angrop——自动构建rop链的工具

最新推荐文章于 2024-05-29 17:57:18 发布
最新推荐文章于 2024-05-29 17:57:18 发布
阅读量1.2k 收藏 5
点赞数
分类专栏: pwn angr 文章标签: angr rop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013648063/article/details/112152014
版权
pwn 同时被 2 个专栏收录
12 篇文章 0 订阅
订阅专栏
angr
12 篇文章 6 订阅
订阅专栏

angrop是一个自动化生成rop链的工具。他是基于angr的符号执行引起,并且用约束求解去生成rop链,而且可以理解gadget的作用。

angrop这个工具构造长的rop链要比人工快多了。

docker安装

拉取angr的镜像

sudo docker pull angr/angr

基于镜像创建容器

sudo docker run -it --name=angr_container angr/angr

angrop用法

github上给出了一个简单的示例。

>>> import angr, angrop
>>> p = angr.Project("/bin/ls")
>>> rop = p.analyses.ROP()
>>> rop.find_gadgets()
>>> chain = rop.set_regs(rax=0x1337, rbx=0x56565656)
>>> chain.payload_str()
b'\xb32@\x00\x00\x00\x00\x007\x13\x00\x00\x00\x00\x00\x00\xa1\x18@\x00\x00\x00\x00\x00VVVV\x00\x00\x00\x00'
>>> chain.print_payload_code()
chain = b""
chain += p64(0x410b23)  # pop rax; ret
chain += p64(0x1337)
chain += p64(0x404dc0)  # pop rbx; ret
chain += p64(0x56565656)

这里的rop链只是实现了一个设置寄存器rax、rbx的值分别为0x1337、0x56565656。如果想实现别的功能的话,angrop也能做到。github官网上列举了这几种:

# angrop includes methods to create certain common chains

# setting registers
chain = rop.set_regs(rax=0x1337, rbx=0x56565656)

# writing to memory 
# writes "/bin/sh\0" to address 0x61b100
chain = rop.write_to_mem(0x61b100, b"/bin/sh\0")

# calling functions
chain = rop.func_call("read", [0, 0x804f000, 0x100])

# adding values to memory
chain = rop.add_to_mem(0x804f124, 0x41414141)

# chains can be added together to chain operations
chain = rop.write_to_mem(0x61b100, b"/home/ctf/flag\x00") + rop.func_call("open", [0x61b100,os.O_RDONLY]) + ...

# chains can be printed for copy pasting into exploits
>>> chain.print_payload_code()
chain = b""
chain += p64(0x410b23)  # pop rax; ret
chain += p64(0x74632f656d6f682f)
chain += p64(0x404dc0)  # pop rbx; ret
chain += p64(0x61b0f8)
chain += p64(0x40ab63)  # mov qword ptr [rbx + 8], rax; add rsp, 0x10; pop rbx; ret
...

此外,打印gadget,也能获取到很丰富的gadget信息。

>>> print(rop.gadgets[0])
Gadget 0x403be4
Stack change: 0x20
Changed registers: set(['rbx', 'rax', 'rbp'])
Popped registers: set(['rbx'])
Register dependencies:
    rbp: [rdi, rbp]
Memory write:
    address (64 bits) depends on: ['rbx']
    data (64 bits) depends on: ['rax']

这里的寄存器依赖关系指的是哪些寄存器影响了最终的寄存器的值。在上面的例子中,rdi和rbp影响了rbp的值。所有的信息都存在gadget对象的属性里,所以很容易来迭代他们,来找到适合你需要的gadget。

