X64之ROP

最新推荐文章于 2024-04-12 17:43:00 发布
最新推荐文章于 2024-04-12 17:43:00 发布
阅读量643 收藏 1
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/amae_coder/article/details/90322211
版权
本文详细介绍了X64架构下利用栈溢出漏洞构造ROP链以获取shell的过程。通过分析程序,找到栈溢出点,然后利用gadget(如pop rdi ; ret)设置参数,通过相对偏移计算获取system和/bin/sh的地址,最终实现getshell。文章强调了X64与X86在传参规则上的区别,并展示了构造payload的脚本步骤。
摘要由CSDN通过智能技术生成 
   实验步骤:

  1. 首先拿到文件先看看有没有什么栈保护在这里插入图片描述
    因为在生成文件的时候我们就已经关掉了地址随机化,所以这里并没有什么栈保护

  2. 将文件拖入IDA中进行反编译,然后静态分析

在这里插入图片描述
这里有先写入hello world ,然后又进入了vulnerable_function函数,我们进入函数看看
在这里插入图片描述

我们发现用到了read函数,这里用到的是rbp定位,而它读了200个,实际rbp到ret只有(80+8)h的空间,很显然存在栈溢出漏洞,那我们下面要做的和以往一样,泄露system和bin_sh地址,然后通过ROP链getshell

