ROP绕过片段简单科普一下,你可以理解成一个可以关闭系统自身内存保护的一段机器指令,这段代码需要我们自己构造,这就涉及到在对端内存搜寻这样的指令,LyScript插件增强了指令片段的查找功能,但需要我们在LyScript插件基础上封装一些方法,实现起来也不难。

封装机器码获取功能: 首先封装一个方法,当用户传入指定汇编指令的时候,自动的将其转换成对应的机器码,这是为搜索ROP片段做铺垫的,代码很简单,首先dbg.create_alloc(1024)在进程内存中开辟堆空间,用于存放我们的机器码,然后调用dbg.assemble_write_memory(alloc_address,"sub esp,10")将一条汇编指令变成机器码写到对端内存,然后再op = dbg.read_memory_byte(alloc_address + index)依次将其读取出来即可。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    pass

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,"sub esp,10")

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size("sub esp,10")

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    # 输出机器码

    print(machine_code_list)

    dbg.close()

我们继续封装如上方法,封装成一个可以直接使用的get_assembly_machine_code函数。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size(asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    return machine_code_list

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    # 转换第一对

    opcode = get_assembly_machine_code(dbg,"mov eax,1")

    for index in opcode:

        print("0x{:02X} ".format(index),end="")

    print()

    # 转换第二对

    opcode = get_assembly_machine_code(dbg,"sub esp,10")

    for index in opcode:

        print("0x{:02X} ".format(index),end="")

    print()

    dbg.close()

执行后即可得到结果:

扫描符合条件的内存: 通过使用上方封装的get_assembly_machine_code()并配合scan_memory_one(scan_string)函数,在对端内存搜索是否存在符合条件的指令。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size(asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    return machine_code_list

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    # 转换成列表

    opcode = get_assembly_machine_code(dbg,"push eax")

    print("得到机器码列表: ",opcode)

    # 列表转换成字符串

    scan_string = " ".join([str(_) for _ in opcode])

    print("搜索机器码字符串: ", scan_string)

    address = dbg.scan_memory_one(scan_string)

    print("第一个符合条件的内存块: {}".format(hex(address)))

    dbg.close()

扫描结果如下:

将我们需要搜索的ROP指令集片段放到数组内直接搜索,即可直接返回ROP内存地址。

from LyScript32 import MyDebug

# 传入汇编指令,获取该指令的机器码

def get_assembly_machine_code(dbg,asm):

    machine_code_list = []

    # 开辟堆空间

    alloc_address = dbg.create_alloc(1024)

    print("分配堆: {}".format(hex(alloc_address)))

    # 得到汇编机器码

    machine_code = dbg.assemble_write_memory(alloc_address,asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 得到汇编指令长度

    machine_code_size = dbg.assemble_code_size(asm)

    if machine_code == False:

        dbg.delete_alloc(alloc_address)

    # 读取机器码

    for index in range(0,machine_code_size):

        op = dbg.read_memory_byte(alloc_address + index)

        machine_code_list.append(op)

    # 释放堆空间

    dbg.delete_alloc(alloc_address)

    return machine_code_list

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    for item in ["push eax","mov eax,1","jmp eax","pop eax"]:

        # 转换成列表

        opcode = get_assembly_machine_code(dbg,item)

        #print("得到机器码列表: ",opcode)

        # 列表转换成字符串

        scan_string = " ".join([str(_) for _ in opcode])

        #print("搜索机器码字符串: ", scan_string)

        address = dbg.scan_memory_one(scan_string)

        print("第一个符合条件的内存块: {}".format(hex(address)))

    dbg.close()

检索效果如下:

LyScript 寻找ROP漏洞指令片段的更多相关文章

  1. 缓冲区溢出基础实践(二)——ROP 与 hijack GOT

    3.ROP ROP 即 Return Oritented Programming ,其主要思想是在栈缓冲区溢出的基础上,通过程序和库函数中已有的小片段(gadgets)构造一组串联的指令序列,形成攻击 ...

  2. 构建ROP链实现远程栈溢出

    通常情况下栈溢出可能造成的后果有两种,一类是本地提权另一类则是远程执行任意命令,通常C/C++并没有提供智能化检查用户输入是否合法的功能,同时程序编写人员在编写代码时也很难始终检查栈是否会发生溢出,这 ...

  3. 20145236《网络对抗》进阶实验——64位Ubuntu 17.10.1 ROP攻击

    20145236<网络对抗>进阶实验--64位Ubuntu 17.10.1 ROP攻击 基础知识 ROP攻击 ROP全称为Retrun-oriented Programmming(面向返回 ...

  4. 64位Ubuntu系统下ROP攻击

    64位Ubuntu系统下ROP攻击 基础知识 ROP攻击 ROP全称为Retrun-oriented Programmming(面向返回的编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可 ...

