ROP绕过片段简单科普一下,你可以理解成一个可以关闭系统自身内存保护的一段机器指令,这段代码需要我们自己构造,这就涉及到在对端内存搜寻这样的指令,LyScript插件增强了指令片段的查找功能,但需要我们在LyScript插件基础上封装一些方法,实现起来也不难。

封装机器码获取功能: 首先封装一个方法,当用户传入指定汇编指令的时候,自动的将其转换成对应的机器码,这是为搜索ROP片段做铺垫的,代码很简单,首先dbg.create_alloc(1024)在进程内存中开辟堆空间,用于存放我们的机器码,然后调用dbg.assemble_write_memory(alloc_address,"sub esp,10")将一条汇编指令变成机器码写到对端内存,然后再op = dbg.read_memory_byte(alloc_address + index)依次将其读取出来即可。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    pass

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,"sub esp,10")

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size("sub esp,10")

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    # 输出机器码

    print(machine_code_list)

    dbg.close()

我们继续封装如上方法,封装成一个可以直接使用的get_assembly_machine_code函数。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size(asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    return machine_code_list

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    # 转换第一对

    opcode = get_assembly_machine_code(dbg,"mov eax,1")

    for index in opcode:

        print("0x{:02X} ".format(index),end="")

    print()

    # 转换第二对

    opcode = get_assembly_machine_code(dbg,"sub esp,10")

    for index in opcode:

        print("0x{:02X} ".format(index),end="")

    print()

    dbg.close()

执行后即可得到结果:

扫描符合条件的内存: 通过使用上方封装的get_assembly_machine_code()并配合scan_memory_one(scan_string)函数,在对端内存搜索是否存在符合条件的指令。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size(asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    return machine_code_list

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    # 转换成列表

    opcode = get_assembly_machine_code(dbg,"push eax")

    print("得到机器码列表: ",opcode)

    # 列表转换成字符串

    scan_string = " ".join([str(_) for _ in opcode])

    print("搜索机器码字符串: ", scan_string)

    address = dbg.scan_memory_one(scan_string)

    print("第一个符合条件的内存块: {}".format(hex(address)))

    dbg.close()

扫描结果如下:

将我们需要搜索的ROP指令集片段放到数组内直接搜索,即可直接返回ROP内存地址。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size(asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    return machine_code_list

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    for item in ["push eax","mov eax,1","jmp eax","pop eax"]:

        # 转换成列表

        opcode = get_assembly_machine_code(dbg,item)

        #print("得到机器码列表: ",opcode)

        # 列表转换成字符串

        scan_string = " ".join([str(_) for _ in opcode])

        #print("搜索机器码字符串: ", scan_string)

        address = dbg.scan_memory_one(scan_string)

        print("第一个符合条件的内存块: {}".format(hex(address)))

    dbg.close()

检索效果如下:

LyScript 寻找ROP漏洞指令片段的更多相关文章

  1. 缓冲区溢出基础实践(二)——ROP 与 hijack GOT

    3.ROP ROP 即 Return Oritented Programming ,其主要思想是在栈缓冲区溢出的基础上,通过程序和库函数中已有的小片段(gadgets)构造一组串联的指令序列,形成攻击 ...

  2. 构建ROP链实现远程栈溢出

    通常情况下栈溢出可能造成的后果有两种,一类是本地提权另一类则是远程执行任意命令,通常C/C++并没有提供智能化检查用户输入是否合法的功能,同时程序编写人员在编写代码时也很难始终检查栈是否会发生溢出,这 ...

  3. 20145236《网络对抗》进阶实验——64位Ubuntu 17.10.1 ROP攻击

    20145236<网络对抗>进阶实验--64位Ubuntu 17.10.1 ROP攻击 基础知识 ROP攻击 ROP全称为Retrun-oriented Programmming(面向返回 ...

  4. 64位Ubuntu系统下ROP攻击

    64位Ubuntu系统下ROP攻击 基础知识 ROP攻击 ROP全称为Retrun-oriented Programmming(面向返回的编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可 ...

  5. 模糊测试——强制发掘安全漏洞的利器(Jolt 大奖精选丛书)

    模糊测试——强制发掘安全漏洞的利器(Jolt 大奖精选丛书) [美]Sutton, M.Greene, A.Amini, P. 著 段念赵勇译 ISBN 978-7-121-21083-9 2013年 ...

