ARM64下ROP,以及调试技巧总结:

最新推荐文章于 2024-07-12 17:58:14 发布
最新推荐文章于 2024-07-12 17:58:14 发布
阅读量1.4k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39869547/article/details/105255683
版权
本文详细介绍了在ARM64环境下如何进行Return-Oriented Programming (ROP)的调试,包括环境搭建、依赖库的安装、调试工具gdb-multiarch的使用,以及解决pwntools中asm功能报错的问题。在调试过程中,通过cyclic确定栈溢出长度,寻找gadget,以及构造shellcode来控制程序执行流程。文章还分享了在2018上海CTF的armpwn挑战中应用的ROP技巧。
摘要由CSDN通过智能技术生成

环境搭建:
aarch64依赖库:
apt-get install libc6-arm64-cross

动态需要指定动态库加载路径:
qemu-aarch64-static -L /usr/aarch64-linux-gnu ./arm

安装:gdb-multiarch
sudo apt-get install git gdb-multiarch

调试时,需要启动gdb-multiarch
gdb-multiarch

配置框架:
set architecture aarch64

连接远程端口:
target remote localhost:1234

方笔方便和pwndbg或者peda兼容,需要降低gdb版本:
sudo apt-get remove gdb

各版本gdb:
http://ftp.gnu.org/gnu/gdb/

linux 下安装lantern:
deb文件安装好后,需要安装包:
apt-get install gir1.2-appindicator3-0.1

pwntools 的 asm功能报错的情况–针对arm:
解决方法:
git clone https://github.com/Gallopsled/pwntools-binutils
cd pwntools-binutils
cd ubuntu
sudo ./install_all.sh arm
sudo ./install.sh arm
需要Binutils库支持的框架才行。

调试过程当中,下断点:
具体调试时,刚刚用gdb来target的时候,是先劫持到加载器,我们的要程序还没加载进去。
没开pie可以先下断点,等待劫持即可。
这里出现一个问题:checksec的时候pie为0x400000
先利用:cyclic 200 产生字符串,造成溢出来捕获程序的位置,确定真实的基地址,这个方法会导致确定错误的基址。
cyclic 200确定的基址是:0x410000,这是错误的,真正的基址还是0x400000。
确定基址我们就可以把断点下到任意位置了。
如图:
在这里插入图片描述
真实的基址(错误的),注意看各个区段的属性:
在这里插入图片描述
经过调试,程序加载的基址并不是0x410000,好像是产生异常后,将0x400000的数据拷贝到0x410000的
程序的真正基址还是0x400000,如图:
在这里插入图片描述

