ROP繞過片段簡單科普一下,你可以理解成一個可以關閉系統自身內存保護得一段機器指令,這段代碼需要我們自己構造,這就涉及到在對端內存搜尋這樣得指令,LyScript插件增強了指令片段得查找功能,但需要我們在LyScript插件基礎上封裝一些方法,實現起來也不難。
LScript項目地址:https://github.com/lyshark/LyScript
封裝機器碼獲取功能: 首先封裝一個方法,當用戶傳入指定匯編指令得時候,自動得將其轉換成對應得機器碼,這是為搜索ROP片段做鋪墊得,代碼很簡單,首先dbg.create_alloc(1024)在進程內存中開辟堆空間,用于存放我們得機器碼,然后調用dbg.assemble_write_memory(alloc_address,"sub esp,10")將一條匯編指令變成機器碼寫到對端內存,然后再op = dbg.read_memory_byte(alloc_address + index)依次將其讀取出來即可。
from LyScript32 import MyDebug# 傳入匯編指令,獲取該指令得機器碼def get_assembly_machine_code(dbg,asm): passif __name__ == "__main__": dbg = MyDebug() connect_flag = dbg.connect() print("連接狀態: {}".format(connect_flag)) machine_code_list = [] # 開辟堆空間 alloc_address = dbg.create_alloc(1024) print("分配堆: {}".format(hex(alloc_address))) # 得到匯編機器碼 machine_code = dbg.assemble_write_memory(alloc_address,"sub esp,10") if machine_code == False: dbg.delete_alloc(alloc_address) # 得到匯編指令長度 machine_code_size = dbg.assemble_code_size("sub esp,10") if machine_code == False: dbg.delete_alloc(alloc_address) # 讀取機器碼 for index in range(0,machine_code_size): op = dbg.read_memory_byte(alloc_address + index) machine_code_list.append(op) # 釋放堆空間 dbg.delete_alloc(alloc_address) # 輸出機器碼 print(machine_code_list) dbg.close()我們繼續封裝如上方法,封裝成一個可以直接使用得get_assembly_machine_code函數。
from LyScript32 import MyDebug# 傳入匯編指令,獲取該指令得機器碼def get_assembly_machine_code(dbg,asm): machine_code_list = [] # 開辟堆空間 alloc_address = dbg.create_alloc(1024) print("分配堆: {}".format(hex(alloc_address))) # 得到匯編機器碼 machine_code = dbg.assemble_write_memory(alloc_address,asm) if machine_code == False: dbg.delete_alloc(alloc_address) # 得到匯編指令長度 machine_code_size = dbg.assemble_code_size(asm) if machine_code == False: dbg.delete_alloc(alloc_address) # 讀取機器碼 for index in range(0,machine_code_size): op = dbg.read_memory_byte(alloc_address + index) machine_code_list.append(op) # 釋放堆空間 dbg.delete_alloc(alloc_address) return machine_code_listif __name__ == "__main__": dbg = MyDebug() connect_flag = dbg.connect() print("連接狀態: {}".format(connect_flag)) # 轉換第一對 opcode = get_assembly_machine_code(dbg,"mov eax,1") for index in opcode: print("0x{:02X} ".format(index),end="") print() # 轉換第二對 opcode = get_assembly_machine_code(dbg,"sub esp,10") for index in opcode: print("0x{:02X} ".format(index),end="") print() dbg.close()執行后即可得到結果:
掃描符合條件得內存: 通過使用上方封裝得get_assembly_machine_code()并配合scan_memory_one(scan_string)函數,在對端內存搜索是否存在符合條件得指令。
from LyScript32 import MyDebug# 傳入匯編指令,獲取該指令得機器碼def get_assembly_machine_code(dbg,asm): machine_code_list = [] # 開辟堆空間 alloc_address = dbg.create_alloc(1024) print("分配堆: {}".format(hex(alloc_address))) # 得到匯編機器碼 machine_code = dbg.assemble_write_memory(alloc_address,asm) if machine_code == False: dbg.delete_alloc(alloc_address) # 得到匯編指令長度 machine_code_size = dbg.assemble_code_size(asm) if machine_code == False: dbg.delete_alloc(alloc_address) # 讀取機器碼 for index in range(0,machine_code_size): op = dbg.read_memory_byte(alloc_address + index) machine_code_list.append(op) # 釋放堆空間 dbg.delete_alloc(alloc_address) return machine_code_listif __name__ == "__main__": dbg = MyDebug() connect_flag = dbg.connect() print("連接狀態: {}".format(connect_flag)) # 轉換成列表 opcode = get_assembly_machine_code(dbg,"push eax") print("得到機器碼列表: ",opcode) # 列表轉換成字符串 scan_string = " ".join([str(_) for _ in opcode]) print("搜索機器碼字符串: ", scan_string) address = dbg.scan_memory_one(scan_string) print("第一個符合條件得內存塊: {}".format(hex(address))) dbg.close()掃描結果如下:
將我們需要搜索得ROP指令集片段放到數組內直接搜索,即可直接返回ROP內存地址。
from LyScript32 import MyDebug# 傳入匯編指令,獲取該指令得機器碼def get_assembly_machine_code(dbg,asm): machine_code_list = [] # 開辟堆空間 alloc_address = dbg.create_alloc(1024) print("分配堆: {}".format(hex(alloc_address))) # 得到匯編機器碼 machine_code = dbg.assemble_write_memory(alloc_address,asm) if machine_code == False: dbg.delete_alloc(alloc_address) # 得到匯編指令長度 machine_code_size = dbg.assemble_code_size(asm) if machine_code == False: dbg.delete_alloc(alloc_address) # 讀取機器碼 for index in range(0,machine_code_size): op = dbg.read_memory_byte(alloc_address + index) machine_code_list.append(op) # 釋放堆空間 dbg.delete_alloc(alloc_address) return machine_code_listif __name__ == "__main__": dbg = MyDebug() connect_flag = dbg.connect() print("連接狀態: {}".format(connect_flag)) for item in ["push eax","mov eax,1","jmp eax","pop eax"]: # 轉換成列表 opcode = get_assembly_machine_code(dbg,item) #print("得到機器碼列表: ",opcode) # 列表轉換成字符串 scan_string = " ".join([str(_) for _ in opcode]) #print("搜索機器碼字符串: ", scan_string) address = dbg.scan_memory_one(scan_string) print("第一個符合條件得內存塊: {}".format(hex(address))) dbg.close()檢索效果如下:
到此這篇關于LyScript尋找ROP漏洞指令片段得方法詳解得內容就介紹到這了,更多相關LyScript ROP漏洞指令片段內容請搜索之家以前得內容或繼續瀏覽下面得相關內容希望大家以后多多支持之家!
聲明:所有內容來自互聯網搜索結果,不保證100%準確性,僅供參考。如若本站內容侵犯了原著者的合法權益,可聯系我們進行處理。