  1. x64与x86的区别 因为64位程序的传参规则变了,所以我们的rop也要进行相应变动。
    在原来的32位程序中我们会直接将目标函数的入口地址和相应的参数放在payload中,最后进行rop时,参数是根据与ebp的相对位置来进行确定的。
    而在64位程序中,我们不仅要将目标函数的入口地址和相应参数放在payload中,同时
最低0.47元/天 解锁文章
贾志金
关注
深入探究64位rop链构造,wp中常见的万能gadgets详解| 攻防世界pwn进阶区welpwn
Kni9hT's Blog
03-20 1896
文章目录前言思路分析0x00.检查保护机制0x01.找到溢出点0x02.跳过echo在buf上构造rop0x03.选择合适的gadgets0x04.万能的通用gadgets利用过程使用DynELF使用LibcSearcher 前言 这一题做的时间跨度比较长了,断断续续做了一天多,然后尝试了两种方式,一种是DynELF泄露system地址,还有一种是利用python的LibcSearcher模块得到...
64位ROP——通用gadget
qq_44759495的博客
04-09 2866
原理与目的 程序在编译的时候会加入一些通用函数来进行初始化操作,所以可以针对初始化函数来提取一些通用的gadget,通过泄露某个在libc中的内容在内存中的实际地址,通过计算偏移量来得到system和bin/sh的地址,然后利用返回指令ret连接代码,最终getshell。 实验步骤 chechsec命令检查是否有canary保护 图中显示并没有,如果有的话,就先进行泄露。 IDA反汇编 int...
rop x64分析记录
inquisiter
12-30 593
rop x64分析记录##!c #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <dlfcn.h>void systemaddr() { void* handle = dlopen("libc.so.6", RTLD_LAZY); printf("%p\n",dlsym(handle,"syste
蒸米ROP_X64学习总结
Gtooler的博客
10-09 1975
X86与X64 x86中参数都是存在栈上,但在x64中的前六个参数依次存在RDI,RSI,RDX,RCX,R8、R9中,如果还有更多的参数的话才会存在栈上 level3(ROP简单绕过NX) 发现有栈溢出 找到system(/bin/sh) 把这个函数写入栈中就ok了 exp如下 #!/usr/bin/env python3 from pwn import * p = process("./level3") payload = b"a" * 136 + p64(0x0000000000400584)
RCTF 2015 welpwn [ROP] [x64通用gadgets]
ACdream
01-26 785
先checksec一下: 漏洞点其实蛮好找的:程序里也没几个函数 main函数中read了一个字符串,然后当成参数传递给了echo函数 在echo中的函数的接收buffer长度仅仅为0x10,而且是一个一个字符赋值的,栈缓冲区溢出漏洞,0x10 + 0x8 = 0x18个填充 控制了ESP之后,程序开启了NX,一定想到的是ROP 这里的基础知识是: http:/...
【How2Pwn】DreamHack x64下的ROP问题
Jeongon的博客
09-04 930
Pwn中的ROP问题演示
Pwn 学习 question_5 x64ROP编程
MrTreebook的博客
04-30 543
Pwn 学习 question_5 x64ROP编程1.源代码2.编译x86x643.x863.1.确定溢出量3.2.布栈3.2.1.第一次溢出3.2.2.计算libc_base3.2.3.第二次溢出3.3.exp4.x644.1.确定溢出量4.2.布栈4.2.1.第一次布栈4.2.2.计算偏移4.2.3.第二次布栈4.3.exp 1.源代码 #include<stdio.h> #include<stdlib.h> #include<unistd.h> int dofun
初探ROP
KKABqN
03-16 3401
文章目录0x01 前言0x02 什么是ROP0x03 为什么要ROP0x04 基本ROPret2shellcode含义从原理中解析ret2shellcode从例子中解析ret2shellcode发现利用点确定利用前提调试扩展点ret2text含义从例子中解析ret2text发现利用点确定利用前提调试ret2syscall含义从例子中解析ret2syscall的方法细说系统调用在ret2syscal......
汇编基础-----通过x64dbg了解什么是堆栈
最新发布
a1309525802的博客
04-12 1170
在汇编语言中,堆栈(stack)是一种用于存储临时数据和执行函数调用的内存结构。堆栈是一种后进先出(Last-In-First-Out, LIFO)的数据结构,通常用于保存函数调用的返回地址、局部变量和参数等。ESPRSP理解堆栈在汇编语言中的作用和原理对于理解函数调用、内存管理和程序执行流程非常重要。通过合理地使用堆栈,可以实现高效的函数调用和数据传递,同时避免堆栈溢出等问题。
Windows下x64反汇编参数传递约定,一句话,调用顺序为从左到右, Function( rcx, rdx, r8,r9, [rsp+0x20], [rsp+0x28], [rsp+0x30]..
AppNinja 开发手记
11-09 4084
x64 体系结构是 x86 的向后兼容扩展。 它提供与 x86 相同的旧 32 位模式,以及新的 64 位模式。术语"x64"包括 AMD 64 和 Intel64。 指令集接近相同。x64 将 x86 的 8 个常规用途寄存器扩展为 64 位,并添加了 8 个新的 64 位寄存器。 64 位寄存器的名称以"r"开头,因此例如, eax 的 64 位扩展名为 rax。 新寄存器的名称为 r8 到 r15。每个寄存器的低 32 位、16 位和 8 位可直接在操作数中处理。 这包括寄存器,如 esi,其低 8
linux内核rop姿势详解,[原创]rop链攻击原理与思路(x86/x64)
weixin_42397925的博客
05-02 862
rop链的基础原理rop是Return Oriented Programming(面向返回的编程)的缩写;根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:栈顶是返回地址,紧接着是自己的参数(X86架构下);然后,被调用者会对栈空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的栈空间,以使其回到自己被调用前的栈空间,保持栈平衡;最后,被调用者以ret指令结...
一步一步学ROP之linux_x64
weixin_34204057的博客
11-07 285
一步一步学ROP之linux_x64篇 一、序 **ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x86的ROP攻击:《一步一步学ROP之linux_x86篇》,在这次的教程中我们会带来上...
一步一步学 ROP 之 linux_x64 篇-level5
weixin_43489686的博客
02-02 1551
