Blind ROP

最新推荐文章于 2023-12-26 22:24:23 发布
最新推荐文章于 2023-12-26 22:24:23 发布
阅读量263 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/113919902
版权

BROP

  • 基于远程服务崩溃与否, 进行ROP攻击获得shell
  • 可用于开启ASLR, NX, canaries的64位linux

应用条件

  1. 目标程序存在栈溢出漏洞, 且可以稳定触发
  2. 进程崩溃后会立即重启, 且内存不会重新随机化. 如果启用PIE编译, 服务器需要是fork服务器, 且不使用execve进行重启

BROP攻击的流程

  1. stack reading: 泄露canaries和返回地址
  2. blind ROP: 远程搜索gadgets
  3. build the exploit: 利用得到的gadgets构造ROP, 将程序传回本地, 归约到一般ROP攻击

BROP防御措施

  1. 同时开启ASLR, PIE, 并且在程序重启时随机化内存地址空间和canaries
  2. 进程发生段错误后延迟复刻新进程, 降低枚举速度
  3. 常用的ROP防御措施, 控制流完整性CFI等
fa1c4
关注
专栏目录
中级ROP
m0_49959202的博客
09-23 480
文章目录中级ROP1.原理1.1 ret2csu1.1.1 libc_csu_init展示1.1.2 可用gadget介绍1.1.3 组合使用gadget思路1.1.4 类似于libc_csu_init,其他可用的gadget1.1.5 利用libc_csu_init尾部偏移,控制其他寄存器1.2 ret2reg1.2.1 原理1.2.2 防御方法1.3 BROP1.3.1 概念1.3.2 攻击条件1.3.3 攻击原理1.3.3.1 栈溢出长度1.3.3.2 Stack Reading1.3.3.3 Bli
vuln-nginx-1.4.0:自然易受攻击的nginx会及时快照。 (用于Blind ROP演示中)
05-22
脆弱的Nginx 1.4.0 Docker映像 Docker镜像 用法 USAGE This project is of the familiar form: bash build.sh bash test.sh bash publish.sh After successful build.sh, you can run the container thus: ...
Blind Return Oriented Programming (BROP) Attack - 攻击原理
omnispace的博客
03-29 4712
0x00 写在前面 第一次在WooYun发文章,不知道是否符合众客官口味,望轻拍。 这篇文章翻译至我的这篇博客,主要介绍了一种叫做BROP的攻击,该文章主要介绍原理部分,对该攻击的重现可以参看我的另外一篇博客。 BROP攻击基于一篇发表在Oakland 2014的论文Hacking Blind,作者是来自Standford的Andrea Bittau,以下是相关paper和slide的链
攻防世界高手进阶区 ——warmup
weixin_62675330的博客
03-13 884
攻防世界高手进阶区 ——warmup 题目并没有给附件,看样子像是一个盲打题。就是BROP BROP原理 BROP(Blind ROP) 于 2014 年由 Standford 的 Andrea Bittau 提出,其相关研究成果发表在 Oakland 2014,其论文题目是 Hacking Blind。 BROP 是没有对应应用程序的源代码或者二进制文件下,对程序进行攻击,劫持程序的执行流。 攻击条件 源程序必须存在栈溢出漏洞,以便于攻击者可以控制程序流程。 服务器端的进程在崩溃之后会重新启动,并且重新
CTF-PWN-栈溢出-中级ROP-【BROP-1】
最新发布
llovewuzhengzi的博客
12-26 1299
此时得到二进制文件后,找到输出函数的对应plt位置,找到其中跳转指令中存在输出函数在got表的地址,然后再次输出,此时参数为输出函数在got表中的地址,此时可以得到输出函数的真实地址,最后得到libc基地址并计算出/bin/sh的地址和system的地址,如果没有此时可以利用read函数或write函数写入可写的内存,参数自己构造,所以知道地址,然后调用系统调用或system都行,只不过系统调用还需构造其他参数。即没有得到源码或者可执行程序文件的情况的文件下,只有一个提供的功能端口进行攻击。
中级ROP之BROP
至臻求学,胸怀云月
02-25 3153
Blind ROP 基本介绍 于2014年提出,论文题目名为Hacking Blind,BROP是指在没有对应应用程序的源代码或者二进制文件的情况下,对程序进行攻击,劫持程序的执行流。 攻击条件 源程序必须存在栈溢出漏洞,以便于攻击者可以控制程序流程。 服务器端的进程在崩溃之后会重新启动,并且重新启动的进程的地址与先前的地址一样,目前nginx,mysql,apache,openssh等服务器应...
点融信息安全实践之路.pdf
08-07
内核保护技术如DEP(数据执行保护)和ASLR(地址空间布局随机化)能有效防御这类攻击,但它们也可以被绕过,如Return-Oriented Programming(ROP)和Blind ROP技术能绕过DEP和ASLR,直接执行攻击者代码。 客户端...
