ROP实例分析(三)--------------------------实例分析

最新推荐文章于 2023-04-25 21:54:34 发布
最新推荐文章于 2023-04-25 21:54:34 发布
阅读量1.4k 收藏 3
点赞数 1
文章标签: ROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iDevil7/article/details/81029216
版权
本文详细分析了一个ROP(Return-Oriented Programming)攻击实例,包括IDA分析程序逻辑,构造ROP链以获取system函数地址,并最终实现执行`system("/bin/sh")`。通过泄露内存、利用DynELF模块找到system地址,以及精心设计的payload,文章阐述了整个攻击过程和技术细节。
摘要由CSDN通过智能技术生成

实例分析

源程序

链接:https://pan.baidu.com/s/1ovTSgXf5sGBsNMEUiIQ5JA 密码:zt4k



一、IDA分析

分析过程

首先关注mian函数可以看到程序流程

设置定时器

打印输出Welcometo RCTF\n

清空_bss_start数据流

读取用户输入到buff(1024字节)中去

调用echo函数,参数为buff


然后看子函数echo流程如下

将用户输入的buff逐字节地拷贝到s2(16字节)中,如果遇到\x00截断


于是我们找到了漏洞所在处


我们要做的工作就是覆盖返回地址并且构造rop链。


程序逻辑

整个程序逻辑是这样的,main函数中,用户可以输入1024个字节,并通过echo函数将输入复制到自身栈空间,但该栈空间很小,这使得栈溢出成为可能。由于复制过程中,以“\x00”作为字符串终止符,故如果我们的payload中存在这个字符,则不会复制成功;但实际情况是,因为要用到上面提到的通用gadget来为write函数传参,我们会在payload里面指定gadget的地址,而64位的地址中肯定含0x00,故肯定会在payload中包含“\x00”字符。

但是由于echo函数的栈空间很小,与main函数栈中的输入字符串之间只间隔32字节(64位下:16字节s2+8字节rbp+8字节ret_addr)。下面是调用echo函数但是还没有进

