一、pwn - 零基础ROP之Android ARM 32位篇(新修订,精华篇)

已于 2024-04-24 11:19:51 修改
阅读量1.3k 收藏 10
点赞数 14
CC 4.0 BY-SA版权
分类专栏: 渗透/漏洞/安全 android安全与逆向 文章标签: android pwn rop
于 2024-04-17 18:18:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tabactivity/article/details/137780714
本文详细介绍了如何在Android环境下,针对32位系统进行ROP(Return-Oriented Programming)攻击的准备工作,包括环境搭建、Pwn代码编译、调试方法,以及如何寻找溢出点位和返回地址。文章以实例代码和调试步骤指导读者理解并实践ROP技术。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、环境搭建

  安装ndk r10e,必须得这个版本,其他版本可能导致  -fno-stack-protector 不生效!

r10e

二、Pwn代码编译

VSCode 新建个main.cpp文件,代码如下

#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>
#include<string.h>

void callsystem()
{
    write(STDOUT_FILENO, "Flag:XY2024\n", 13);    
    write(STDOUT_FILENO, "call shell...\n", 13);   
    system("/system/bin/sh");
}


void vulnerable_function() {
    int i = 128;
    char buf[i];
    read(STDIN_FILENO, buf, 256);
}

int main(int argc, char** argv) {
    char buf[128] = {0};

    if (argc==2&&strcmp("passwd",argv[1])==0)
        callsystem();
    snprintf(buf, 128, "vulnerable_function=%p\n", vulnerable_function);    
    write(STDOUT_FILENO, buf, strlen(buf));        
    write(STDOUT_FILENO, "Hello, World\n", 13);    
    vulnerable_function();
}

新建Android.mk,内容如下:

LOCAL_PATH := $(call my-dir)

include $(CLEAR_VARS)

LOCAL_MODULE := level6
LOCAL_SRC_FILES := main.cpp
LOCAL_LDLIBS := -llog
LOCAL_CFLAGS += -fno-stack-protector
include $(BUILD_EXECUTABLE)

新建Application.mk,内容如下:

APP_ABI := armeabi-v7a
APP_STL := c++_static
APP_CFLAGS += -fno-stack-protector 
APP_PLATFORM := android-21

cd到项目所在目录,执行编译:

