ROP绕过片段简单科普一下,你可以理解成一个可以关闭系统自身内存保护的一段机器指令,这段代码需要我们自己构造,这就涉及到在对端内存搜寻这样的指令,LyScript插件增强了指令片段的查找功能,但需要我们在LyScript插件基础上封装一些方法,实现起来也不难。

封装机器码获取功能: 首先封装一个方法,当用户传入指定汇编指令的时候,自动的将其转换成对应的机器码,这是为搜索ROP片段做铺垫的,代码很简单,首先dbg.create_alloc(1024)在进程内存中开辟堆空间,用于存放我们的机器码,然后调用dbg.assemble_write_memory(alloc_address,"sub esp,10")将一条汇编指令变成机器码写到对端内存,然后再op = dbg.read_memory_byte(alloc_address + index)依次将其读取出来即可。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    pass

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,"sub esp,10")

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size("sub esp,10")

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    # 输出机器码

    print(machine_code_list)

    dbg.close()

我们继续封装如上方法,封装成一个可以直接使用的get_assembly_machine_code函数。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size(asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    return machine_code_list

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    # 转换第一对

    opcode = get_assembly_machine_code(dbg,"mov eax,1")

    for index in opcode:

        print("0x{:02X} ".format(index),end="")

    print()

    # 转换第二对

    opcode = get_assembly_machine_code(dbg,"sub esp,10")

    for index in opcode:

        print("0x{:02X} ".format(index),end="")

    print()

    dbg.close()

执行后即可得到结果:

扫描符合条件的内存: 通过使用上方封装的get_assembly_machine_code()并配合scan_memory_one(scan_string)函数,在对端内存搜索是否存在符合条件的指令。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size(asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    return machine_code_list

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    # 转换成列表

    opcode = get_assembly_machine_code(dbg,"push eax")

    print("得到机器码列表: ",opcode)

    # 列表转换成字符串

    scan_string = " ".join([str(_) for _ in opcode])

    print("搜索机器码字符串: ", scan_string)

    address = dbg.scan_memory_one(scan_string)

    print("第一个符合条件的内存块: {}".format(hex(address)))

    dbg.close()

扫描结果如下:

将我们需要搜索的ROP指令集片段放到数组内直接搜索,即可直接返回ROP内存地址。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size(asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    return machine_code_list

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    for item in ["push eax","mov eax,1","jmp eax","pop eax"]:

        # 转换成列表

        opcode = get_assembly_machine_code(dbg,item)

        #print("得到机器码列表: ",opcode)

        # 列表转换成字符串

        scan_string = " ".join([str(_) for _ in opcode])

        #print("搜索机器码字符串: ", scan_string)

        address = dbg.scan_memory_one(scan_string)

        print("第一个符合条件的内存块: {}".format(hex(address)))

    dbg.close()

检索效果如下:

LyScript 寻找ROP漏洞指令片段的更多相关文章

  1. 缓冲区溢出基础实践(二)——ROP 与 hijack GOT

    3.ROP ROP 即 Return Oritented Programming ,其主要思想是在栈缓冲区溢出的基础上,通过程序和库函数中已有的小片段(gadgets)构造一组串联的指令序列,形成攻击 ...

  2. 构建ROP链实现远程栈溢出

    通常情况下栈溢出可能造成的后果有两种,一类是本地提权另一类则是远程执行任意命令,通常C/C++并没有提供智能化检查用户输入是否合法的功能,同时程序编写人员在编写代码时也很难始终检查栈是否会发生溢出,这 ...

  3. 20145236《网络对抗》进阶实验——64位Ubuntu 17.10.1 ROP攻击

    20145236<网络对抗>进阶实验--64位Ubuntu 17.10.1 ROP攻击 基础知识 ROP攻击 ROP全称为Retrun-oriented Programmming(面向返回 ...

  4. 64位Ubuntu系统下ROP攻击

    64位Ubuntu系统下ROP攻击 基础知识 ROP攻击 ROP全称为Retrun-oriented Programmming(面向返回的编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可 ...

  5. 模糊测试——强制发掘安全漏洞的利器(Jolt 大奖精选丛书)

    模糊测试——强制发掘安全漏洞的利器(Jolt 大奖精选丛书) [美]Sutton, M.Greene, A.Amini, P. 著 段念赵勇译 ISBN 978-7-121-21083-9 2013年 ...

