基本ROP技巧总结

最新推荐文章于 2024-05-29 17:57:18 发布
最新推荐文章于 2024-05-29 17:57:18 发布
阅读量5.6k 收藏 4
点赞数
分类专栏: 总结 CTF-PWN-栈溢出 ROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40850881/article/details/80216764
版权

ROP攻击前提:

  • 存在栈溢出并且可以控制返回地址
  • 存在满足条件的gadget,如果开启了PIE保护则要想办法泄露gadget的地址


ret2text

程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段,我们可以直接将返回地址覆盖为其地址跳转到已有代码上。

例子:

TODO


ret2shellcode

这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的shellcode处运行。一般情况下我们都是向栈中缓冲区写入shellcode,这种情况需要程序关闭NX,

例子 :ret2shellcode

检查程序发现没有开启任何保护

qts@qts-PC:~/奇幻世界/杂题/ret2shellcode$ ./checksec.sh --file ret2shellcode 
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      FILE
Partial RELRO   No canary found   NX disabled   Not an ELF file   No RPATH   No RUNPATH   ret2shellcode
可以看到这里将内容复制到位于bss段的buf2中。 
int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [sp+1Ch] [bp-64h]@1

  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  puts("No system for you this time !!!");
  gets((char *)&v4);
  strncpy(buf2, (const char *)&v4, 0x64u);
  printf("bye bye ~");
  return 0;
}

查看一下bss段是否可执行

readelf -S ret2shellcode查看bss段位于0x804a040

[24] .data             PROGBITS        0804a028 001028 000008 00  WA  0   0  4
[25] .bss              NOBITS          0804a040 001030 0000a4 00  WA  0   0 4

gdb调试vmmap命令查看,发现bss段可读可写可执行。

gef➤  vmmap
Start      End        Offset     Perm Path
0x08048000 0x08049000 0x00000000 r-x /home/qts/奇幻世界/杂题/ret2shellcode/ret2shellcode
0x08049000 0x0804a000 0x00000000 r-x /home/qts/奇幻世界/杂题/ret2shellcode/ret2shellcode
0x0804a000 0x0804b000 0x00001000 rwx /home/qts/奇幻世界/杂题/ret2shellcode/ret2shellcode
0xf7dfd000 0xf7fae000 0x00000000 r-x /lib/i386-linux-gnu/libc-2.24.so
0xf7fae000 0xf7fb0000 0x001b0000 r-x /lib/i386-linux-gnu/libc-2.24.so
0xf7fb0000 0xf7fb1000 0x001b2000 rwx /lib/i386-linux-gnu/libc-2.24.so
我们可以将shellcode写入bss段,并控制程序跳转到shellcode处

exp如下:

