)了

retn操作:先eip=esp,然后esp=esp+4
retn N操作:先eip=esp,然后esp=esp+4+N

补充

还有关于利用gadget修改寄存器的操作,这种一般都是"gadget地址"+“要修改寄存器的值”+“下一个地址”
这里的流程是:
原函数返回–>程序指向gadget地址–>这个地址出栈–>进入gadget–>从中pop,寄存器值被修改,栈中值出栈–>返回地址

但是在这里的ebp已经被修改了,所以进入下一个函数时的栈已经无法访问参数了

Zarcs_233
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rop编程入门
11-21
rop编程,E文,但是使用的词汇都是常见的词汇,需要汇编基础。
rop开放平台
04-12
rop开放平台s
初识ROP——返回导向编程
江南晚来客的专栏
11-05 6380
ROP是啥?或许以前曾经在某个地方见过它的出现,不过我可以肯定自己对这个ROP完全不懂。唯一有印象的,就是前几天TX的电话面试上面提到过。既然在面试中被问到,那应该是一种比较受关注的技术。今晚找了两三篇相关的论文,再加上其它博客上的相关资料,算是对ROP有了初步的认识。     在说ROP之前,先来说一下什么是缓冲区溢出漏洞。缓冲区溢出漏洞(buffer overflow)是当今软件系统最主要
ROP 返回导向编程 攻击
10-29 4223
之前工作中一直研究ARM 体系结构函数调用标准(AAPCS),分析栈中内存溢出对ARM 体系结构函数调用产生的影响。 Android 的流行促进了hacker 对 Android root 的研究,最出名的莫过于 基于堆栈溢出攻击的 ROP gadgets ROOT方法。 首先看下ROP的基本概念(摘自wiki): http://zh.wikipedia.org/wiki/%E8%B
栈帧详解
NeilZhy
03-16 7048
一. 理解栈帧 栈帧是什么,我们基本的理解是栈帧是栈帧也叫过程活动记录,是编译器用来实现过程/函数调用的一种数据结构。通俗来说栈帧就时C语言函数在调用的过程中的调用原理,就是当我们执行一个函数操作的时候,它的内部是如何实现的呢。 二 .关于栈帧的背景知识 1. 寄存器 第一个寄存器ebp,基址寄存器,也叫做栈底寄存器。 第二个寄存器esp,是栈顶寄存器。 第三个寄存
rop进攻_进攻性编程
danpu0978的博客
05-12 325
rop进攻 如何使您的代码同时更加简洁和行为规范 您是否曾经有过一个表现异常古怪的应用程序? 您知道,您单击一个按钮并没有任何React。 或屏幕突然变黑。 否则应用程序进入“奇怪状态”,您必须重新启动它才能使事情重新开始工作。 如果您经历过这种情况,则可能是特定形式的防御性编程的受害者,我将其称为“偏执狂编程”。 防守者应谨慎看守。 偏执狂的人会害怕并且以奇怪的方式行事。 在本文中,我将...
rop轻松谈.pdf
10-21
rop基础
rop demo完整用例
07-16
本文是借助maven搭建的一个rop框架,以及一个简单的测试用例,供大家学习分享。如果发现不对的地方,希望大家留言提出,
rop-master.rar
11-04
RopRop 是 Rapid Open PlatformRapid Open Platform Rapid Open Platform Rapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open ...
Rop开发手册
04-02
Rop开发手册,内容详尽,开放平台框架,易使用易扩展
esp和ebp跟踪记录
10-17
push ebp mov ebp,esp
EBP 和 ESP 详解
二进制模----细微行动改变影响世界
01-31 4046
EBP 和 ESP 详解 测试开发小白变怪兽2018-05-23 19:52:3411387收藏19 分类专栏:汇编 基本概念: (1)ESP:栈指针寄存器(extendedstackpointer),其内存放着一个指针,该指针永远指向系统栈最上面一个栈帧的栈顶。 (2)EBP:基址指针寄存器(extendedbasepointer),其内存放着一个指针,该指针永远指向系统栈最上面一个栈帧的底部。 —————————————————————  以下摘自网上一篇...
esp 和 ebp
lhk124的博客
10-19 1913
什么是 esp和ebp? ESP:栈指针寄存器(extendedstackpointer),其内存放着一个指针,该指针永远指向系统栈最上面一个栈帧的栈顶。 EBP:基址指针寄存器(extendedbasepointer),其内存放着一个指针,该指针永远指向系统栈最上面一个栈帧的底部。 https://blog.csdn.net/u011822516/article/details/20001765?utm_medium=distribute.pc_relevant.none-task-blo...
函数栈&EIP、EBP、ESP寄存器的作用
南意的博客
10-22 4688
认识EIP、EBP、ESP
栈帧ebp,esp详解
TuxedoLinux的博客
09-17 1万+
栈帧%ebp,%esp详解 分类专栏: 汇编 首先应该明白,栈是从高地址向低地址延伸的。每个函数的每次调用,都有它自己独立的一个栈帧,这个栈帧中维持着所需要的各种信息。寄存器ebp指向当前的栈帧的底部(高地址),寄存器esp指向当前的栈帧的顶部(地址地)。下图为典型的存取器安排,观察栈在其中的位置 入栈操作:push eax; 等价于 esp=esp-4,eax->[es...
从汇编角度理解 ebp&esp 寄存器、函数调用过程、函数参数传递以及堆栈平衡
个人笔记
04-04 9049
本文试图从汇编以及整体上,讲解函数调用时,堆栈的变化,以及到底是如何进行参数的传递。如果你细读此文,相信一定会有所收获。
esp和ebp详解
热门推荐
无聊的专栏
03-16 1万+
一.概念分析经常看到下面这两句:pushl %ebp movl %esp,%ebp esp是堆栈指针  ebp是基址指针 那两条指令的意思是 将栈顶指向 ebp 的地址  ————————————————————— 以下摘自网上一篇文章: push    ebp             ;ebp入栈  mov     ebp, esp        ;因为esp是堆栈指针,无法暂借使
对esp和ebp分析来了解函数的调用过程
qq_41683305的博客
02-10 1563
esp:扩展栈指针寄存器,是指针寄存器的一种,用于存放函数栈顶指针(栈顶指针) ebp:扩展基址指针寄存器,也被称为帧指针寄存器,用于存放函数栈底指针(栈底指针)。 esp和ebp有什么关系呢? ebp只是存取某时刻的esp,这个时刻就是进入一个函数内后,cpu会将esp的值赋给ebp,此时就可以通过ebp对栈进行操作,比如获取函数参数,局部变量等,实际上使用esp也可以,只是esp可能会变化,去...
【汇编】esp寻址与ebp寻址
qq_52572621的博客
09-08 1708
esp寻址的优缺点: 优点:便捷 缺点:当遇到复杂的、函数中对堆栈有操作的,esp寻址就会变得有些困难。 例如: 我们之前的测试两数相加,都是把参数从堆栈中取出,放在寄存器里,但实际开发中,寄存器里的值一般情况下都是有用的,说到底就是我们不能直接取出寄存器里的值,我们需要将值备份一份,然后再寻址,使用完成之后再将原来的值取出,如下:
pwnyools ROP模块
最新发布
08-25
pwnyools 是一个 Python 库,它提供了一些用于创建和利用 ROP 载荷的工具。 pwnyools 的 ROP 模块包含了一些用于构建 ROP 链的函数和工具。通过这些函数和工具,攻击者可以构造一个有效的 ROP 链,并利用程序中已...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值