绕过 libc 直接使用系统调用

最新推荐文章于 2023-02-01 11:06:12 发布
最新推荐文章于 2023-02-01 11:06:12 发布
阅读量1.9k 收藏 1
点赞数 1
分类专栏: x86 相关 文章标签: table 汇编 gcc 嵌入式 system linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/comcat/article/details/1761964
版权 

当前版本: 0.1
完成日期: 2007-6-15
作者: Dajie Tan <jiankemeng@gmail.com>


系统调用是用户态进程切入内核态的唯一入口,是内核为用户态进程提供服务的
接口。Linux Kernel 提供了大约300个左右的系统调用,作为用户空间进程访问
内核的 API。

C 语言环境下,经常使用的(如getpid)是系统基础库 libc 封装过的。在其
后面究竟隐藏着什么样的秘密呢?


1. 先看一个例子:

#include <stdio.h>

int main()
{
    long ID1;

    ID1 = getpid();
	printf("pid=%d/n", ID1);

	return 0;
}

存为 sc.c,如下命令编译之:

gcc sc.c -o sc -static


看看它的汇编码:

objdump -d sc > sc.S

查看 sc.S 我们发现 getpid 被 libc 替换成 __getpid,而这个函数只有下面
的 3 行指令:

0804e0d0 <__getpid>:
 804e0d0:   b8 14 00 00 00          mov    $0x14,%eax
 804e0d5:   cd 80                   int    $0x80
 804e0d7:   c3                      ret

将 0x14 置于 eax 后,触发 0x80 号软件中断。

这个 0x80 号软件中断服务程序,就是内核系统调用的统一入口。

至于如何区分具体的是哪个系统调用,则通过 eax 传过来的整型值来区分。内
核定义了一个系统调用表,表的每项是一个函数指针,指向具体的实现函数,
每个系统调用函数在表中的位置固定,其序号 (从 0 开始计数)就是该系统
调用的系统调用号。实际上就是一个元素固定的数组。如 i386 内核,系统调
用表名为 sys_call_table,则 sys_call_table[20] 就是 getpid 的函数指针:

[arch/i386/kernel/syscall_table.S]

ENTRY(sys_call_table)
    .long sys_restart_syscall   /* 0 - old "setup()" system call, used for restarting */
    .long sys_exit
    .long sys_fork
    .long sys_read
    .long sys_write
    .long sys_open      /* 5 */
    .long sys_close
    .long sys_waitpid
    .long sys_creat
    .long sys_link
    .long sys_unlink    /* 10 */
    .long sys_execve
    .long sys_chdir
    .long sys_time
    .long sys_mknod
    .long sys_chmod     /* 15 */
    .long sys_lchown16
    .long sys_ni_syscall    /* old break syscall holder */
    .long sys_stat
    .long sys_lseek
    .long sys_getpid    /* 20 */
    .long sys_mount

...

int 0x80 触发,使内核进入相应的处理程序,在保存了寄存器后,就使用 eax 
的值索引 sys_call_table,得到地址后,跳转过去就进入了实质的服务函数。

因此,我们可以改写上面的程序为:

#include <stdio.h>

int main()
{
    long ID1;

    //ID1 = getpid();
	asm volatile(
			"int $0x80/n/t"
			: "=a" (ID1)	/* eax 亦是返回值所在,因此要与ID1 对应 */
			: "0" (20)		/* 20 置入 eax */
		);

	printf("pid=%d/n", ID1);

	return 0;
}

编译 gcc sc.c -o sc,执行之,结果是一样的。

上面简单的系统调用不需要传递参数,当需要传递 3 个参数时,那么如何处理呢?


2. 参数传递 

i386 内核实现系统调用时有一个参数传递约定:

ebx --- 置第一个参数
ecx --- 置第二个参数
edx --- 置第三个参数
esi --- 置第四个参数
edi --- 置第五个参数
ebp --- 置第六个参数 (系统调用最大参数个数为6)

特别注意,使用 ebp 前要先将其进栈, int 0x80 返回后,要恢复之。



3. 使用标准宏

上面使用嵌入式汇编不是很方便,可以使用 POSIX 标准约定的一系列宏:
	
	#include <linux/unistd.h>

	 _syscallX(type, name, type1, arg1, type2, arg2, ...)

其中 X 取值 0~5 表示系统调用的参数个数
name 为系统调用的名字,如 getpid, read 等
type1 为第一个参数类型
arg1 为第一个参数值
type2 为第二个参数类型
arg2 为第二个参数值
...