列题:
2018上海 ctf 的armpwn。
exp是参考别人的:
调试exp时,先下断点,再调试。

# -*- coding: utf-8 -*-
from pwn import *
import sys
import time
context.binary = "./arm"
binary = './arm'

if sys.argv[1] ==
最低0.47元/天 解锁文章
qq_39869547
关注
一、pwn - 零基础ROP之Android ARM 32位篇(新修订,精华篇)
键盘的起始页
04-17 1026
一旦你知道了溢出的偏移量,你就可以构造一个包含NOP滑梯、shellcode以及用于覆盖PC的正确地址的有效载荷。你需要确保shellcode位于溢出点之后,并且PC被设置为指向NOP滑梯的开始部分,这样当执行流到达该位置时就会滑入你的shellcode并执行。使用模式创建工具来确定哪部分输入覆盖了程序计数器(PC),是一种常见的方法,特别是在开发缓冲区溢出漏洞利用时。当程序崩溃时,检查程序计数器(PC)的值。工具将输出一个数字,表示在模式中的偏移量,这个数字就是从输入数据的开始到覆盖PC的点的字节数。
arm64_rop_exploit:Arm64返回定向编程(ROP)漏洞
03-02
arm64_rop_exploit arm64 rop小工具二进制文件,用于将arm64反向外壳程序代码映射到内存中并执行代码 这仅适用于目标arm64设备。 用于将rop小工具映射到内存中并从libc库执行shell代码的源代码。 在运行Ubuntu 18.04.4 LTS(GNU / Linux 4.15.0-1062-raspi2 aarch64)的Raspberry Pi上测试了arm64代码。 执照 有关详细信息,请参阅文件。 rop.py 关于 该项目将研究漏洞的利用以及面向收益的编程的使用。 这将建立在注入外壳程序代码以进行开发的基础上。 该项目的创举来自以下博客: 但是,该博客有一些非常有用的小工具,但找不到该博客所指向的解决方案。 因此,决定以此为基础,并使用该rop博客的一些小工具来设计项目。 在受DEP(数据执行保护)保护的过程中-不应同时存在可执行和可写的
arm64 调试环境搭建及 ROP 实战
weixin_30478619的博客
11-08 436
前言 比赛的一个 arm 64 位的 pwn 题,通过这个题实践了 arm 64 下的 rop 以及调试环境搭建的方式。 题目文件 https://gitee.com/hac425/blog_data/tree/master/arm64 程序分析 首先看看程序开的保护措施,架构信息 hac425@ubuntu:~/workplace$ checksec pwn [*] '/home/hac425/...
Intel 和 ARMROP/COP/JOP的缓解措施
最新发布
小立仔
07-12 894
前向转移(forward):将控制权定向到程序中一个新位置的转移方式, 就叫做前向转移, 比如jmp和call指令。这里我们主要保护的间接跳转,间接跳转是运行时才知道函数地址,而直接跳转在编译阶段就已经确定(攻击者很难利用)。后向转移(backward):而将控制权返回到先前位置的就叫做后向转移, 最常见的就是ret指令。现代CPU的增强功能,如非可执行堆栈和非可写代码页,有助于防止传统形式的代码注入。然而,比如在x86架构中,指令解码可以从任意字节开始,这为攻击者提供了一组不同于程序员意图的指令。
c仿照pwn题实现arm64下的rop
weixin_45574485的博客
04-25 521
代码基于一个ctf竞赛的rop用例写成,省去了用pwn进行攻击的过程,减少了工具的使用,方便以后添加到自动化测试用例。 废话不多说,先贴代码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/mman.h> #include <string.h> char * rop_chain = "\x61\x61\x61\x61\x61\x61\x61\
iOS冰与火之歌 – Objective-C Pwn and iOS arm64 ROP
Kiven's Program Space
08-17 1314
原文地址:http : //drops.wooyun.org/papers/12355 0x00序 冰指的是用户态,火指的是内核态。如何突破像冰箱一样的用户态沙盒最终到达并控制如火焰一般燃烧的内核就是“iOS的冰与火之歌”这一系列文章将要讲述的内容目录如下: Objective-C Pwn和iOS arm64 ROP██████████████████████████
ARM 汇编语言入门
墨鱼菜鸡
07-11 1525
[翻译]二进制漏洞利用(二)ARM32位汇编下的TCP Bind shell:https://bbs.pediy.com/thread-253511.htm ARM汇编语言入门 From:ARM汇编语言入门(一):https://zhuanlan.zhihu.com/p/109057983 原文地址:https://azeria-labs.com/...
小白详解rop emporium
BadRer的博客
08-02 2111
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 题目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
一步一步学ROP之linux_x86篇
AliMobileSecurity的博客
07-06 5659
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的学好ROP还是得从基础的x86系统开始。
《一步一步学ROP之Android ARM 32位篇》 源码修改版之增加gadgets
06-08
蒸米的代码基础上,加了sqlite3代码便于方便查找gadgets。。。。。。。。。。。。。。。。。。。。。。。。。。。。
使用ROPgadget快速寻找arm64 pwn的rop链之ret2csu
fjh1997的博客
01-28 1170
ROPgadget --binary ./pwn --only "ldp|ret" 看到最长的那个就是,我们得到rop链的入口0x400ff8接下来使用x30寄存器跳转的地址就是0x400ff8-0x20也就是0x400fd8这块.rop链第一阶段的目的是将0x400fd8填充到x30寄存器中。 也可以用rop ROPgadget --binary ./chall --only "ldr|mov|add|blr" 找到rop链链接的第二个片段入口 最后我们可以在x3中填充我们想要的地址,比如lib.
arm 架构_记一次ARM架构的ROP利用
weixin_39585675的博客
11-12 241
先说一下需要搭建的环境:1.安装qemu:sudo apt-get install qemu-user2.安装gdb-multiarch:sudo apt-get install gdb-multiarch3.安装依赖库:sudo apt install gcc-arm-linux-gnueabi gcc-aarch64-linux-gnu然后就可以通过qemu起一个虚拟机模拟arm架构...
关于ARM平台上的ROP攻击
简行之旅
10-09 4817
最近在研究ROP攻击,看了不少相关的资料,接下来准备在这方面做个专题分享,我将会从下面几个方面着手: 常见的堆栈溢出及攻击原理基于X86的Ret2Lib的实现原理基于ARM的Ret2ZP的实现原理攻击实例分析——攻击序列的构造
ROP Emporium x86_64 1~6题
CoLin的pwn小屋
04-09 3288
ROP Emporium x64 1-6题
记一次ARM架构的ROP利用
蚁景网安学院
02-17 344
先说一下需要搭建的环境:1.安装qemu:sudo apt-get install qemu-user2.安装gdb-multiarch:sudo apt-get install gdb...
一步一步学ROP之Android ARM 32位篇 -- 阅读笔记及实践
andy7002的博客
06-08 1909
0x00 前言   本文是蒸米的《一步一步学ROP之Android ARM 32位篇》读书笔记,自己动手做了一遍,记录了遇到不一样的地方和问题,4个程序全部运行成功。 0x01 简单的例子(level6) #include #include #include void callsystem() { system("/system/bin/sh"); } void vu
一步一步学ROP之Android ARM 32位篇
jltxgcy的专栏
02-19 2697
0x00    本文仅解释说明蒸米大神一步一步学ROP之Android ARM 32位篇,读者应先阅读这篇文章,遇到问题再来看我这篇文章。   0x01    第一个问题:payload = 'A'*132 + p32(callsystemaddr),这个132是怎么来的?    要回答这个问题,我们需要把level6.c反汇编,level6.c代码如下: #include #include #i
arm64rop 实现
03-31
ARM64架构中,ROP攻击的实现方式和x86架构类似,主要包括以下几个步骤: 1. 找到可用的指令序列:在程序的可执行代码中,找到一些已有的指令序列,这些指令序列可以实现ROP攻击的目的。 2. 构造栈帧:通过修改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值