最低0.47元/天 解锁文章
idevil7
关注
VC GDI编程源码实例集.rar
07-10
每个实例都是一次动手实践的机会,通过分析和修改代码,你将更好地理解如何在VC++中利用GDI创建功能强大的图形应用。无论你是初学者还是经验丰富的开发者,这个实例集都将是一个宝贵的参考资料,帮助你提升在图形...
PWN基础之构造ROP链(基本ROP
weixin_46132162的博客
02-02 4521
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
rop链攻击实例
dszfzzm的博客
12-13 980
rop32和rop64的个人解题思路,以及一点思考。
linux内核rop姿势详解,[原创]rop链攻击原理与思路(x86/x64)
weixin_42397925的博客
05-02 867
rop链的基础原理rop是Return Oriented Programming(面向返回的编程)的缩写;根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:栈顶是返回地址,紧接着是自己的参数(X86架构下);然后,被调用者会对栈空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的栈空间,以使其回到自己被调用前的栈空间,保持栈平衡;最后,被调用者以ret指令结...
[网络安全自学篇] 五十五.Windows系统安全之构建ROP链绕过DEP及原理详解
杨秀璋的专栏
03-03 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了基于SEH异常处理机制的栈溢出漏洞,利用一个恶意的请求头部(HEAD或GET)引起缓冲区溢出,从而改写SEH链的地址并反弹Shell。本文将讲解DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,重点利用VirtualProtect,最终编写漏洞利用脚本并实现自动化攻击。基础性文章,希望对您有所帮助。
BitBlt的汇编版源码-易语言
06-12
3. **混合模式**:除了简单的复制外,BitBlt还可以使用不同的Rop2(Raster Operation)模式来混合源和目标像素,实现如透明度、alpha混合等效果。 4. **颜色空间转换**:虽然不是BitBlt的基本功能,但通过结合其他...
Performing a ret2libc Attack-InVoLuNTaRy
04-24
**实例分析** 为了演示这一过程,我们可以创建一个简单的程序,该程序包含一个易受攻击的函数。然后,攻击者可以通过向该函数发送特定的输入来触发堆栈溢出,并利用ret2libc技术来执行任意命令。 ##### 4. **技术...
信息安全_数据安全_D2T1 - Make ARM Shellcode Great .pdf
08-21
本文档讨论了在ARM架构上制作shellcode的多个方面,特别是针对安全加固、网络犯罪、数据分析和事件检测等领域。文档详细介绍了ARM shellcode的发展历程、作者的研究成果以及通过实例演示如何在ARM架构中应用...
Python-ropa是一个基于Ropper的GUI简化了制作ROP
08-10
ropa是一个基于Ropper的GUI,简化了制作ROP链。 与命令行相比,它使用Ropper时提供了一个更干净的界面。
深入探究64位rop构造,wp中常见的万能gadgets详解| 攻防世界pwn进阶区welpwn
Kni9hT's Blog
03-20 1896
文章目录前言思路分析0x00.检查保护机制0x01.找到溢出点0x02.跳过echo在buf上构造rop0x03.选择合适的gadgets0x04.万能的通用gadgets利用过程使用DynELF使用LibcSearcher 前言 这一题做的时间跨度比较长了,断断续续做了一天多,然后尝试了两种方式,一种是DynELF泄露system地址,还有一种是利用python的LibcSearcher模块得到...
【CTF】初学ROP
刘家华(游戏开发)
04-25 190
win_function2为什么要返回到pop_ebp_ret,这里困扰我一直不能理解,单步跟踪后发现,原因是此函数有参数,当前函数执行ret后,此时栈顶是win_function2的参数,需要执行pop ebp将栈顶弹出,让栈顶指针指向vuln函数的地址,在利用ret跳转到到vuln函数,这就是pop ebp​;单步调试,观察内存中栈的变化,运行到ret指令,观察到ebp被pop成为了我们填充的aaaa,此时栈顶指针为我们覆盖的返回地址,此地址为win_function1的地址,该函数不需要参数。
pwn学习资料整理——ROP技术
recover517的博客
08-30 4885
1. 在32位程序中,参数是以什么形式进行传递的? 2. 在64位程序中,参数是以什么形式进行传递的? 3. 什么是return address? 4. 怎么利用控制栈空间来达到执行程序命令? 5. 32位中构造ROP 6. 64位中构造ROP
2021 rois暑假集训——栈溢出与简单的rop链(buuctf练习)
weixin_56780239的博客
08-07 1270
2021年暑假参加集训,在buuctf上做的几道题的writeup.
构建ROP链实现远程栈溢出
热门推荐
CSDN
02-21 1万+
通常情况下栈溢出可能造成的后果有两种,一类是本地提权另一类则是远程执行任意命令,通常C/C++并没有提供智能化检查用户输入是否合法的功能,同时程序编写人员在编写代码时也很难始终检查栈是否会发生溢出,这就给恶意代码的溢出提供了的条件,利用溢出,攻击者可以控制程序的执行流,从而控制程序的执行过程并实施恶意行为,而微软的DEP保护机制则可使缓冲区溢出失效,不过利用ROP反导技术依然是可被绕过的,接下来...
PWN入门(5)32位程序与64位程序和构造ROP
Ba1_Ma0的博客
09-12 1753
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用。
使用ROPgadget快速寻找arm64 pwn的rop链之ret2csu
fjh1997的博客
01-28 1170
ROPgadget --binary ./pwn --only "ldp|ret" 看到最长的那个就是,我们得到rop链的入口0x400ff8接下来使用x30寄存器跳转的地址就是0x400ff8-0x20也就是0x400fd8这块.rop链第一阶段的目的是将0x400fd8填充到x30寄存器中。 也可以用rop ROPgadget --binary ./chall --only "ldr|mov|add|blr" 找到rop链链接的第二个片段入口 最后我们可以在x3中填充我们想要的地址,比如lib.
ROP例子
fa1c4的blog
02-07 435
下面来举一个简单的ROP攻击技术的例子 #include<stdio.h> #include<unistd.h> #include<dlfcn.h> void vuln_func(){ char buf[128]; read(STDIN_FILENO, buf, 256); } int main(int argc, char *argv[]){ void *handle = dlopen("libc.so.6", RTLD_NOW | RTLD_
gdb-peda怎么用
最新发布
08-21
gdb-peda是一个用于GNU Debugger (gdb) 的增强工具,它提供了额外的功能,使得调试更加方便和高效。peda是Python Exploit Development Assistance for GDB的缩写,它为漏洞利用的开发提供了许多便捷的功能。以下是使用gdb-peda的一些基本步骤: 1. 首先需要安装gdb-peda。你可以从其GitHub仓库下载并安装。通常,这可以通过以下命令来完成: ``` git clone https://github.com/longld/peda.git ~/peda echo "source ~/peda/peda.py" >> ~/.gdbinit ``` 2. 在使用gdb启动你的程序前,确保已经导入了peda。这一步在启动gdb时,会自动加载.peda.py文件。 3. 启动gdb并附加到你的程序。如果程序已经在运行,可以使用`attach`命令附加到进程。如果要启动一个新的程序,可以使用`run`命令。 4. 使用peda提供的命令来进行调试。例如: - `pattern_create` 和 `pattern_offset`:用于生成和分析字符串模式,帮助定位漏洞。 - `searchmem`:在内存中搜索指定的字节序列。 - `vmmap`:显示程序的内存布局。 - `ROPgadget`:用于ROP攻击中的gadget查找。 - `shellcode`:为特定架构生成或测试shellcode。 5. 使用标准的gdb命令结合peda增强的功能,如断点、单步执行、查看和修改寄存器和内存等,来逐步调试程序。 6. 当完成调试后,可以使用`quit`命令退出gdb-peda。 使用gdb-peda时,请注意,你可能需要根据你的具体需求和所使用的gdb版本调整命令和配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值