CTF-PWN-栈溢出-中级ROP-【BROP-1】

已于 2023-12-26 23:08:09 修改
阅读量1.2k 收藏 24
点赞数 34
分类专栏: CTF-PWN-栈溢出 文章标签: PWN
于 2023-12-26 22:24:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llovewuzhengzi/article/details/135170114
版权

文章目录

BROP(Blind ROP)

即没有得到源码或者可执行程序文件的情况的文件下,只有一个提供的功能端口进行攻击

BROP(Blind ROP) 于 2014 年由 斯坦福大学 的 Andrea Bittau 提出,其相关研究成果发表在 Oakland 2014,其论文题目是 Hacking Blind,下面是作者对应的 论文 和 PPT, 以及作者相应的介绍

攻击条件

  1. 存在栈溢出漏洞,并知道如何触发
  2. 服务器进程在崩溃后重启, 并且重写启动的进程的地址与先前的地址一样(这也就是说即使程序有 ASLR 保护,但是其只是在程序最初启动的时候有效果)。目前 nginx, MySQL, Apache, OpenSSH 等服务器应用都是符合这种特性的)

在这里插入图片描述

攻击路线

目前,大部分应用都会开启 ASLR、NX、Canary 保护。我们需要做的就是如何去绕过这些防护
在这里插入图片描述

  1. 暴力枚举判断栈溢出长度
  2. 暴力尝试攻破canary,因为我们由之前的利用的条件二知道每次crash后重启的程序canary依然不变,所以可以按照字节爆破,每个字节8位,共有256种可能,我们可以一种一种字节可能去尝试,如果遇到没有报错的,说明此时该字节正确,然后再去尝试下一个。所以32位情况尝试1024次,64位尝试2048次
  3. 暴力枚举写返回地址找到能返回到主函数的地址
  4. 首先找到gadget,可以找libc_cs_init的gadget来利用,从而控制要调用函数的参数
  5. 首先利用得到的gadget构造参数,然后暴力枚举地址作为返回地址,此时存在地址对应的指令可能正好是输出函数,那么此时经过之前构造的参数,会输出对应的内容,如存在这些内容,说明找到了输出函数如write或者puts或者printf
  6. 此时再将所有地址的内容都输出,并写到一个自己建立的文件中,然后将该文件反汇编,可以看到该程序的汇编代码,此时找到对应输出函数的plt表的内容,可以找到 jmp 输出函数在got表中的地址 该指令,然后记录该输出函数在got表中的地址
  7. 然后将该输出函数在got表中的地址作为参数,返回地址为输出函数进行输出。可得到输出函数的地址
  8. 通过输出函数的地址找的对应的glibc版本,并计算出基地址,然后得到system的地址和/bin/sh的地址
  9. 此时再次输入,此时构造参数为/bin/sh的地址,返回地址为system的地址,从而getshell

三种gadget

PIE(Position-Independent Executables):位置无关的可执行文件,和Windows下的ASLR(Address Space Layout Randomization)机制类似,PIE enabled表示程序开启地址随机化选、意味着程序每次运行的时候地址都会变化。主要是为了解决二进制本身地址已知的问题,可用来防御return2elf和其他已知地址读写问题。

默认情况下,PIE未开启,x86加载的基地址为0x8048000,而x64加载的基址为0x400000。

开启PIE后,elf中相对偏移不变,但加载机制每次均变化。

probe就是用去暴力枚举的地址或者说探测的地址,
stop就是不会是程序crash的地址
trap就是会使程序crash的地址

从在栈上的返回地址开始布置不同的stop和trap可以识别执行的指令,因为执行stop意味程序不会崩溃,而trap意味着程序会崩溃,所以可以判断该指令的ret在哪个位置

  • probe,stop,traps,traps……
    通过不断改变probe去尝试,此时不会崩溃的是最后使得栈顶没有变化且最后会执行ret指令的指令序列
    ret
    xor eax,eax;ret
    push eax;pop ebx;ret
  • probe,trap,stop,trap, trap……
    此时通过不断改变probe的值,可以找到最后使栈顶元素少去一个,并且在ret之前栈顶不改变的情况下再ret的指令流
    pop rax;ret
    pop rdi;push rax;pop rsi;ret
  • probe,trap,trap,trap,trap,trap,trap,stop,trap,trap……
    此时可以找到含ret的指令,且在将进行ret之前,此时栈顶位置少去6个单位
    pop rax;pop rdi;pop rsi;pop rdx;pop rbx;pop r14;ret