  6. 2018-2019-2 20165312《网络攻防技术》Exp6 信息搜集与漏洞扫描

    2018-2019-2 20165312<网络攻防技术>Exp6 信息搜集与漏洞扫描 目录 一.信息搜集技术与隐私保护--知识点总结 二.实验步骤 各种搜索技巧的应用 Google Hac ...

  7. word漏洞分析与利用

    众所周知,溢出漏洞从应用形式上可分为远程服务溢出漏洞和客户端(本地)溢出漏洞两类.远程服务溢出漏洞大家很熟悉了,红色代码.冲击波.振荡波等蠕虫都利用了此类漏洞,漏洞的调试和利用有相应的一套方法,前面的 ...

  8. 2018-2019-2 网络对抗技术 20165322 Exp6 信息搜集与漏洞扫描

    2018-2019-2 网络对抗技术 20165322 Exp6 信息搜集与漏洞扫描 目录 实验原理 实验内容与步骤 各种搜索技巧的应用 DNS IP注册信息的查询 基本的扫描技术 漏洞扫描 基础问题 ...

  9. Linux内核ROP姿势详解(二)

    /* 很棒的文章,在freebuf上发现了这篇文章上部分的翻译,但作者貌似弃坑了,顺手把下半部分也翻译了,原文见文尾链接 --by JDchen */ 介绍 在文章第一部分,我们演示了如何找到有用的R ...

  10. 20164305 徐广皓 Exp6 信息搜集与漏洞扫描

    信息搜集技术与隐私保护 间接收集 无物理连接,不访问目标,使用第三方信息源 使用whois/DNS获取ip 使用msf中的辅助模块进行信息收集,具体指令可以在auxiliary/gather中进行查询 ...

随机推荐

  1. Educational Codeforces Round 92 (Rated for Div. 2) A~C

    原作者为 RioTian@cnblogs, 本作品采用 CC 4.0 BY 进行许可,转载请注明出处. 最近写学习了一下网络爬虫,但昨天晚上的CF让人感觉实力明显退步,又滚回来刷题了QAQ... 比赛 ...

  2. 叮~OpenSCA社区拍了拍您并发来一份开源盛会邀请函

    2023数字供应链安全大会(DSS 2023)将于8月10日在北京·国家会议中心举办.本次大会以"开源的力量"为主题,由悬镜安全主办,ISC互联网安全大会组委会.中国软件评测中心( ...

  3. SpringCloud学习 系列八、OpenFeign

    系列导航 SpringCloud学习 系列一. 前言-为什么要学习微服务 SpringCloud学习 系列二. 简介 SpringCloud学习 系列三. 创建一个没有使用springCloud的服务 ...

  4. C语言常用字符串操作函数整理(详细全面)

    目录 字符串相关 1.char *gets(char *s); #include<stdio.h> 2.char *fgets(char *s, intsize, FILE *stream ...

  5. mongoose学习记录

    1 const mongoose = require('mongoose'); 2 3 mongoose.connect('mongodb://localhost/playground') 4 .th ...

  6. 04 Tcl字符串

    Tcl字符串 4.1 Tcl将说有的变量值视作字符串,并将他们作为字符串进行保存. 命令 描述 append 将值追加到字符串尾 binary 二进制化字符串 format 字符串格式化 regexp ...

  7. Linux系统下安装JDK8和Maven3.8.5

    一.下载JDK8Linux版本 官网下载太慢了,小编这里为大家下载好了: 链接:百度网盘地址 提取码:ov24 二.下载Maven maven3.8.5下载链接 三.使用xftp上传到linux上 四 ...

  8. 【SHELL】[ ]、[[ ]]条件判断结构

    输入参数包含 'arg-m' 时,会输出 Hit Arg-M 和 Hit Arg-N [[ ${EXEC_PARAMS[@]} =~ 'arg-m' ]] && echo " ...

  9. js jquery - 获取元素(父节点,子节点,兄弟节点),元素筛选 (转载)

    一 ,  js 获取元素(父节点,子节点,兄弟节点) var test = document.getElementById("test"); var parent = test.p ...

  10. Python Code_02

    author : 写bug的盼盼 development time : 2021/8/27 19:59 变量定义 name = '阿哈' print(name) print('标识',id(name) ...