rop [ 一] 栈溢出和简单ROP思路

最新推荐文章于 2022-01-07 20:54:36 发布
最新推荐文章于 2022-01-07 20:54:36 发布
阅读量2.9k 收藏 28
点赞数 2
分类专栏: pwn 文章标签: rop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlz_lc_4/article/details/104147937
版权

ROP

ROP即返回导向的编程

主要是用在栈溢出
在栈堆不可执行开启后,栈溢出不能简单的向栈中写入shellcode利用jmp rsp运行,因此开发出的一种栈溢出利用手段,主要的意思就是修改ret的位置,运行到一些程序内部的代码片段(gadget)的位置,然后通过这些去控制程序的栈空间,来控制:寄存器,参数传递,函数调用,
由于gadget的使用要是最后ret结尾,由此成为面向ret的编程。

这一篇是结合经典文档:《蒸米的一步步学ROP》自己的笔记

排布首先是栈溢出的简述,然后就是按照攻击的思路去划分出的知识框架。

文章目录

栈溢出

首先还是先介绍有名的栈溢出漏洞,

首先是程序接受的输入数据,一般是保存到栈中,而程序运行时调控变量参量和函数调用的主要工具就是栈,(eax一直用于返回值传递,在64位中寄存器会参数参与参数传递),

栈中的栈帧结构保证函数的调用,

栈帧:

栈内的一块区域,是函数调用时形成的,作用就是保存和该函数有关的参数变量返回地址等,且一个函数能够控制的栈内空间也只有自己的栈帧, 这样也就实现了函数之间的隔离

也辅助程序的流程控制,

程序运行流程

首先程序运行时是永远在运行rip/eip寄存器指向的指令,而我们的程序运行的底层汇编语言永远不会直接改变这个寄存器,而是通过jmp,call,ret,各种条件的jmp,来间接的影响rip/eip寄存器,而影响程序的运行,

jmp和条件的jmp类:

都可以其后直接跟一个地址,直接跳转到该位置运行(其实相当于直接给rip/eip赋值了)

call:

函数调用指令,调用其实相当与jmp,但还需要顾及调用函数需要返回,这里就用到了栈保存这个返回地址,
相当与push rip+xx; jmp xxx,这里就是将原本该call下一个语句的rip保存到栈,然后跳转到目标位置,

ret:
函数执行完毕后的返回指令,从栈中取出call指令保存的返回地址,然后跳转过去执行,

相当与pop jmp,或者就pop rip/eip

漏洞

而将用户输入的信息传入栈中是一个比较危险的事情,

因为我们的返回地址同样保存在栈中,当程序读入的值超过了该函数的栈帧空间的大小,就有可能导致输入的数值覆盖掉保存的返回地址,也就是可以构造一个输入,随意的修改返回地址,修改ret指令执行后rip/eip的值,从而控制程序流程,

利用

栈溢出的利用主要就是修改ret控制程序流程,从而让我们的程序执行我们想让其执行的代码。

这就牵扯到一个问题 q1: 将ret改成啥?

将ret修改调用函数时又会出现另一个问题 q2:修改了以后我们调用函数时需要传入的参数怎么改?

最后假如我们的程序和导入的库中不能够得到我们想要的函数呢,q3:如何写一个shellcode并使其执行。

修改ret

后门函数

一般很简单的pwn会出现这种类型,就是一个比较典型的后门函数,直接计算距离然后就可以修改ret运行到对应的函数直接getshell或者catflag的:

payload = 'a' * xxx + p64(ret_addr)/p32(ret_addr)