但此时注意如果probe是_start函数的开始地址都不会crash
在这里插入图片描述

函数参数构造

此时如果需要用到write需要如下的gadget
在这里插入图片描述
对于参数可通过libc_csu_init
此时libc_csu_init中有一下子弹出 6 个寄存器的 gadgets,程序中并不经常出现。所以,如果我们发现了这样的 gadgets,那么,有很大的可能性,这个 gadgets 就是需要的gadgets。此时可通过错位构造得到想要的gadget
`
找gadget对于不同指令需要的排列的probe stop trap也不同
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

利用PLT

当probe为plt上某个函数的区间部分时,会执行这个给函数
在这里插入图片描述

构造rdx的参数的gadget

由于此时需要的gadget得有pop rdx;其最后还需有ret或者其他能间接将值转移到rdx得指令。但几乎没有
但此时是能够用调用strcmp函数后rdx是字符串长度值这个特性来修改rdx (有待商榷)

我们知道strcmp(para1, para2),只有para1和para2都是有效地址时,strcmp()函数才能够正确执行。我们前面已经知道了两个可用的gadget,csu_gadget1 + 7 和csu_gadget1 + 9。因此我们可用将这两个地址分别作为para1和para2,然后依然尝试probe判断是否成功执行,如果成功执行,说明找到了strcmp()。当然啦,也有可能找到strncmp()和strcasecmp()函数,但是它们和strcmp()有一样的效果。

在这里插入图片描述

找输出函数的plt

依然是构造好参数,但此时可以构造rdi,rsi,rdx了,此时只需要尝试probe如果输出参数对应的内容即找到了输出函数的plt的位置

输出二进制文件内容

然后构造好参数,利用输出函数输出二进制文件所有地址的内容。此时相当于没有blind,有源文件了。此时知道了plt表中的所有函数,那么可以调用不同函数了如read函数

利用plt表中存在跳转到got表中相应的地址

此时得到二进制文件后,找到输出函数的对应plt位置,找到其中跳转指令中存在输出函数在got表的地址,然后再次输出,此时参数为输出函数在got表中的地址,此时可以得到输出函数的真实地址,最后得到libc基地址并计算出/bin/sh的地址和system的地址,如果没有此时可以利用read函数或write函数写入可写的内存,参数自己构造,所以知道地址,然后调用系统调用或system都行,只不过系统调用还需构造其他参数
在这里插入图片描述

