ROP绕过片段简单科普一下,你可以理解成一个可以关闭系统自身内存保护的一段机器指令,这段代码需要我们自己构造,这就涉及到在对端内存搜寻这样的指令,LyScript插件增强了指令片段的查找功能,但需要我们在LyScript插件基础上封装一些方法,实现起来也不难。

封装机器码获取功能: 首先封装一个方法,当用户传入指定汇编指令的时候,自动的将其转换成对应的机器码,这是为搜索ROP片段做铺垫的,代码很简单,首先dbg.create_alloc(1024)在进程内存中开辟堆空间,用于存放我们的机器码,然后调用dbg.assemble_write_memory(alloc_address,"sub esp,10")将一条汇编指令变成机器码写到对端内存,然后再op = dbg.read_memory_byte(alloc_address + index)依次将其读取出来即可。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    pass

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,"sub esp,10")

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size("sub esp,10")

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    # 输出机器码

    print(machine_code_list)

    dbg.close()

我们继续封装如上方法,封装成一个可以直接使用的get_assembly_machine_code函数。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size(asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    return machine_code_list

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    # 转换第一对

    opcode = get_assembly_machine_code(dbg,"mov eax,1")

    for index in opcode:

        print("0x{:02X} ".format(index),end="")

    print()

    # 转换第二对

    opcode = get_assembly_machine_code(dbg,"sub esp,10")

    for index in opcode:

        print("0x{:02X} ".format(index),end="")

    print()

    dbg.close()

执行后即可得到结果:

扫描符合条件的内存: 通过使用上方封装的get_assembly_machine_code()并配合scan_memory_one(scan_string)函数,在对端内存搜索是否存在符合条件的指令。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size(asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    return machine_code_list

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    # 转换成列表

    opcode = get_assembly_machine_code(dbg,"push eax")

    print("得到机器码列表: ",opcode)

    # 列表转换成字符串

    scan_string = " ".join([str(_) for _ in opcode])

    print("搜索机器码字符串: ", scan_string)

    address = dbg.scan_memory_one(scan_string)

    print("第一个符合条件的内存块: {}".format(hex(address)))

    dbg.close()

扫描结果如下:

将我们需要搜索的ROP指令集片段放到数组内直接搜索,即可直接返回ROP内存地址。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size(asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    return machine_code_list

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    for item in ["push eax","mov eax,1","jmp eax","pop eax"]:

        # 转换成列表

        opcode = get_assembly_machine_code(dbg,item)

        #print("得到机器码列表: ",opcode)

        # 列表转换成字符串

        scan_string = " ".join([str(_) for _ in opcode])

        #print("搜索机器码字符串: ", scan_string)

        address = dbg.scan_memory_one(scan_string)

        print("第一个符合条件的内存块: {}".format(hex(address)))

    dbg.close()

检索效果如下:

LyScript 寻找ROP漏洞指令片段的更多相关文章

  1. 缓冲区溢出基础实践(二)——ROP 与 hijack GOT

    3.ROP ROP 即 Return Oritented Programming ,其主要思想是在栈缓冲区溢出的基础上,通过程序和库函数中已有的小片段(gadgets)构造一组串联的指令序列,形成攻击 ...

  2. 构建ROP链实现远程栈溢出

    通常情况下栈溢出可能造成的后果有两种,一类是本地提权另一类则是远程执行任意命令,通常C/C++并没有提供智能化检查用户输入是否合法的功能,同时程序编写人员在编写代码时也很难始终检查栈是否会发生溢出,这 ...

  3. 20145236《网络对抗》进阶实验——64位Ubuntu 17.10.1 ROP攻击

    20145236<网络对抗>进阶实验--64位Ubuntu 17.10.1 ROP攻击 基础知识 ROP攻击 ROP全称为Retrun-oriented Programmming(面向返回 ...

  4. 64位Ubuntu系统下ROP攻击

    64位Ubuntu系统下ROP攻击 基础知识 ROP攻击 ROP全称为Retrun-oriented Programmming(面向返回的编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可 ...

  5. 模糊测试——强制发掘安全漏洞的利器(Jolt 大奖精选丛书)

    模糊测试——强制发掘安全漏洞的利器(Jolt 大奖精选丛书) [美]Sutton, M.Greene, A.Amini, P. 著 段念赵勇译 ISBN 978-7-121-21083-9 2013年 ...