  5. 模糊测试——强制发掘安全漏洞的利器(Jolt 大奖精选丛书)

    模糊测试——强制发掘安全漏洞的利器(Jolt 大奖精选丛书) [美]Sutton, M.Greene, A.Amini, P. 著 段念赵勇译 ISBN 978-7-121-21083-9 2013年 ...

  6. 2018-2019-2 20165312《网络攻防技术》Exp6 信息搜集与漏洞扫描

    2018-2019-2 20165312<网络攻防技术>Exp6 信息搜集与漏洞扫描 目录 一.信息搜集技术与隐私保护--知识点总结 二.实验步骤 各种搜索技巧的应用 Google Hac ...

  7. word漏洞分析与利用

    众所周知,溢出漏洞从应用形式上可分为远程服务溢出漏洞和客户端(本地)溢出漏洞两类.远程服务溢出漏洞大家很熟悉了,红色代码.冲击波.振荡波等蠕虫都利用了此类漏洞,漏洞的调试和利用有相应的一套方法,前面的 ...

  8. 2018-2019-2 网络对抗技术 20165322 Exp6 信息搜集与漏洞扫描

    2018-2019-2 网络对抗技术 20165322 Exp6 信息搜集与漏洞扫描 目录 实验原理 实验内容与步骤 各种搜索技巧的应用 DNS IP注册信息的查询 基本的扫描技术 漏洞扫描 基础问题 ...

  9. Linux内核ROP姿势详解(二)

    /* 很棒的文章,在freebuf上发现了这篇文章上部分的翻译,但作者貌似弃坑了,顺手把下半部分也翻译了,原文见文尾链接 --by JDchen */ 介绍 在文章第一部分,我们演示了如何找到有用的R ...

  10. 20164305 徐广皓 Exp6 信息搜集与漏洞扫描

    信息搜集技术与隐私保护 间接收集 无物理连接,不访问目标,使用第三方信息源 使用whois/DNS获取ip 使用msf中的辅助模块进行信息收集,具体指令可以在auxiliary/gather中进行查询 ...

随机推荐

  1. 深挖 Rundll32.exe 的多种“滥用方式”以及其“独特”之处

    恶意软件作者通常会编写恶意软件模仿合法的Windows进程.因此,我们可能会看到恶意软件伪装成svchost.exe.rundll32.exe或lsass.exe进程,攻击者利用的就是大多数Windo ...

  2. 判断客户端是PC还是移动端问题的解决方案

    今天在帮 莲的Live 2D 做浏览器适配的时候学会的一段代码 利用 Javascript 进行判断 function isPC() { //是否为PC端 var userAgentInfo = na ...

  3. 图扑虚拟现实解决方案,实现 VR 数智机房

    前言 如今,虚拟现实技术作为连接虚拟世界和现实世界的桥梁,正加速各领域应用形成新场景.新模式.新业态. 效果展示 图扑软件基于自研可视化引擎 HT for Web 搭建的 VR 数据中心机房,是将数据 ...

  4. 2、springboot创建多模块工程

    系列导航 springBoot项目打jar包 1.springboot工程新建(单模块) 2.springboot创建多模块工程 3.springboot连接数据库 4.SpringBoot连接数据库 ...

  5. 一种 C++ 转换的非正式分类

    C++ 正式分类方法是直接按语法分类,分为:隐式转换和显示转换.隐式转换又称为标准转换.显示转换又分为:C 风格转换.函数风格转换.C++ 风格转换.C++风格转换就是 static_cast.dyn ...

  6. AI毕业设计生成器(基于AI大模型技术开发)

    这是一个辅助生成计算机毕业设计的工具,可以自动完成毕业设计的源码.它基于几百个github上面开源的java和python项目,运用tengsorflow技术,训练出了AI大模型.基本实现了计算机毕业 ...

  7. 14-TTL与非门的输入特性和输出特性

    TTL与非门的电压传输特性 传输特性 输入电压连续发生变化,输出电压发生什么变化?需要研究输出电压与输入电压之间的关系 输入小的时候,输出大的信号:输入大时候输出小信号 中间有截止和导通,需要过渡过程 ...

  8. 2023强网拟态crypto-一眼看出

    1.题目信息 一眼看穿 查看代码  from Crypto.Util.number import * from secret import flag import gmpy2 flag=b'' r = ...

  9. [转帖]3--二进制安装k8s

    https://www.cnblogs.com/caodan01/p/15104491.html 目录 一.节点规划 二.插件规划 三.系统优化(所有master节点) 1.关闭swap分区 2.关闭 ...

  10. [转帖]Linux 内核的 4 大 IO 调度算法

    https://cloud.tencent.com/developer/article/1615744 Linux 内核包含4个IO调度器,分别是 Noop IO scheduler.Anticipa ...