信息安全_互联网金融安全.“寒战”不断.20160423.pub.pptx
08-14
尽管现代操作系统提供了DEP(数据执行防护)和ASLR(地址空间布局随机化)等防护措施,但高级攻击者可能利用Return-Oriented Programming(ROP)技术绕过这些防护,特别是Blind ROP,即使有后台日志记录,其隐蔽性...
From_good_to_best.pdf
08-07
6. 竞赛中的具体技术方法和漏洞利用:文档中提到了一些技术方法和漏洞利用的概念,如“four vector attacks”、“blind ROP chains”等。这些技术通常用于在竞赛中发现和利用安全漏洞,如Pwn2Own中常见的利用浏览器...
PWN基础之构造ROP链(基本ROP
weixin_46132162的博客
02-02 4629
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
高级ROP
听鬼哥说故事
08-29 4977
高级ROP其实和一般的ROP基本一样,其主要的区别在于它利用了一些比较有意思的gadgets。
pwntools中fmtstr的使用
fa1c4的blog
02-01 4113
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
kali安装checksec
fa1c4的blog
01-26 3420
git clone https://github.com/slimm609/checksec.sh.git cd checksec.sh sudo ln -s checksec /usr/local/bin/checksec 如果已存在checksec,用 sudo ln -sf checksec /usr/local/bin/checksec
[Windows] CVE-2011-2005 Afd.sys 本地提权漏洞复现
fa1c4的blog
01-26 3373
前言 这是一个微软在2011.10发布的补丁中提到的系统辅助驱动程序Afd.sys存在的本地提权漏洞, 影响到Windows XP, 和Windows Server 2003系统. 漏洞成因是Microsoft Windows Ancillary Function Driver(afd.sys)驱动程序没有完善检测用户提交的数据, 攻击者可以利用该漏洞执行任意代码. 漏洞分析 漏洞利用 总结 ...
Ubuntu16.04 pip安装pwntools出错
fa1c4的blog
02-23 3059
具体出错过程 Ubuntu16.04装pip, 然后用pip装pwntools会提示pip版本过低, 按给的命令更新之后pip就崩了 解决 先卸载pip https://blog.csdn.net/qq_33976344/article/details/113991528 然后下载文件进行安装 curl "https://bootstrap.pypa.io/get-pip.py" -o "get-pip.py" python3 get-pip.py python2 get-pip.py # 提示 ERR
BUUCTF pwn wp 81 - 85
fa1c4的blog
01-08 2972
wdb_2018_2nd_easyfmt int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[100]; // [esp+8h] [ebp-70h] BYREF unsigned int v4; // [esp+6Ch] [ebp-Ch] v4 = __readgsdword(0x14u); setbuf(stdin, 0); setbuf(stdout, 0);
Ubuntu安装checksec
fa1c4的blog
04-15 2686
环境配置, 纯命令行解决. # install git sudo apt-get install git ### cd git clone https://github.com/slimm609/checksec.sh sudo ln -sf ~/checksec.sh/checksec /usr/local/bin/checksec 经测试, 适用大部分版本Ubuntu.
确认main_arena相对libc的偏移地址
fa1c4的blog
08-26 2627
前言 打保护全开的堆题时碰到的问题, 大佬wp直接给exp, 但是奈何萌新很多细节不懂啊 现在记录一下寻找main_arena相对libc偏移的方法(又水一篇博客) 在0CTF 2017 babyheap这题中, 利用 fast chunk 和 small chunk 堆叠技术将main_arena的实际地址泄露出来, 另外通过这个相对偏移, 计算libc的加载基址, 完成libc泄露 过程 对照看下mallo.c的源码 方法一 逆向分析libc.so文件 拖进IDA 函数框搜索malloc_trim
RopRop框架:构建服务开放平台的解决方案
"Rop开发手册1.0 - 陈雄华" Rop,全称为Rapid Open Platform,是一个专门用于构建服务开放平台的框架,区别于传统的纯技术型Web Service框架,如CXF和Jersey。Rop设计的目标是为开发者提供一个能够创建类似淘宝服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值