LyScript尋找ROP漏洞指令片段的方法詳解
ROP繞過片段簡單科普一下,你可以理解成一個可以關閉系統自身內存保護的一段機器指令,這段代碼需要我們自己構造,這就涉及到在對端內存搜尋這樣的指令,LyScript插件增強瞭指令片段的查找功能,但需要我們在LyScript插件基礎上封裝一些方法,實現起來也不難。
LScript項目地址:https://github.com/lyshark/LyScript
封裝機器碼獲取功能: 首先封裝一個方法,當用戶傳入指定匯編指令的時候,自動的將其轉換成對應的機器碼,這是為搜索ROP片段做鋪墊的,代碼很簡單,首先dbg.create_alloc(1024)在進程內存中開辟堆空間,用於存放我們的機器碼,然後調用dbg.assemble_write_memory(alloc_address,"sub esp,10")將一條匯編指令變成機器碼寫到對端內存,然後再op = dbg.read_memory_byte(alloc_address + index)依次將其讀取出來即可。
from LyScript32 import MyDebug
# 傳入匯編指令,獲取該指令的機器碼
def get_assembly_machine_code(dbg,asm):
pass
if __name__ == "__main__":
dbg = MyDebug()
connect_flag = dbg.connect()
print("連接狀態: {}".format(connect_flag))
machine_code_list = []
# 開辟堆空間
alloc_address = dbg.create_alloc(1024)
print("分配堆: {}".format(hex(alloc_address)))
# 得到匯編機器碼
machine_code = dbg.assemble_write_memory(alloc_address,"sub esp,10")
if machine_code == False:
dbg.delete_alloc(alloc_address)
# 得到匯編指令長度
machine_code_size = dbg.assemble_code_size("sub esp,10")
if machine_code == False:
dbg.delete_alloc(alloc_address)
# 讀取機器碼
for index in range(0,machine_code_size):
op = dbg.read_memory_byte(alloc_address + index)
machine_code_list.append(op)
# 釋放堆空間
dbg.delete_alloc(alloc_address)
# 輸出機器碼
print(machine_code_list)
dbg.close()
我們繼續封裝如上方法,封裝成一個可以直接使用的get_assembly_machine_code函數。
from LyScript32 import MyDebug
# 傳入匯編指令,獲取該指令的機器碼
def get_assembly_machine_code(dbg,asm):
machine_code_list = []
# 開辟堆空間
alloc_address = dbg.create_alloc(1024)
print("分配堆: {}".format(hex(alloc_address)))
# 得到匯編機器碼
machine_code = dbg.assemble_write_memory(alloc_address,asm)
if machine_code == False:
dbg.delete_alloc(alloc_address)
# 得到匯編指令長度
machine_code_size = dbg.assemble_code_size(asm)
if machine_code == False:
dbg.delete_alloc(alloc_address)
# 讀取機器碼
for index in range(0,machine_code_size):
op = dbg.read_memory_byte(alloc_address + index)
machine_code_list.append(op)
# 釋放堆空間
dbg.delete_alloc(alloc_address)
return machine_code_list
if __name__ == "__main__":
dbg = MyDebug()
connect_flag = dbg.connect()
print("連接狀態: {}".format(connect_flag))
# 轉換第一對
opcode = get_assembly_machine_code(dbg,"mov eax,1")
for index in opcode:
print("0x{:02X} ".format(index),end="")
print()
# 轉換第二對
opcode = get_assembly_machine_code(dbg,"sub esp,10")
for index in opcode:
print("0x{:02X} ".format(index),end="")
print()
dbg.close()
執行後即可得到結果:
掃描符合條件的內存: 通過使用上方封裝的get_assembly_machine_code()並配合scan_memory_one(scan_string)函數,在對端內存搜索是否存在符合條件的指令。
from LyScript32 import MyDebug
# 傳入匯編指令,獲取該指令的機器碼
def get_assembly_machine_code(dbg,asm):
machine_code_list = []
# 開辟堆空間
alloc_address = dbg.create_alloc(1024)
print("分配堆: {}".format(hex(alloc_address)))
# 得到匯編機器碼
machine_code = dbg.assemble_write_memory(alloc_address,asm)
if machine_code == False:
dbg.delete_alloc(alloc_address)
# 得到匯編指令長度
machine_code_size = dbg.assemble_code_size(asm)
if machine_code == False:
dbg.delete_alloc(alloc_address)
# 讀取機器碼
for index in range(0,machine_code_size):
op = dbg.read_memory_byte(alloc_address + index)
machine_code_list.append(op)
# 釋放堆空間
dbg.delete_alloc(alloc_address)
return machine_code_list
if __name__ == "__main__":
dbg = MyDebug()
connect_flag = dbg.connect()
print("連接狀態: {}".format(connect_flag))
# 轉換成列表
opcode = get_assembly_machine_code(dbg,"push eax")
print("得到機器碼列表: ",opcode)
# 列表轉換成字符串
scan_string = " ".join([str(_) for _ in opcode])
print("搜索機器碼字符串: ", scan_string)
address = dbg.scan_memory_one(scan_string)
print("第一個符合條件的內存塊: {}".format(hex(address)))
dbg.close()
掃描結果如下:
將我們需要搜索的ROP指令集片段放到數組內直接搜索,即可直接返回ROP內存地址。
from LyScript32 import MyDebug
# 傳入匯編指令,獲取該指令的機器碼
def get_assembly_machine_code(dbg,asm):
machine_code_list = []
# 開辟堆空間
alloc_address = dbg.create_alloc(1024)
print("分配堆: {}".format(hex(alloc_address)))
# 得到匯編機器碼
machine_code = dbg.assemble_write_memory(alloc_address,asm)
if machine_code == False:
dbg.delete_alloc(alloc_address)
# 得到匯編指令長度
machine_code_size = dbg.assemble_code_size(asm)
if machine_code == False:
dbg.delete_alloc(alloc_address)
# 讀取機器碼
for index in range(0,machine_code_size):
op = dbg.read_memory_byte(alloc_address + index)
machine_code_list.append(op)
# 釋放堆空間
dbg.delete_alloc(alloc_address)
return machine_code_list
if __name__ == "__main__":
dbg = MyDebug()
connect_flag = dbg.connect()
print("連接狀態: {}".format(connect_flag))
for item in ["push eax","mov eax,1","jmp eax","pop eax"]:
# 轉換成列表
opcode = get_assembly_machine_code(dbg,item)
#print("得到機器碼列表: ",opcode)
# 列表轉換成字符串
scan_string = " ".join([str(_) for _ in opcode])
#print("搜索機器碼字符串: ", scan_string)
address = dbg.scan_memory_one(scan_string)
print("第一個符合條件的內存塊: {}".format(hex(address)))
dbg.close()
檢索效果如下:
到此這篇關於LyScript尋找ROP漏洞指令片段的方法詳解的文章就介紹到這瞭,更多相關LyScript ROP漏洞指令片段內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!
推薦閱讀:
- Python+LyScript實現自定義反匯編
- LyScript獲取上一條與下一條匯編指令的方法詳解
- 詳解分析MySQL8.0的內存消耗
- Python實現端口掃描器的示例代碼
- python破解WiFi教程代碼,Python蹭網原理講解