LyScript如何尋找ROP漏洞指令片段

本篇內(nèi)容介紹了“LyScript如何尋找ROP漏洞指令片段”的有關(guān)知識(shí)，在實(shí)際案例的操作過程中，不少人都會(huì)遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

封裝機(jī)器碼獲取功能: 首先封裝一個(gè)方法，當(dāng)用戶傳入指定匯編指令的時(shí)候，自動(dòng)的將其轉(zhuǎn)換成對(duì)應(yīng)的機(jī)器碼，這是為搜索ROP片段做鋪墊的，代碼很簡單，首先dbg.create_alloc(1024)在進(jìn)程內(nèi)存中開辟堆空間，用于存放我們的機(jī)器碼，然后調(diào)用dbg.assemble_write_memory(alloc_address,"sub esp,10")將一條匯編指令變成機(jī)器碼寫到對(duì)端內(nèi)存，然后再op = dbg.read_memory_byte(alloc_address + index)依次將其讀取出來即可。

from LyScript32 import MyDebug

# 傳入?yún)R編指令,獲取該指令的機(jī)器碼
def get_assembly_machine_code(dbg,asm):
    pass

if __name__ == "__main__":
    dbg = MyDebug()
    connect_flag = dbg.connect()
    print("連接狀態(tài): {}".format(connect_flag))

    machine_code_list = []

    # 開辟堆空間
    alloc_address = dbg.create_alloc(1024)
    print("分配堆: {}".format(hex(alloc_address)))

    # 得到匯編機(jī)器碼
    machine_code = dbg.assemble_write_memory(alloc_address,"sub esp,10")
    if machine_code == False:
        dbg.delete_alloc(alloc_address)

    # 得到匯編指令長度
    machine_code_size = dbg.assemble_code_size("sub esp,10")
    if machine_code == False:
        dbg.delete_alloc(alloc_address)

    # 讀取機(jī)器碼
    for index in range(0,machine_code_size):
        op = dbg.read_memory_byte(alloc_address + index)
        machine_code_list.append(op)

    # 釋放堆空間
    dbg.delete_alloc(alloc_address)

    # 輸出機(jī)器碼
    print(machine_code_list)
    dbg.close()

我們繼續(xù)封裝如上方法，封裝成一個(gè)可以直接使用的get_assembly_machine_code函數(shù)。

from LyScript32 import MyDebug

# 傳入?yún)R編指令,獲取該指令的機(jī)器碼
def get_assembly_machine_code(dbg,asm):
    machine_code_list = []

    # 開辟堆空間
    alloc_address = dbg.create_alloc(1024)
    print("分配堆: {}".format(hex(alloc_address)))

    # 得到匯編機(jī)器碼
    machine_code = dbg.assemble_write_memory(alloc_address,asm)
    if machine_code == False:
        dbg.delete_alloc(alloc_address)

    # 得到匯編指令長度
    machine_code_size = dbg.assemble_code_size(asm)
    if machine_code == False:
        dbg.delete_alloc(alloc_address)

    # 讀取機(jī)器碼
    for index in range(0,machine_code_size):
        op = dbg.read_memory_byte(alloc_address + index)
        machine_code_list.append(op)

    # 釋放堆空間
    dbg.delete_alloc(alloc_address)
    return machine_code_list

if __name__ == "__main__":
    dbg = MyDebug()
    connect_flag = dbg.connect()
    print("連接狀態(tài): {}".format(connect_flag))

    # 轉(zhuǎn)換第一對(duì)
    opcode = get_assembly_machine_code(dbg,"mov eax,1")
    for index in opcode:
        print("0x{:02X} ".format(index),end="")
    print()

    # 轉(zhuǎn)換第二對(duì)
    opcode = get_assembly_machine_code(dbg,"sub esp,10")
    for index in opcode:
        print("0x{:02X} ".format(index),end="")
    print()

    dbg.close()

