ROP绕过片段简单科普一下,你可以理解成一个可以关闭系统自身内存保护的一段机器指令,这段代码需要我们自己构造,这就涉及到在对端内存搜寻这样的指令,LyScript插件增强了指令片段的查找功能,但需要我们在LyScript插件基础上封装一些方法,实现起来也不难。

封装机器码获取功能: 首先封装一个方法,当用户传入指定汇编指令的时候,自动的将其转换成对应的机器码,这是为搜索ROP片段做铺垫的,代码很简单,首先dbg.create_alloc(1024)在进程内存中开辟堆空间,用于存放我们的机器码,然后调用dbg.assemble_write_memory(alloc_address,"sub esp,10")将一条汇编指令变成机器码写到对端内存,然后再op = dbg.read_memory_byte(alloc_address + index)依次将其读取出来即可。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    pass

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,"sub esp,10")

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size("sub esp,10")

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    # 输出机器码

    print(machine_code_list)

    dbg.close()

我们继续封装如上方法,封装成一个可以直接使用的get_assembly_machine_code函数。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size(asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    return machine_code_list

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    # 转换第一对

    opcode = get_assembly_machine_code(dbg,"mov eax,1")

    for index in opcode:

        print("0x{:02X} ".format(index),end="")

    print()

    # 转换第二对

    opcode = get_assembly_machine_code(dbg,"sub esp,10")

    for index in opcode:

        print("0x{:02X} ".format(index),end="")

    print()

    dbg.close()

执行后即可得到结果:

扫描符合条件的内存: 通过使用上方封装的get_assembly_machine_code()并配合scan_memory_one(scan_string)函数,在对端内存搜索是否存在符合条件的指令。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size(asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    return machine_code_list

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    # 转换成列表

    opcode = get_assembly_machine_code(dbg,"push eax")

    print("得到机器码列表: ",opcode)

    # 列表转换成字符串

    scan_string = " ".join([str(_) for _ in opcode])

    print("搜索机器码字符串: ", scan_string)

    address = dbg.scan_memory_one(scan_string)

    print("第一个符合条件的内存块: {}".format(hex(address)))

    dbg.close()

扫描结果如下:

将我们需要搜索的ROP指令集片段放到数组内直接搜索,即可直接返回ROP内存地址。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size(asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    return machine_code_list

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    for item in ["push eax","mov eax,1","jmp eax","pop eax"]:

        # 转换成列表

        opcode = get_assembly_machine_code(dbg,item)

        #print("得到机器码列表: ",opcode)

        # 列表转换成字符串

        scan_string = " ".join([str(_) for _ in opcode])

        #print("搜索机器码字符串: ", scan_string)

        address = dbg.scan_memory_one(scan_string)

        print("第一个符合条件的内存块: {}".format(hex(address)))

    dbg.close()

检索效果如下:

LyScript 寻找ROP漏洞指令片段的更多相关文章

  1. 缓冲区溢出基础实践(二)——ROP 与 hijack GOT

    3.ROP ROP 即 Return Oritented Programming ,其主要思想是在栈缓冲区溢出的基础上,通过程序和库函数中已有的小片段(gadgets)构造一组串联的指令序列,形成攻击 ...

  2. 构建ROP链实现远程栈溢出

    通常情况下栈溢出可能造成的后果有两种,一类是本地提权另一类则是远程执行任意命令,通常C/C++并没有提供智能化检查用户输入是否合法的功能,同时程序编写人员在编写代码时也很难始终检查栈是否会发生溢出,这 ...

  3. 20145236《网络对抗》进阶实验——64位Ubuntu 17.10.1 ROP攻击

    20145236<网络对抗>进阶实验--64位Ubuntu 17.10.1 ROP攻击 基础知识 ROP攻击 ROP全称为Retrun-oriented Programmming(面向返回 ...

  4. 64位Ubuntu系统下ROP攻击

    64位Ubuntu系统下ROP攻击 基础知识 ROP攻击 ROP全称为Retrun-oriented Programmming(面向返回的编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可 ...

  5. 模糊测试——强制发掘安全漏洞的利器(Jolt 大奖精选丛书)

    模糊测试——强制发掘安全漏洞的利器(Jolt 大奖精选丛书) [美]Sutton, M.Greene, A.Amini, P. 著 段念赵勇译 ISBN 978-7-121-21083-9 2013年 ...

  6. 2018-2019-2 20165312《网络攻防技术》Exp6 信息搜集与漏洞扫描

    2018-2019-2 20165312<网络攻防技术>Exp6 信息搜集与漏洞扫描 目录 一.信息搜集技术与隐私保护--知识点总结 二.实验步骤 各种搜索技巧的应用 Google Hac ...