ELF中查找函数

我们首先说到pwntools的ELF函数,导入一个elf文件,并允许从其中查找相应的地址。

常用来导入我们的程序和该程序用到的libc.so文件

这个就需要一定的理解了,想要理解需要一些关于动态链接和重定向的知识。

elf = ELF('levelxx')
libc = ELF('lib
最低0.47元/天 解锁文章
-令则
关注
  • 2
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
栈溢出的第一步进阶——ROP返回导向编程
XJJ的博客
05-01 723
前面两次栈溢出只是让我们学习原理,是最简单、最基本的栈溢出问题,一般的pwn题不会这么简单,溢出一次就可以到位。今天我们就做第一步进阶,正式进入ROP。 就我目前理解的ROP,就是要通过连续多次栈溢出,利用其原有的gadget(可以叫做代码片段),构造一次系统调用,调用execve()函数,就相当于获得了一个shell。首先我们要知道,系统调用的中断号是0x80,而execve的功能号是11,也就是16进制的0xb。所以在进行系统调用(即执行INT 80H这条语句)之前,我们先要构造出调用execve()
python3-pwntools教程_python的pwntools工具的日常使用
weixin_36050894的博客
12-23 1121
1.安装操作系统:ubuntu16.04环境准备:pythonpiplibssl-devlibffi-devpwntools安装:sudo apt-get install libffi-devsudo apt-get install libssl-devsudo apt-get install pythonsudo apt-get install python-pipsudo pip instal...
栈溢出学习(三)之简单ROP
Pz_mstr's Blog
03-27 993
前言 栈溢出学习(三),针对一个例子,进行各种栈溢出技术的练习。 系列文章 栈溢出学习(一) 栈溢出学习(二) 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下 #include <stdio.h> #include <stdlib.h> #include <string.h> /* * compiled with: * ...
symbol是c语言标识符,symbol的理解
weixin_35387118的博客
05-20 3059
前言在计算机中,一个函数的指令被存放在一段内存中,当进程需要执行这个函数的时候,它必须知道要去内存的哪个地方找到这个函数,然后执行它的指令。也就是说,进程要根据这个函数的名称,找到它在内存中的地址,而这个名称与地址的映射关系,是存储在 “symbol table”中。——“symbol table”中的 symbol 就是这个函数的名称,进程会根据这个 symbol 找到它在内存中的地址,然后跳转...
初识ROP——返回导向编程
江南晚来客的专栏
11-05 6433
ROP是啥?或许以前曾经在某个地方见过它的出现,不过我可以肯定自己对这个ROP完全不懂。唯一有印象的,就是前几天TX的电话面试上面提到过。既然在面试中被问到,那应该是一种比较受关注的技术。今晚找了两三篇相关的论文,再加上其它博客上的相关资料,算是对ROP有了初步的认识。     在说ROP之前,先来说一下什么是缓冲区溢出漏洞。缓冲区溢出漏洞(buffer overflow)是当今软件系统最主要
[极客大挑战 2019]Not Bad刷题
qq_43766802的博客
09-28 458
检查下程序的保护措施 拖入ida发现程序打开了沙盒保护,随即用seccomp-tools工具查看下白名单 因此这题选择用orw来get flag 函数允许我们输入0x38个字节,但buf只有0x20大小,并且只能溢出0x18个字节,用buf来装orw的汇编代码是绝对不够的,但程序一开始mmap了内存中的一段区域,我们可以利用这段区域来保存我们的shellcode,并发现该程序有jmp rsp,利用jmp rsp可以直接执行栈上的内容 write up from pwn import..
栈溢出基础——ROP1.0的例题
07-13
本篇将深入探讨栈溢出的基础知识,并通过一个名为“ROP1.0”的例子来进一步理解这一概念。 栈溢出发生的原因通常是由于程序员在处理缓冲区时没有正确地限制输入数据的长度,导致数据超出预分配的内存空间,覆盖了栈...
栈溢出基础知识、栈溢出保护机制、栈溢出利用方法.docx
01-10
栈溢出是计算机安全领域中的一个重要概念,主要发生在程序运行过程中,由于栈空间分配不当,导致数据超出预定的栈帧范围,从而影响到其他栈帧中的数据,甚至可能破坏程序执行流程,造成安全风险。本篇文章将深入探讨...
rop轻松谈.pdf
10-21
ret2libc和ret2text是ROP技術中使用的兩種攻擊方法。ret2libc攻擊方法是通過覆蓋函數返回地址,控制程式的執行流程,執行惡意代碼。ret2text攻擊方法是通過覆蓋函數返回地址,控制程式的執行流程,執行惡意代碼,並...
rop开放平台
04-12
ROP(Return-Oriented Programming,返回导向编程)是一种高级的代码注入技术,广泛应用于软件安全领域,特别是针对那些启用了地址空间布局随机化(ASLR)但仍存在缓冲区溢出漏洞的程序。ROP允许攻击者在没有直接...
rop编程入门
11-21
rop编程,E文,但是使用的词汇都是常见的词汇,需要汇编基础。
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
缓冲区溢出——栈溢出
08-04
1. **返回导向编程(Return-Oriented Programming, ROP)**:攻击者通过栈溢出覆盖返回地址,使其指向一系列短小的指令片段(称为 gadgets),组合起来执行任意代码。 2. **堆栈pivot**:改变栈的布局,使得溢出的...
高级栈溢出技术—ROP实战(简介及ret2win)
ChuMeng1999的博客
01-07 1248
目录预备知识关于ROP本系列rop实战题目的背景ret2win涉及知识点实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmpori
Linux使用ROP进行栈溢出攻击
stonesharp的专栏
08-06 3189
过Protostar stack6演示Linux下ROP简单使用,ROP就是所谓的Return Orientated Programming,早期也叫ret2libc,关于ROP的介绍可以看早期的文章《CVE2012-1889 Exploit编写(三)》,思路是一样的,只是平台换到了Linux下而已。 0×01. __builtin_return_address函数 先介绍下__bu
BUUCTF刷题5
m0_51251108的博客
10-30 550
题目:axb_2019_heap:actf_2019_babystack:picoctf_2018_got_shell:[极客大挑战 2019]Not Bad:gyctf_2020_force:picoctf_2018_can_you_gets_me:mrctf2020_easy_equation:wdb_2018_2nd_easyfmt:ciscn_2019_es_1:axb_2019_fmt64: axb_2019_heap: 参考师傅:buuctf axb_2019_heap_R1nd0的博客-CSD
使用ROP攻击技术
热门推荐
海枫的专栏
09-28 3万+
随着64系统广泛应用,原来通过栈控制函数参数的方法已不再适用了,攻击提出ROP攻击,又展开了一场新的较量。
栈溢出----中级ROP
qq_42192672的博客
10-21 560
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/medium_rop/ 1.ret2__libc_csu_init 这个主要是争对64位的程序的,和32位的栈传参不同的是,在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,最完美的情况,肯定是需要的寄存器可以通过ROPgadgets找到合适的,但是总有找...
关于蒸米的一步一步学ROP之linux_x86的学习笔记
lingyuexueai的博客
08-12 1541
写在开头:level2没有源码,所以第二个“Ret2libc – Bypass DEP 通过ret2libc绕过DEP防护”做不动……另外socat还没学会用==,按照步骤输入命令后一直没反应,也不知道怎么办,所以后面的远程攻击也没法进行……于是只做了第一个Control Flow Hijack 程序流劫持 原文地址:http://jaq.alibaba.com/community/art/sh...
vs2022-栈溢出
最新发布
10-30
栈溢出是一种常见的安全漏洞,它通常发生在程序试图向栈中写入超过其分配的内存空间的数据时。攻击者可以利用这种漏洞来覆盖返回地址,从而控制程序的执行流程。在VS2022中,可以通过以下几个步骤来防止栈溢出漏洞的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值