这道题是来自蒸米的一步一步学ROP之linux_x64篇中的level5,主要考察的是中级ROP中的__libc_csu_init。 原理 __libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000...
Pwn question_4_2_x64 ROP编程 以及 ropper初使用
MrTreebook的博客
04-23 1136
ROP编程
rop、64位程序中参数传递及栈溢出利用
RKAnjia的博客
11-24 868
ctf64位程序中参数传递及栈溢出利用rop 64位程序中参数传递及栈溢出利用 32位程序参数传递是直接弹出栈顶元素作为参数,而64位程序通过edi寄存器传参;因此在栈溢出漏洞利用的步骤为: 找到“pop edi\rdi;ret;”语句、system函数和“bin/sh”字符串的地址,输入数据:【填满栈空间的数据+覆盖edb的数据(32位大小为4h,64位大小为8h)+“pop edi\rdi;ret;”语句的地址+“bin/sh”字符串的地址+system函数的地址】。 具体执行过程: 子函数调用结束时,
pwn篇:32位及64位无PIE保护ROP方法
weixin_44644249的博客
02-03 1310
32位和64位ROP方法 先记录一下,暂时还没有学会绕过PIE 源码 #include<stdio.h> #include<unistd.h> void vuln_func() { char buf[128]; read(STDIN_FILENO,buf,256);//溢出点 } int main(int argc,char* argv[]) { vuln_func(); write(STDOUT_FILENO,"Hello world\n",13); } 32位 编译
PWN入门(5)32位程序与64位程序和构造ROP
Ba1_Ma0的博客
09-12 1742
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用。
基于ret2libc3的简单ROP实验
amae_coder的博客
03-26 732
基于ret2libc3的简单ROP实验 实验目的:利用ROP实现getshell 实验背景:对于实验二,我们找到了system函数,可以直接getshell,但是对于很多情况,代码都会设置一些例如NX等的保护,我们无法直接找到system进行getshell,那么我们就需要利用ROP(return oriented programing)来绕过保护进行getshell 实验的原理:对于文件中的函数...
【网络安全Rop绕过DEP和ASRL流程实例介绍
Walter的专栏
09-16 8298
本文主要介绍带DEP防护和ASLR功能的操作系统或软件如何被绕过,从而执行漏洞利用和攻击,其它相关知识领域请自行上网搜索。 1、工具软件 ImmunityDebugger1.85 mona 插件 python 2.7.1 vulnserver win7虚拟机开启所有程序的DEP防护并运行vulnserver,ip 192.168.254.154 kali1.0虚拟机执行攻击脚本,ip
arm64 的 rop 实现C代码
04-01
由于 arm64 架构与 x86 架构不同,因此 ROP 实现的方法也有所不同。以下是一些常见的 arm64 ROP 实现方式的示例代码。 1. 堆栈溢出 堆栈溢出是一种常见的 ROP 实现方式。以下是一个 arm64 程序的示例代码,通过堆栈溢出实现 ROP。 ``` #include <stdio.h> #include <string.h> void gadget1() { __asm__("stp x29, x30, [sp, #-16]!"); __asm__("mov x0, #0"); __asm__("bl puts"); __asm__("ldp x29, x30, [sp], #16"); __asm__("ret"); } void gadget2() { __asm__("stp x29, x30, [sp, #-16]!"); __asm__("mov x0, #1"); __asm__("bl puts"); __asm__("ldp x29, x30, [sp], #16"); __asm__("ret"); } int main(int argc, char **argv) { char buf[8]; strcpy(buf, argv[1]); printf("Hello, %s!\n", buf); return 0; } ``` 在这个程序中,有两个 gadget 函数。第一个 gadget 函数会打印出 "Hello, world!",第二个 gadget 函数会打印出 "Hello, arm64!"。我们可以通过堆栈溢出来实现 ROP,比如: ``` $ ./rop $(python -c 'print "A" * 8 + "\x00\x00\x0c\x54\x00\x00\x0c\xd4"') ``` 其中,"\x00\x00\x0c\x54" 是 gadget1 函数的地址,"\x00\x00\x0c\xd4" 是 gadget2 函数的地址。因此,当程序执行到溢出的位置时,会先调用 gadget1 函数,然后返回到溢出的位置,接着调用 gadget2 函数。 2. plt/got 法 另一种常见的 ROP 实现方式是使用 plt/got 法。以下是一个 arm64 程序的示例代码,通过 plt/got 法实现 ROP。 ``` #include <stdio.h> #include <string.h> void foo() { printf("Hello, world!\n"); } void bar() { printf("Hello, arm64!\n"); } int main(int argc, char **argv) { char buf[8]; strcpy(buf, argv[1]); void (*fnptr)(); fnptr = foo; fnptr(); fnptr = bar; fnptr(); return 0; } ``` 在这个程序中,有两个函数:foo 和 bar。我们可以通过 plt/got 法来实现 ROP,比如: ``` $ readelf -r ./rop Relocation section '.rela.dyn' at offset 0x2a8 contains 2 entries: Offset Info Type Sym. Value Sym. Name + Addend 0000000000201018 000100000007 R_AARCH64_JUMP_SLOT 0000000000400400 foo@GLIBC_2.17 + 0 0000000000201020 000200000007 R_AARCH64_JUMP_SLOT 0000000000400410 bar@GLIBC_2.17 + 0 $ ./rop $(python -c 'print "A" * 8 + "\x18\x10\x01\x20" + "\x20\x10\x01\x20"') ``` 其中,"\x18\x10\x01\x20" 是 foo 函数在 .got.plt 中的地址,"\x20\x10\x01\x20" 是 bar 函数在 .got.plt 中的地址。因此,当程序执行到溢出的位置时,会先跳转到 foo 函数,然后返回到溢出的位置,接着跳转到 bar 函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值