執(zhí)行后即可得到結(jié)果：

掃描符合條件的內(nèi)存: 通過使用上方封裝的get_assembly_machine_code()并配合scan_memory_one(scan_string)函數(shù)，在對(duì)端內(nèi)存搜索是否存在符合條件的指令。

from LyScript32 import MyDebug

# 傳入?yún)R編指令,獲取該指令的機(jī)器碼
def get_assembly_machine_code(dbg,asm):
    machine_code_list = []

    # 開辟堆空間
    alloc_address = dbg.create_alloc(1024)
    print("分配堆: {}".format(hex(alloc_address)))

    # 得到匯編機(jī)器碼
    machine_code = dbg.assemble_write_memory(alloc_address,asm)
    if machine_code == False:
        dbg.delete_alloc(alloc_address)

    # 得到匯編指令長度
    machine_code_size = dbg.assemble_code_size(asm)
    if machine_code == False:
        dbg.delete_alloc(alloc_address)

    # 讀取機(jī)器碼
    for index in range(0,machine_code_size):
        op = dbg.read_memory_byte(alloc_address + index)
        machine_code_list.append(op)

    # 釋放堆空間
    dbg.delete_alloc(alloc_address)
    return machine_code_list

if __name__ == "__main__":
    dbg = MyDebug()
    connect_flag = dbg.connect()
    print("連接狀態(tài): {}".format(connect_flag))

    # 轉(zhuǎn)換成列表
    opcode = get_assembly_machine_code(dbg,"push eax")
    print("得到機(jī)器碼列表: ",opcode)

    # 列表轉(zhuǎn)換成字符串
    scan_string = " ".join([str(_) for _ in opcode])
    print("搜索機(jī)器碼字符串: ", scan_string)

    address = dbg.scan_memory_one(scan_string)
    print("第一個(gè)符合條件的內(nèi)存塊: {}".format(hex(address)))

    dbg.close()

掃描結(jié)果如下：

將我們需要搜索的ROP指令集片段放到數(shù)組內(nèi)直接搜索，即可直接返回ROP內(nèi)存地址。

from LyScript32 import MyDebug

# 傳入?yún)R編指令,獲取該指令的機(jī)器碼
def get_assembly_machine_code(dbg,asm):
    machine_code_list = []

    # 開辟堆空間
    alloc_address = dbg.create_alloc(1024)
    print("分配堆: {}".format(hex(alloc_address)))

    # 得到匯編機(jī)器碼
    machine_code = dbg.assemble_write_memory(alloc_address,asm)
    if machine_code == False:
        dbg.delete_alloc(alloc_address)

    # 得到匯編指令長度
    machine_code_size = dbg.assemble_code_size(asm)
    if machine_code == False:
        dbg.delete_alloc(alloc_address)

    # 讀取機(jī)器碼
    for index in range(0,machine_code_size):
        op = dbg.read_memory_byte(alloc_address + index)
        machine_code_list.append(op)

    # 釋放堆空間
    dbg.delete_alloc(alloc_address)
    return machine_code_list

if __name__ == "__main__":
    dbg = MyDebug()
    connect_flag = dbg.connect()
    print("連接狀態(tài): {}".format(connect_flag))

    for item in ["push eax","mov eax,1","jmp eax","pop eax"]:
        # 轉(zhuǎn)換成列表
        opcode = get_assembly_machine_code(dbg,item)
        #print("得到機(jī)器碼列表: ",opcode)

        # 列表轉(zhuǎn)換成字符串
        scan_string = " ".join([str(_) for _ in opcode])
        #print("搜索機(jī)器碼字符串: ", scan_string)

        address = dbg.scan_memory_one(scan_string)
        print("第一個(gè)符合條件的內(nèi)存塊: {}".format(hex(address)))

    dbg.close()

檢索效果如下：

“LyScript如何尋找ROP漏洞指令片段”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)可以關(guān)注億速云網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實(shí)用文章！