很显然,使用这些宏,要对所用之系统调用的参数个数和类型有清晰的了解。

如上面的程序改写为:

#include <stdio.h>
#include <linux/unistd.h>

_syscall0(int, getpid);

int main()
{
    long id = getpid();
    printf("id = %d/n", id);

    return 0;
}

就绕过了 libc。可以使用 gcc -E sc.c > sc.C 看看预处理后的结果,就知道
这个_syscall 宏做了什么事了。

这些宏定义于内核源码目录的 include/asm-i386/unistd.h 下,抑或 
/usr/include/asm-i486/unistd.h 下。


4. 查看系统调用号

可以查看内核源码目录的 include/asm-i386/unistd.h,该文件中定义了一系列以
__NR_ 开头的常量,紧随其后的即为系统调用名,相应的即为系统调用号。

更多的参考: http://people.openrays.org/~comcat/mydoc/syscall_ref.html

 
Jack Tan
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
libc库和系统调用
06-04
libc库和系统调用
Linux (x86) Exploit 开发系列教程之四(使用return-to-libc绕过NX bit)
weixin_34375054的博客
05-08 196
(1)原理: “NX Bit”的漏洞缓解:使某些内存区域不可执行,并使可执行区域不可写。示例:使数据,堆栈和堆段不可执行,而代码段不可写。 在NX bit打开的情况下,基于堆栈的缓冲区溢出的经典方法将无法利用此漏洞。因为在经典的方法中,shellcode被复制到堆栈中,返回地址指向shellcode。但是现在由于堆栈不再可执行,我们的漏洞利用失败!但是这种缓解技术并不完全是万无一失的,使用叫做...
Linux x86 漏洞利用-使用return-to-libc绕过NX位
z190814412的博客
01-08 819
使用return-to-libc绕过NX位 先决条件: 基于经典堆栈的缓冲区溢出 VM设置:Ubuntu 12.04(x86) 在以前的帖子中,我们看到了攻击者 将shellcode复制到堆栈并跳转到它! 为了成功利用易受攻击的代码。因此,为了阻止攻击者的行动,安全研究人员想出了一个名为“NX Bit”的漏洞利用缓解措施! 什么是NX Bit? 它是一种漏洞利用缓解技术,它使某些内存区...
Lab2-Return-To-Libc
11-10
在网络安全领域,Return-to-libc攻击是一种常见的利用技术,主要用于绕过数据执行防止(DEP)和地址空间布局随机化(ASLR)等安全防护机制。本资料包“Lab2-Return-To-Libc”提供了相关的代码示例、实验说明以及相关...
返回libc攻击实验报告.docx
10-15
return-to-libc攻击的原理是利用程序已加载库(如libc)中的现有函数,尤其是那些可以直接调用系统命令的函数,如`system()`,来达到攻击目的。在这种攻击中,攻击者不再需要在栈上放置可执行的shellcode,而是寻找...
Ret2Libc 实战之利用 ZwSetInformationProcess.zip
06-11
然而,在某些情况下,攻击者可能会寻找方法绕过DEP,以便能够执行其恶意代码。 ZwSetInformationProcess是Windows NT内核API的一部分,它允许进程获取或设置信息。其中,我们可以利用ZwSetInformationProcess的...
复旦大学_软件安全_SEED labs_2-Return_to_libc.zip
06-27
在软件安全领域,Return-to-libc攻击是绕过非执行数据(NX)保护和地址空间布局随机化(ASLR)等现代安全机制的一种手段。在传统的缓冲区溢出攻击中,攻击者通过注入超过缓冲区边界的数据来覆盖返回地址,使得程序...
直接使用系统调用
Liuqz2009的专栏
08-28 1009
网上有很多文档介绍如何添加自定义的系统调用的,说的都特别详细,但是定义好自定义的系统调用后,察看新生成的内核符号表System.map中也出现了自己定义的系统调用,但是在编写用户程序进行测试时,发现问题了: _syscall0--_syscall6宏在linux/unistd.h中没有了。致使用户测试程序没法进行。 我查阅了内核源码和Changelogs,发现在Linux2.6.19.1中
Linux-C中libc函数以及系统调用函数查看
legend050709的专栏
10-26 3008
目录man基本查看系统调用查看libc库文件查看内核版本查看glibc版本查看参考 man基本查看 系统调用查看 libc库文件查看 内核版本查看 glibc版本查看 参考