>>> for g in rop.gadgets:
    if "rax" in g.popped_regs and "rbx" not in g.changed_regs:
        print(g)
Gadget 0x4032b3
Stack change: 0x10
Changed registers: set(['rax'])
Popped registers: set(['rax'])
Register dependencies:
破落之实
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
dropper:自动 ROP 生成器
06-15
滴管 自动 ROP 生成工具 dropper 旨在自动生成一个 ROP ,一旦注入到可执行文件的堆栈中,它就能生成一个 shell。 它处于开发的早期阶段,没有文档:( 它在引擎盖下使用 BARF 框架 [0](但实际上它仅适用于稍作修改的版本 [1])。 依赖关系 BARF(实际上是这个 fork[1]) 派尔夫工具 例子 from dropper import dropper dr = dropper.dropper('/bin/mv') dr.analyze_all() dr.add_shared_object('/lib/x86_64-linux-gnu/libc.so.6') dr.set_function_for_address_resolving('strrchr') pl = dr.build_spawn_shell_payload() 这里有一个小演示视频(分
exrop:自动ROPChain生成
04-23
多余的 Exrop自动ROP生成器工具,可以根据给定的二进制文件和约束条件自动构建工具 要求: , 目前仅支持x86-64! 特征: 处理单向小工具(jmp reg,call reg) 设置寄存器( rdi=0xxxxxx, rsi=0xxxxxx ) 将寄存器设置为寄存器( rdi=rax ) 写给内存 将字符串/字节写入内存 函数调用( open('/etc/passwd',0) ) 函数调用中的传递寄存器( read('rax', bss, 0x100) ) 避免坏蛋 堆栈Exrop.stack_pivot ( Exrop.stack_pivot ) syscall( Exrop.syscall ) 看 安装 安装python(推荐并测试3.6) 安装triton( ),确保将-DPYTHON36=on添加为cmake选项 安装ropgadget(
探秘Angrop:利用动态分析进行Android漏洞发掘的强大工具
gitblog_00075的博客
04-19 354
探秘Angrop:利用动态分析进行Android漏洞发掘的强大工具 项目地址:https://gitcode.com/salls/angrop 在网络安全领域,特别是针对移动应用的安全测试中,Angrop 是一个不可或缺的工具。它是一个专注于Android应用的模糊测试框架,通过动态分析来发现潜在的漏洞。本文将带你深入理解Angrop的工作原理、应用场景和主要特性,帮助你充分利用这一强大资源。 项...
栈溢出漏洞利用一,详解基本ROP,构造rop条实现攻击(pwn入门)
最新发布
2402_83422357的博客
05-29 1048
基本ROP攻击手法的话其实还有一个最常用的,比赛经常出现的,也就是打syscall的ROP攻击没有提到,下次有时间讲下打syscall的攻击手法,但是只有先把上面的两个ROP的攻击手法会懂了,尤其是ret2shellcode,才能够有可能真正理解syscall的ROP攻击,其实我自己对于ret2shellcode也仅仅是学了个入门而已,还有很多不懂的,还在学习ing.参考文章:CTF Wiki。
HITCON-Training lab5(自己构造rop
像初雪一样自由洒落
03-12 357
看到静态接,一顿欣喜,直接ropchain生成,栈溢出找出来就ok啦?然后后来发现并没有那么简单。。。 ================================================================================================ 【一段小插曲】 做题的时候突然很奇怪,nx开启,堆栈不可执行,为什么可以执行pop这些指令...
ROPR:一款功能强大的极速多线程ROPGadget查找工具
阿道夫的博客
02-10 1451
Programming),即返回导向编程,而ROPGadget是一些包含汇编指令的代码段,通常以ret指令结尾,这些指令已经作为可执行代码存在于每个源码文件或代码库中,而这些小工具可用于二进制攻击,并破坏易受攻击的可执行文件。大多数可执行文件包含足够的小工具来编写ROP一旦我们知道了地址,就可以使用包含在同一地址空间(如libc)中的动态库。而使用ROPGadget的好处在于,无需在任何地方编写新的可执行代码,攻击者可以仅使用程序中已经存在的代码来实现其目标。这时候你当然需要一份系统性的学习路线。
seay svn漏洞利用工具_roptool 一种帮助您编写二进制漏洞利用的工具
weixin_39956110的博客
11-25 234