看星猩的柴狗
关注
  • 34
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
中级ROP
m0_49959202的博客
09-23 457
文章目录中级ROP1.原理1.1 ret2csu1.1.1 libc_csu_init展示1.1.2 可用gadget介绍1.1.3 组合使用gadget思路1.1.4 类似于libc_csu_init,其他可用的gadget1.1.5 利用libc_csu_init尾部偏移,控制其他寄存器1.2 ret2reg1.2.1 原理1.2.2 防御方法1.3 BROP1.3.1 概念1.3.2 攻击条件1.3.3 攻击原理1.3.3.1 栈溢出长度1.3.3.2 Stack Reading1.3.3.3 Bli
CTF-PWN-栈溢出-中级ROP-【BROP-2】
llovewuzhengzi的博客
12-26 1153
此时将输出函数puts在got表中的地址作为参数,调用puts函数,从而得到puts的真实地址,进而得到libc基地址。注意此时不要关闭传输通道,不然进程再次重启,对应的puts的真实地址会改变,其libc基地址也会改变,所以此时得到puts函数真实地址后跳转到主函数(返回地址是stop_addr),然后计算得到libc基地址和system地址和/bin/sh的地址,然后再次输入构造的ROP链即getshellput_got_addr=0x601018 # 查看binary_file找到got表的地址。
PWN学习总结(四)—— BROP
qq_41988448的博客
12-11 2585
pwn学习总结(七) —— BROP描述攻击条件攻击思路例题判断栈溢出长度寻找 stop gadgets寻找 brop gadgets寻找 puts 函数的 plt 地址寻找 puts 函数的 got 地址并 dump plt 表getshell 描述 BROP(Blind ROP)于 2014 年由 Standford 的 Andrea Bittau 提出,其相关研究成果发表在 Oakland...
buuctf习题pwn(11~20)
yw__y的博客
06-04 392
攻防世界高手进阶区 ——warmup
weixin_62675330的博客
03-13 868
攻防世界高手进阶区 ——warmup 题目并没有给附件,看样子像是一个盲打题。就是BROP BROP原理 BROP(Blind ROP) 于 2014 年由 Standford 的 Andrea Bittau 提出,其相关研究成果发表在 Oakland 2014,其论文题目是 Hacking Blind。 BROP 是没有对应应用程序的源代码或者二进制文件下,对程序进行攻击,劫持程序的执行流。 攻击条件 源程序必须存在栈溢出漏洞,以便于攻击者可以控制程序流程。 服务器端的进程在崩溃之后会重新启动,并且重新
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
ctf-web网络安全课程视频.zip
10-19
1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
Blind ROP
fa1c4的blog
02-21 255
BROP 基于远程服务崩溃与否, 进行ROP攻击获得shell 可用于开启ASLR, NX, canaries的64位linux 应用条件 目标程序存在栈溢出漏洞, 且可以稳定触发 进程崩溃后会立即重启, 且内存不会重新随机化. 如果启用PIE编译, 服务器需要是fork服务器, 且不使用execve进行重启 BROP攻击的流程 stack reading: 泄露canaries和返回地址 blind ROP: 远程搜索gadgets build the exploit: 利用得到的gadget
中级ROPBROP
至臻求学,胸怀云月
02-25 3109
Blind ROP 基本介绍 于2014年提出,论文题目名为Hacking Blind,BROP是指在没有对应应用程序的源代码或者二进制文件的情况下,对程序进行攻击,劫持程序的执行流。 攻击条件 源程序必须存在栈溢出漏洞,以便于攻击者可以控制程序流程。 服务器端的进程在崩溃之后会重新启动,并且重新启动的进程的地址与先前的地址一样,目前nginx,mysql,apache,openssh等服务器应...
高级ROP
听鬼哥说故事
08-29 4931
高级ROP其实和一般的ROP基本一样,其主要的区别在于它利用了一些比较有意思的gadgets。
Blind Return Oriented Programming (BROP) Attack - 攻击原理
omnispace的博客
03-29 4667
0x00 写在前面 第一次在WooYun发文章,不知道是否符合众客官口味,望轻拍。 这篇文章翻译至我的这篇博客,主要介绍了一种叫做BROP的攻击,该文章主要介绍原理部分,对该攻击的重现可以参看我的另外一篇博客。 BROP攻击基于一篇发表在Oakland 2014的论文Hacking Blind,作者是来自Standford的Andrea Bittau,以下是相关paper和slide的链
pwn学习-中级ROP-BROP
WocW的博客
03-06 875
实例复现 先与程序交互 这里直接用本地服务器模拟远程的,但实际上不对原文件进行逆向分析。 其中asdasd为我任意输入的password,可以看出程序的基本交互。这里我们开始 爆破出buffer的长度 exp from pwn import * from LibcSearcher import LibcSearcher def getBufferLength(): i...
[BUUCTF]PWN——axb_2019_brop64
mcmuyanga的博客
01-21 985
axb_2019_brop64 附件 步骤: 例行检查,64位程序,开启了nx 本地试运行一下,看看大概的情况 64位ida载入,第8行的read,明显的溢出漏洞 采用常规的ret2libc的方法 64位传参,要用到寄存器,先找个pop rdi 先是常规的泄露libc p.recvuntil('Please tell me:') payload='a'*(0xd0+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main) p.sendline(p
【学习笔记】CTF PWN选手的养成(二)
prettyX的博客
11-25 1877
第三章 漏洞利用技术 课时1 栈溢出-这些都是套路 0X01 基础知识 1、寄存器:rsp/esp、rbp/ebp等 2、栈: 3、函数调用:call、ret 4、调用约定: __stdcall、__cdecl、__fastcall、__thiscall、__nakedcall、__pascal 5、参数传递:取决于调用约定,默认如下 X86从右向左入栈 X64优先寄存器,参数过...
基于Springboot和Vue的在线视频教育平台源码 在线视频教育平台代码(高分毕设项目)
08-03
在线视频教育平台源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
MATLAB实现的生成对抗网络AAE-内含数据集和结果文件.zip
最新发布
08-03
MATLAB实现的生成对抗网络AAE-内含数据集和结果文件.zip
ctfd-pwn赛题收集
10-23
1. 题目类型:ctfd-pwn赛题可以包含多种类型的漏洞,例如缓冲区溢出、格式化字符串漏洞、整数溢出等。在收集赛题时需要确保涵盖各种漏洞类型,增加题目的多样性和挑战性。 2. 难度级别:赛题的难度级别应该根据参赛...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

看星猩的柴狗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值