  6. 2018-2019-2 20165312《网络攻防技术》Exp6 信息搜集与漏洞扫描

    2018-2019-2 20165312<网络攻防技术>Exp6 信息搜集与漏洞扫描 目录 一.信息搜集技术与隐私保护--知识点总结 二.实验步骤 各种搜索技巧的应用 Google Hac ...

  7. word漏洞分析与利用

    众所周知,溢出漏洞从应用形式上可分为远程服务溢出漏洞和客户端(本地)溢出漏洞两类.远程服务溢出漏洞大家很熟悉了,红色代码.冲击波.振荡波等蠕虫都利用了此类漏洞,漏洞的调试和利用有相应的一套方法,前面的 ...

  8. 2018-2019-2 网络对抗技术 20165322 Exp6 信息搜集与漏洞扫描

    2018-2019-2 网络对抗技术 20165322 Exp6 信息搜集与漏洞扫描 目录 实验原理 实验内容与步骤 各种搜索技巧的应用 DNS IP注册信息的查询 基本的扫描技术 漏洞扫描 基础问题 ...

  9. Linux内核ROP姿势详解(二)

    /* 很棒的文章,在freebuf上发现了这篇文章上部分的翻译,但作者貌似弃坑了,顺手把下半部分也翻译了,原文见文尾链接 --by JDchen */ 介绍 在文章第一部分,我们演示了如何找到有用的R ...

  10. 20164305 徐广皓 Exp6 信息搜集与漏洞扫描

    信息搜集技术与隐私保护 间接收集 无物理连接,不访问目标,使用第三方信息源 使用whois/DNS获取ip 使用msf中的辅助模块进行信息收集,具体指令可以在auxiliary/gather中进行查询 ...

随机推荐

  1. 【django-vue】celery延迟任务、定时任务 django中使用celery 秒杀功能 双写一致性 首页轮播图定时更新 课程前端页面

    目录 上节回顾 字符编码 django-redis 今日内容 1 celery 执行异步任务,延迟任务,定时任务 延时任务 定时任务 2 django中使用celery 2.1 秒杀功能 2.1.1 ...

  2. OUT 啦!你的 App 还不支持一键登录吗?

    在用户使用 App.网站.产品客户端时,是否对于登陆信息的反复输入感到厌烦? 在用户查看信息.打开问卷.收取资源时,是否因为条条框框输入注册信息而放弃使用? 在企业上新产品,宣传推广,迎接新用户时,是 ...

  3. GDB变量值显示为< optimized_out >的解决方法

    GDB调试显示< optimized_out > 最近使用GDB调试的时候,经常遇到GDB查看变量值的时候输出< optimized_out >,Google了一下,找到几个解 ...

  4. L2-020 功夫传人 (25分)

    分析: ⽤⼆维数 组v存储师⻔谱系关系,v[i]表示编号为i的师傅所拥有的徒弟,如果徒弟个数等于0, 也就是说这是个得道者,那么v[i][0]保存放⼤的倍数,⽽且⽤visit[i] = true标记当 ...

  5. java读取解析endnote文件

    有些项目中会要求代码解析endnote文献资料获取一些标准的信息,例如XX在某著名期刊上发表了某篇文章,关于发表文章的这个事情的描述就会给坐着一个endnote文件来记录文章名称.作者.期刊名称.出版 ...

  6. ECharts大屏数据可视化展板项目 适配rem

    1.在utils文件夹里新建一个rem.js 2.main.js中引入rem.js 3.vscode中下载cssrem插件,配置Root Font Size大小,为1920/20 = 96. 重启vs ...

  7. AHB-SRAMC Design-03

    SRAMC SRAM CORE 8块memory进行广播信号,例化8片memory

  8. NewStarCTF 2023 公开赛道 WEEK5|CRYPTO WP

    last_signin from Crypto.Util.number import * flag = b'?' e = 65537 p, q = getPrime(1024), getPrime(1 ...

  9. 【秘籍揭秘】如何高速下载游戏、Switch资源?省时省力一网打尽!

    百度云盘SVIP合租啦亲爱的考研党和游戏玩家们,我今天要分享的是一份独家秘籍!你是不是常常为下载游戏或Switch资源而烦恼?是不是经常遇到下载速度慢.限速等问题,让你等待无尽?别担心,我有一个绝密的 ...

  10. Jrebel与Xrebel教学

    简介 JRebel和XRebel是两个非常有用的工具,可以显著提升Java开发人员的生产力和应用程序性能. JRebel是一个强大的Java开发工具,它允许开发人员在不重新启动应用程序的情况下进行代码 ...