2

看了一篇介绍Windows上ROP的文章,发现作者在ROP链中放了一些字面数字。

生成 shellcode 的代码片段:

rop += struct.pack('<L',0x10013b1c) # POP EBX # RETN
rop += struct.pack('<L',0xffffffff) # will be 0x1
rop += struct.pack('<L',0x100319d3) # INC EBX # FPATAN # RETN
rop += struct.pack('<L',0x100319d3) # INC EBX # FPATAN # RETN
                                    #------------------------------------[dwSize (0x1) -> EBX]-#
rop += struct.pack('<L',0x10030361) # POP EAX # RETN
rop += struct.pack('<L',0x90909090) # NOP
                                    #---------------------------------------------[NOP -> EAX]-#

根据我的理解,ROP链应该由指向gadget的内存地址组成,因此CPU会依次执行相应内存地址的指令。然而,作者将0xffffffff0x90909090放入了小工具链中。

有人可以解释这些文字数字在 ROP 链中的用法吗?谢谢你。

4

1 回答 1

2
  • 在这个 ROP 链中,作者需要ebx0x1. 但是,此二进制文件中的堆栈条目是 4 个字节,因为这是一个 32 位二进制文​​件。为了完成这个条目,这个数字应该是0x00000001,但是空字节的写入被认为是不好的利用,因为像这样的函数strcpy会在它遇到空字节时停止处理输入。因此,作者将 for ebx 的值弹出0xffffffff(使用前 2 行),然后将 on 的值ebx增加1。这环绕 32 位系统上的最大值,值变为0x00000001.
  • 对于第二个文字 number 0x90909090,这是一个NOP-sled0x90NO-oPeration,它什么也不做。这可能是一个 nop-sled 来满足作者试图溢出的缓冲区。
  • 您还可以在绕过 ASLR 时看到其他文字数字,包括覆盖动态链接二进制文件的全局偏移表。在这种利用技术中,libc 中的特定函数将位于与 libc 基地址的特定偏移处。您将需要找到这个 libc 基地址,并根据从 libc 获得的偏移量,您可以计算这些函数的地址并在您的漏洞利用中使用它们。在这里阅读更多。
于 2017-06-26T08:55:19.800 回答