  6. 2018-2019-2 20165312《网络攻防技术》Exp6 信息搜集与漏洞扫描

    2018-2019-2 20165312<网络攻防技术>Exp6 信息搜集与漏洞扫描 目录 一.信息搜集技术与隐私保护--知识点总结 二.实验步骤 各种搜索技巧的应用 Google Hac ...

  7. word漏洞分析与利用

    众所周知,溢出漏洞从应用形式上可分为远程服务溢出漏洞和客户端(本地)溢出漏洞两类.远程服务溢出漏洞大家很熟悉了,红色代码.冲击波.振荡波等蠕虫都利用了此类漏洞,漏洞的调试和利用有相应的一套方法,前面的 ...

  8. 2018-2019-2 网络对抗技术 20165322 Exp6 信息搜集与漏洞扫描

    2018-2019-2 网络对抗技术 20165322 Exp6 信息搜集与漏洞扫描 目录 实验原理 实验内容与步骤 各种搜索技巧的应用 DNS IP注册信息的查询 基本的扫描技术 漏洞扫描 基础问题 ...

  9. Linux内核ROP姿势详解(二)

    /* 很棒的文章,在freebuf上发现了这篇文章上部分的翻译,但作者貌似弃坑了,顺手把下半部分也翻译了,原文见文尾链接 --by JDchen */ 介绍 在文章第一部分,我们演示了如何找到有用的R ...

  10. 20164305 徐广皓 Exp6 信息搜集与漏洞扫描

    信息搜集技术与隐私保护 间接收集 无物理连接,不访问目标,使用第三方信息源 使用whois/DNS获取ip 使用msf中的辅助模块进行信息收集,具体指令可以在auxiliary/gather中进行查询 ...

随机推荐

  1. PS 创建网络去掉反冲增强

    一.当物料为反冲物料时,创建网络数据,希望去掉反冲标识 二.增强实施 在BAPI中传入反冲标识为空 在标准代码中发现反冲标识的赋值位置 判断当不传入反冲标识,将物料自带的反冲标识清空 定期更文,欢迎关 ...

  2. docker centos 容器时间与宿主机时间不一致

    上图 容器时间不一致会造成N多问题,估计各位看官儿应该深有体会. 我处理的方式是在,dockerfile 中进行增加一条命令进行设置: RUN cp /usr/share/zoneinfo/Asia/ ...

  3. 离散化/线段树 (POJ - 2528 Mayor's posters)

    Mayor's posters https://vjudge.net/problem/POJ-2528#author=szdytom 线段树 + 离散化 讲解:https://blog.csdn.ne ...

  4. Codeforces Round #715 (Div. 2) (A~D 补题记录)

    补题链接:Here 经典手速场 1509A. Average Height 题意:要找出最大不平衡对序列 先输出奇数,然后输出偶数 void solve() { int n; cin >> ...

  5. Missing return type on function. eslint(@typescript-eslint/explicit-module-boundary-types))

    setup报错: 解决办法:

  6. java进阶(25)--泛型

    一.泛型基本概念 JDK5.0后新特性:Generic 1.不使用泛型举例

  7. Nacos源码 (4) 配置中心

    本文阅读nacos-2.0.2的config源码,编写示例,分析推送配置.监听配置的原理. 客户端 创建NacosConfigService对象 Properties properties = new ...

  8. Multi-Master APB Interconnect

    APB总线并不是只有一个master(AHB2APB Bridge),可以通过设计支持多个APB Master,只是比较复杂 Lattice 实现了一款Multi-Master Interconnec ...

  9. 【面试题精讲】Java Stream排序的实现方式

    首发博客地址 系列文章地址 如何使用Java Stream进行排序 在Java中,使用Stream进行排序可以通过sorted()方法来实现.sorted()方法用于对Stream中的元素进行排序操作 ...

  10. [转帖]煮饺子与 docker、kubernetes 之间的关系

      前言:云原生的概念最近非常火爆,企业落地云原生的愿望也越发强烈.看过很多关于云原生的文章,要么云山雾罩,要么曲高和寡. 所以笔者就有了写<大话云原生>系列文章的想法,期望用最通俗.简单 ...