系统调用与库调用
d7Derik的博客
12-22 2011
一、计算机系统的组成 1、计算机系统由硬件和软件组成,软件包括操作系统和普通软件,如下图所示: 多数计算机有两种运行模式:内核态和用户态。操作系统运行于内核态,可以执行机器支持的任何指令;普通软件运行于用户态,只能执行机器指令的一个子集(如I/O操作相关指令在用户态中是被禁止的)。 2、任何单CPU计算机一次只能执行一条指令。如果一个过程正在用户态运行一个用户程序,并且需要一个系
操作系统(五)--shell、系统调用libc
最新发布
文艺小少年的博客
02-01 391
前面的文章讲到操作系统启动初始化init进程后,就退居二线,只负责给应用程序提供系统调用以及处理异常、中断,而应用程序也是通过系统调用调用外设,所以操作系统另一种角度来讲就是硬件、软件的管理者。今天就来分析一下系统调用以及和用户交互的shell
linux内核-系统调用
guoguangwu的专栏
11-07 869
如果说外部中断是使CPU被动地、异步地进入系统空间的一种手段,那么系统调用就是CPU主动地、同步地进入系统空间的手段。这里所谓主动,是指CPU自愿的、事先计划好了的行为。而同步则是说,CPU(实际上是软件的设计人员)确切地知道在执行哪一条指令以后就一定会进入系统空间。相比之下,中断的发生带有很大的不可预测性。但是,尽管有着这样的区别,二者之间还是由很大的共性。这是因为,在使CPU的运行状态从用户态转入系统态,也就是从用户空间进入系统空间,这一个基本点上二者是一致的。当然,中断有可能发生在CPU已经运行在系统
return-to-libc攻击实验
stonesharp的专栏
08-06 4983
第一部分 实验背景        缓冲区溢出的常用攻击方法是用shellcode的地址来覆盖漏洞程序的返回地址,使得漏洞程序去执行存放在栈中shellcode。于是为了阻止这种类型的攻击,一些操作系统(比如Fedora)使得系统管理员具有使栈不可执行的能力。这样的话,一旦程序执行存放在栈中的shellcode就会崩溃,从而阻止了攻击。        不幸的是上面的保护方式并不是完全有效
native层 安卓_来自高纬的对抗:定制安卓内核过反调试
weixin_39843078的博客
11-23 795
以上文章由作者【r0ysue】的连载有赏投稿,共有五篇,本文为第四篇;也欢迎广大朋友继续投稿,详情可点击OSRC重金征集文稿!!!了解~~温馨提示:建议投稿的朋友尽量用markdown格式,特别是包含大量代码的文章《来自高纬的对抗:定制安卓内核过反调试》传统的TracerPid反调试及绕过反调试的实现原理用Frida来反反调试安卓内核编译流程源码中的内核文件下载内核源码查看手机中系统的内...
应用程序如何直接调用一个系统调用, 不经过C库?
weixin_42992444的博客
09-20 1691
通常应用程序是怎么访问系统调用的? 应用程序通常不会直接访问系统调用, 一般都是通过C库来访问系统调用. 我们通常说的, 写个应用程序, 调某个系统调用, 其实也不是真的直接调用系统调用, 而是调用C库(一般是glbic)封装的函数, 而这个封装的函数的函数名跟系统调用名称相同, 比如写个程序,打开某个文件, 将其内容输出来, 这里面我们看似调用了open(), read(), write()这些"系统调用", 实际也是glibc封装过的, 跟Linux相应的系统调用, 同名的函数, 而非真的系统调用
Linux几种检测rootkit隐藏进程的方法
bin_linux96的专栏
05-02 3324
Rootkit通常会隐藏进程,隐藏文件和网络连接。这里主要记录几种对隐藏进程的检测方法 一. 隐藏进程的方法 1.1 用户级Rootkit 通过LD_PRELOADER来hook libc库实现,从而过滤/proc/pid目录 1.2 内核级rootkit 通过hook系统调用getdents/getdents64或者hook 文件file_operation的iterate 1.3 内核...
android 系统内存检查
u011279649的专栏
03-09 1900
1.     Introduction Android对内存的使用包括内存泄漏和内存越界,内存泄漏会导致系统内存减少,最终分配不到内存,这样大的程序就不能运行,甚至系统没有内存而崩溃。Android中kernel和应用程序都可能会有内存泄漏和越界。对于Java代码,在越界的时候虚拟机会加以检查并抛出异常。而对于C/C++代码,越界的时候就悄无声息地让程序出错或crash 2.     
关于系统调用原理的介绍
11-18
在C语言环境中,常常使用库函数(如Libc库)来提供API,这些库函数内部会调用封装例程,这些封装例程负责发起系统调用。并非所有API都直接对应一个特定的系统调用,有些API可能直接在用户态完成服务,或者一个API...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值