  7. word漏洞分析与利用

    众所周知,溢出漏洞从应用形式上可分为远程服务溢出漏洞和客户端(本地)溢出漏洞两类.远程服务溢出漏洞大家很熟悉了,红色代码.冲击波.振荡波等蠕虫都利用了此类漏洞,漏洞的调试和利用有相应的一套方法,前面的 ...

  8. 2018-2019-2 网络对抗技术 20165322 Exp6 信息搜集与漏洞扫描

    2018-2019-2 网络对抗技术 20165322 Exp6 信息搜集与漏洞扫描 目录 实验原理 实验内容与步骤 各种搜索技巧的应用 DNS IP注册信息的查询 基本的扫描技术 漏洞扫描 基础问题 ...

  9. Linux内核ROP姿势详解(二)

    /* 很棒的文章,在freebuf上发现了这篇文章上部分的翻译,但作者貌似弃坑了,顺手把下半部分也翻译了,原文见文尾链接 --by JDchen */ 介绍 在文章第一部分,我们演示了如何找到有用的R ...

  10. 20164305 徐广皓 Exp6 信息搜集与漏洞扫描

    信息搜集技术与隐私保护 间接收集 无物理连接,不访问目标,使用第三方信息源 使用whois/DNS获取ip 使用msf中的辅助模块进行信息收集,具体指令可以在auxiliary/gather中进行查询 ...

随机推荐

  1. 如何优雅的在 Word 中添加漂亮的代码?

    Step 01 第一步,在编程软件里找到你想要放进Word文档里的代码,复制下来. Step 02 第二步,打开Notepad++,将代码直接粘贴. Step 03 第三步,这个时候的代码是没有任何格 ...

  2. 方法记录 | 文件批量导入Goodnotes

    一般来说通常资料都是用网盘下载了很多文件,想用Goodnotes来写批注,记笔记等,但是由于网盘不能直接分享.也不能批量分享到Goodnotes,给学习带来了很大的麻烦. 当然有钱的大佬们呢直接开了 ...

  3. 【每日一题】1. tokitsukaze and Soldier (优先队列 + 排序)

    题目链接:Here 思路:这道题很容易看出来是考察 优先队列(priority_queue) 和 sort . 对于容忍人数越高的人来说,团队人数低也更能做到: for i = 0 to n - 1: ...

  4. 请问Sass/SCSS(with node-sass)和Sass/SCSS(with dart-sass)选哪个?

    node-sass是自动编译实时的,dart-sass需要保存后才会生效. 如果您在Dart-VM内运行Dart-Sass,它的运行速度很快,但它表示可以编译为纯JS,dart-sass只是一个编译版 ...

  5. NOIP2020游记——AFO之战

    阅读时请播放此音乐,这是我精心挑选的,很适合本文. Day-0奇遇 考试前一天,不顺,很不顺,简直可以写小说了.(不想看我车店可以往下翻,Day-1在后边) 我是下午两点从齐齐哈尔出发前往省会哈尔滨的 ...

  6. 自动化测试复习巩固第一天,requests的用法

    如何快速发送post请求 因为我用的python语言,所以大家需要在本地安装python语言和pycharm,如何安装请自行查找教程,这里不做过多赘述 这里需要提前下载安装好需要的第三方库reques ...

  7. java项目实践-webapp-mytomcat-day16

    目录 1. http协议 2. 自定义的web框架 3. 具体实现 4. 启动 1. http协议 CS架构 建立连接"三次握手" 断开连接 "四次挥手" 三次 ...

  8. [AGC058C] Planar Tree 题解

    前言 赛时没做出来,赛后把题补了.果然是 maroonrk 出的,名不虚传啊--真的很好的一道题目. 解法 题目中的圆周有以下几个性质: 圆周上如果有相邻的等值,我们可以去掉一个而不改变答案(这个很好 ...

  9. 基于html5开发的Win12网页版,抢先体验

    据 MSPoweruser 报道,Windows 11虽然刚刚开始步入正轨,但最新爆料称微软已经在开启下一个计划,Windows 12 的开发将在 去年3 月份开始.德国科技网站 Deskmodder ...

  10. SQLServer数据库JDBC连接串参数的简单学习

    SQLServer数据库JDBC连接串参数的简单学习 背景 前段时间一直跟同事一起处理SQLServer 比其他数据库的deadlock更多的问题. 涉及到了几个驱动的参数. 想着问题基本上告一段落, ...