##!/usr/bin/env python
from pwn import
最低0.47元/天 解锁文章
_极目楚天舒
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3331
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
暑期pwn! pwn! pang! (三):开了pie的rop绕过
qq_43342413的博客
07-12 3664
话不多说先上图: 依旧开了栈中数据不可执行保护,而且重点是,开了pie! ! ! 唉,PIE这个磨人的小妖精。 还是要想办法绕过,咱们的目的是得到libc中system和/bin.sh的地址 开启了地址随机化,每次运行的基址都不一样,所以得先得到每次程序运行的libc的基址,这里我们利用__libc_start_main -我们想办法得到程序中libc_start_main的地址,减去li...
ret2shellcode
qq_45691294的博客
12-18 4622
shellcode的含义: 在栈溢出的攻击技术中通常是要控制函数的返回地址到自己想要的地方执行自己想要执行的代码。ret2shellcode代表返回到shellcode中即控制函数的返回地址到预先设定好的shellcode区域中去执行shellcode代码,这是非常危险的。 这里学习一下shellcode的利用方式,用ret2shellcode作为例题 先用checksec查看一下保护,可以看到,没有开启任何保护机制,且是一个32位的程序 使用IDA分析程序,只发现了主函数,并没有发现后门函数 get
栈溢出漏洞利用一,详解基本ROP,构造rop链条实现攻击(pwn入门)
最新发布
2402_83422357的博客
05-29 1045
基本ROP攻击手法的话其实还有一个最常用的,比赛经常出现的,也就是打syscall的ROP攻击链没有提到,下次有时间讲下打syscall的攻击手法,但是只有先把上面的两个ROP链的攻击手法会懂了,尤其是ret2shellcode,才能够有可能真正理解syscall的ROP攻击链,其实我自己对于ret2shellcode也仅仅是学了个入门而已,还有很多不懂的,还在学习ing.参考文章:CTF Wiki。
【PWN】07.ret2syscall
weixin_52553215的博客
11-12 2307
Linux 在x86上的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。在 /usr/include/x86_64-linux-gnu/asm/unistd_64.h 和/usr/include/x86_64-linux-gnu/asm/unistd_32.h 分别可以查看 64 位和 32 位的系统调用号。
【PWN · ret2shellcode】[HNCTF 2022 Week1]ret2shellcode
Mr_Fmnwon的博客
04-25 2857
ret2shellcode——顾名思义,控制执行流到shellcode在更简单的一类题目ret2text中,我们主要的尝试是修改某个返回地址修改,修改到程序固有的后门函数处,劫持程序控制流以期返回后门。然而,如果程序中并不存在这样的后门函数,那么很朴素的想法是,能不能自己写一段后门函数,然后劫持程序控制流返回执行这段恶意代码呢?依此,主要的过程如下:(1)构造shellcode通过溢出放到程序某片存储空间上——为了能够执行这段代码,所存储的区域需要有可执行的权限。
字符串溢出(pwn溢出)--ret2shellcode
莫慌的博客
09-26 2066
pwn 入门
rop轻松谈.pdf
10-21
本文將對ROP技術進行詳細的介紹,涵蓋ROP基本概念、Buffer Overflow、ret2libc/ret2text、Return Oriented Programming等知识点。 ROP技术的基本概念 ROP技術是基於Buffer Overflow的攻擊技術,通過覆蓋函數返回...
rop开放平台
04-12
4. **教学资源**:包括教程、文档和视频,讲解ROP基本原理、实施步骤以及防御措施。 5. **社区交流**:用户可以与其他安全专家交流,分享经验,讨论新的攻击手段和防御策略。 6. **比赛与挑战**:举办安全竞赛,...
rop demo完整用例
07-16
ROP基本思想是不注入新的代码,而是利用程序已经存在的指令序列(每个序列通常只包含一到两个指令,结束于`ret`指令),这些序列被称为gadgets。攻击者通过精心设计的堆栈布局,使得程序在执行到`ret`指令时,返回...
rop-master.rar
11-04
RopRop 是 Rapid Open PlatformRapid Open Platform Rapid Open Platform Rapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open ...
Rop开发手册
04-02
Rop开发手册》是一本全面探讨Rop技术的专业指南,旨在帮助开发者深入理解并熟练运用Rop在软件开发中的各种技巧与策略。Rop,全称为Return-Oriented Programming,是一种利用程序内存中已存在的小片段代码(也称为...
ret2syscall
qq_44759495的博客
07-04 1382
原理 ret2syscall,即控制程序执行系统调用,获取 shell。 步骤 checksec检查是否有保护 可以看出,源程序为 32 位,开启了 NX 保护。接下来利用 IDA 来查看源码 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 ...
pwn小白入门04---ret2shellcode
weixin_45943522的博客
02-21 1853
原理 ret2shellcode,当程序当中没有system函数时,我们需要自己往栈上写入一段shellcode,然后控制eip使其指向shellcode的地址。 shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。 在栈溢出的基础上,要想执行 shellcode,需要对应的程序在运行时,shellcode 所在的区域具有可执行权限。即必须关闭堆栈不可执行功能。 例题(来自ctfwiki): 首先checksec: 发现程序没有开启任何保护,并且存在可读可写
简单的PWN学习-ret2shellcode
weixin_48421613的博客
07-05 818
最近在学习pwn,这是一道2016年的pwn题目,主要学习关于栈溢出以及劫持栈指针达到命令执行的效果,笔者水平较差,请轻喷
ret2syscall(pwn第二课)
s5555555___的博客
02-20 1206
xo.01 ret2syscall原理ret2syscall,即通过ROP控制程序执行系统调用,获取 shell。xo.02 ROP原理:随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是所谓 gadgets 就是以 ret 结尾的指令序列。例如:pop eax;ret这段代码的作用就是将。
Ret2ShellCode
钞sir的博客
01-24 8151
红颜祸 千般柔情 相思难解两相若 蝶恋花 几经浮沉 枯骨终是化飞沙 简介 ret2shellcode顾名思义,就是return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcode,得到system(sh)的效果;ret2shellcode是栈溢出中一种简单而且常规的操作,当配合ROP等技术的使用后,非常有用 利用条件 ret2shel...
ret2shellcode 学习
akdelt的博客
01-24 513
shellcode 之前提了,ret2shellcode是指攻击者需要自己将调用shell的机器码(也称shellcode)注入至内存中,随后利用栈溢出复写return_address,进而使程序跳转至shellcode所在内存。若某个程序的bss段可写且可执行,攻击者就可以尝试将shellcode注入写入全局变量或静态变量中。若某个程序的heap段可写且可执行,攻击者就可以尝试将shellcode注入至动态分配的变量中。在虚拟内存中,data段主要保存的是已经初始化了的全局变量或静态变量。
Rop框架详解:构建服务开放平台
"Rop轻量级开发指南是专注于服务开放平台构建的框架,与纯技术型的WebService框架如CXF、Jersey不同,Rop提供了包括应用认证、会话管理、安全控制、错误模型、版本管理和超时限制等一系列解决方案。它的设计借鉴了...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值