d:\android-ndk-r10e\ndk-build NDK_PROJE
最低0.47元/天 解锁文章

200万优质内容无限畅学
32/64程序 利用ROP泄露函数地址
qq_44768749的博客
08-23 741
利用ROP泄露函数地址0x01 320x02 64 0x01 32 addr = u32(p.recvuntil("\xf7")[-4:]) 0x02 64 addr = u64(p.recvuntil("\x7f")[-6:].ljust(8, "\x00")) 不能保证所有题试用,但绝大部分泄露函数地址的题可以用到
二、pwn - 零基础ROP之PIE保护绕过-碰撞
键盘的起始页
04-18 643
本文唯区别在于,我们不利用vulnerable_function打印的地址,无法定pie base地址,直接随机碰撞(爆破)~ 有定比例成功的可能,贴近实战!但是呢,内存溢出后覆盖PC,要么修改2、4、6、8...,无法修改3,又因为arm是小端模式,例如0x6b25741, 在内存中排列为0x41 0x57 0x6b...所以0x70d 是低地址,前面存在1 未知的数值,在1-F (16进制)之间,可能是0x170d、也可能是0x270d、0x370d...0xf70d。
步学ROPAndroid ARM 32》 源码修改版之增加gadgets
06-08
蒸米的代码基础上,加了sqlite3代码便于方便查找gadgets。。。。。。。。。。。。。。。。。。。。。。。。。。。。
步学ROPAndroid ARM 32 -- 阅读笔记及实践
andy7002的博客
06-08 2024
0x00 前言   本文是蒸米的《步学ROPAndroid ARM 32》读书笔记,自己动手做了遍,记录了遇到不样的地方和问题,4个程序全部运行成功。 0x01 简单的例子(level6) #include #include #include void callsystem() { system("/system/bin/sh"); } void vu
CTF-PWN-callme32 [ROP+栈溢出]
SuperGate的博客
08-13 1060
首先发现在pwnme函数中有个明显的缓冲区溢出,长度为40,经调试发现填入44长度的垃圾信息即可填入shellcode ida发现个重要函数如下: 点入后发现这三个函数为系统级调用。正好题目给了我们个.so文件。进入查看,发现有这三个函数的反编译。依次是将加密后的flag通过key1,key2解密。调用顺序应该是callme_one -> callme_two -> c...
PWN入门(5)32程序与64程序和构造ROP
Ba1_Ma0的博客
09-12 2172
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的置是相邻的,PWN 也是个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用。
arm32 androidpwn-level6二进制文件+gdbserver+lldb+socat
04-17
arm32 androidpwn-level6二进制文件+gdbserver+lldb+socat,文章pwn - 零基础ROPAndroid ARM 32修订)https://blog.csdn.net/tabactivity/article/details/137780714 全部资料文件。 0基础pwn
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 3106
此题是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64elf 无stack 无PIE   0x02 运行分析  看起来像个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
arm b bl 地址无关码_32和64下的arm_pwn初探
weixin_39542514的博客
11-12 307
32和64下的arm_pwn初探前言:pwn的学习之路直在进行,今天看了arm_pwn,搞环境就搞了半天,琢磨工具使用到做题,这里总结下,希望能帮助到大家,少走点弯路,后期有机会继续更、环境配置:环境是大玄学问题,这里仅仅是 我Ubuntu16.04下的环境配置,亲测有效,但是遇到玄学的问题时,也请留言,努力帮大家解决。#安装qemuapt-get install qem...
Android安全[测试环境&vuln-demo&pwn]
0x00的博客
08-26 1306
System : ubuntu 14.04 LTS python3.0--scikit-learn安装: # lapack是跟线性代数有关的工具包,安装相关库  sudo apt-get -y install python3-dev python3 python3-pip liblapack-dev libblas-dev python3-scipy python3-numpy python...
c仿照pwn题实现arm64下的rop
weixin_45574485的博客
04-25 636
代码基于个ctf竞赛的rop用例写成,省去了用pwn进行攻击的过程,减少了工具的使用,方便以后添加到自动化测试用例。 废话不多说,先贴代码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/mman.h> #include <string.h> char * rop_chain = "\x61\x61\x61\x61\x61\x61\x61\
pwn32及64无PIE保护ROP方法
weixin_44644249的博客
02-03 1419
32和64ROP方法 先记录下,暂时还没有学会绕过PIE 源码 #include<stdio.h> #include<unistd.h> void vuln_func() { char buf[128]; read(STDIN_FILENO,buf,256);//溢出点 } int main(int argc,char* argv[]) { vuln_func(); write(STDOUT_FILENO,"Hello world\n",13); } 32 编译
arm 架构_记ARM架构的ROP利用
weixin_39585675的博客
11-12 311
先说下需要搭建的环境:1.安装qemu:sudo apt-get install qemu-user2.安装gdb-multiarch:sudo apt-get install gdb-multiarch3.安装依赖库:sudo apt install gcc-arm-linux-gnueabi gcc-aarch64-linux-gnu然后就可以通过qemu起个虚拟机模拟arm架构...
pwn学习资料整理——ROP技术
recover517的博客
08-30 5672
1. 在32程序中,参数是以什么形式进行传递的? 2. 在64程序中,参数是以什么形式进行传递的? 3. 什么是return address? 4. 怎么利用控制栈空间来达到执行程序命令? 5. 32中构造ROP 6. 64中构造ROP
关于ARM平台上的ROP攻击
简行之旅
10-09 4934
最近在研究ROP攻击,看了不少相关的资料,接下来准备在这方面做个专题分享,我将会从下面几个方面着手: 常见的堆栈溢出及攻击原理基于X86的Ret2Lib的实现原理基于ARM的Ret2ZP的实现原理攻击实例分析——攻击序列的构造
[BUUCTF]inndy_rop 杂谈、32与64系统调用、与思考
Tokameine的博客
09-07 669
总之先从题目开始看吧,是道非常简单但却让我长见识的题...... int overflow() { char v1[12]; // [esp+Ch] [ebp-Ch] BYREF return gets(v1); } 明显的栈溢出,且程序基本没有特别的保护,正常构造rop链即可拿到shell 主要是想拓展下系统调用与个简单的获取ROP方法 ROPgadget --binary rop --ropchain ROP chain...
ARM架构的ROP利用
蚁景网安学院
02-17 381
先说下需要搭建的环境:1.安装qemu:sudo apt-get install qemu-user2.安装gdb-multiarch:sudo apt-get install gdb...
软件安全实验——lab7(缓冲区溢出3:返回导向编程技术ROP
Onlyone_1314的博客
08-05 2968
目录标题1、举例详细解释什么是Return-orientd Programming ROP?(至少两个例子:x86 和arm)(1)ROP在X86指令集上的实例(2)ROPARM上的可行性2、举例描述个远程缓冲区溢出,思考和本地溢出的区别,攻击难点在哪里?3、描述arm和x64下的缓冲区溢出,比较和x86的差异。 1、举例详细解释什么是Return-orientd Programming ROP?(至少两个例子:x86 和armROP(Return-oriented programming),即“返
攻防世界pwn pwn-100
最新发布
01-18
对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

江西省遂川县常驻深圳大使

喜欢本文,打赏下作者吧~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值