rop-tool v2.4.2一种帮助您编写二进制漏洞利用的工具选项rop-tool v2.4.2Help you make binary exploits.Usage: rop-tool [OPTIONS]Commands : gadget Search gadgets patch Patch the binary info ...
55.Windows漏洞利用之构建ROP绕过DEP并获取Shell1
08-03
通过理解DEP、构建ROP、利用VirtualProtect以及自动化攻击过程,读者可以深入学习到安全攻防的基本原理和技术。同时,作者强调了网络安全知识的学习应以防护为主,反对任何非法利用行为,共同维护网络环境的安全。
ROP工具
02-16
在实际应用中,安全研究员可能会先使用ROPgadget找到合适的gadgets,然后使用其他工具(如Ropemaker或RopEmpire)来组合这些gadgets,构建完整的ROP。这在逆向工程、漏洞利用开发和安全研究中非常有价值。 了解...
Ropper:显示有关不同文件格式的文件的信息,并找到用于为不同体系结构(x86x86_64,ARMARM64,MIPS,PowerPC,SPARC64)构建rop的小工具。 对于拆卸,ropper使用了很棒的Capstone框架
05-12
罗珀 您可以使用ropper来显示有关不同文件格式的二进制文件的信息,还可以搜索小工具构建针对不同体系结构(x86 / X86_64,ARM / ARM64,MIPS / MIPS64,PowerPC / PowerPC64,SPARC64)的rop。 对于拆卸,...
Python-ropa是一个基于Ropper的GUI简化了制作ROP
08-10
ropa是一个基于Ropper的GUI,简化了制作ROP。 与命令行相比,它使用Ropper时提供了一个更干净的界面。
PWN基础之构造ROP(基本ROP
weixin_46132162的博客
02-02 4219
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
PicoCTF_2018_rop_chain
m0_74073577的博客
02-23 385
PicoCTF_2018_rop_chain
ROP技术绕过DEP--MPlayer栈溢出漏洞
weixin_30251587的博客
06-02 457
一、前言 1.1 DEP介绍 数据执行保护 (DEP) 是一套软硬件技术,能够在内存上执行额外检查以防止在不可运行的内存区域上执行代码。 在 Microsoft Windows XP Service Pack 2、 Microsoft Windows Server 2003 Service Pack 1 、 Microsoft Windows XP Tablet PC Edition 2005...
picoctf_2018_rop chain wp(python3)
Kata_Jhin的博客
06-02 260
picoctf_2018_rop chain wp(python3)
CTF-PWN-buuctf-not_the_same_3dsctf_2016-ROP函数返回到指定位置和ROP-chain的典型使用
serfend's blog
04-20 1491
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:接:https://pan.baidu.com/s/1Wll80yDkRvz5XMW_xIZRNQ?pwd=uye9 提取码:uye9 答案:flag{c264d02e-6de6-4164-82a6-bdcb6c8ba64f} 总体思路 发现题目存在溢出点,并且给了flag相关的函数 但是此题是静态编译的,有很多其他不必要的函数,可以尝试直接使用ROP-chain方法get-shell 详细步骤 查看文件信
linux内核rop姿势详解,[原创]rop攻击原理与思路(x86/x64)
weixin_42397925的博客
05-02 808
rop的基础原理rop是Return Oriented Programming(面向返回的编程)的缩写;根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:栈顶是返回地址,紧接着是自己的参数(X86架构下);然后,被调用者会对栈空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的栈空间,以使其回到自己被调用前的栈空间,保持栈平衡;最后,被调用者以ret指令结...
绕过DEP:Windows漏洞利用中的ROP构建与实战
"这篇网络安全教程文章主要探讨了如何在Windows环境中构建ROP来绕过DEP(数据执行保护)机制,并获取Shell。作者强调反对利用这些技术进行非法活动,旨在促进网络安全知识的学习和防御。文章内容包括理解DEP,构造...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

破落之实

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值