ret2syscall

最新推荐文章于 2024-02-20 21:09:03 发布
最新推荐文章于 2024-02-20 21:09:03 发布
阅读量464 收藏 1
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eternalburning/article/details/102996744
版权

ret2syscall

checksec

在这里插入图片描述

查找溢出点

在这里插入图片描述

计算偏移量

1 手动计算

在这里插入图片描述
0x8048e8f和0x8048e93这两行明显是为调用函数准备参数,把参数的地址给压栈。这个地址就是gets函数写入地址的起始地址,也就是eax,此时距基址的距离是EBP-EAX,由于是32位,所以返回地址在EBP-EAX+4的距离。

2 脚本

我们可以直接输入一个有序的长输出,然后观察EBP的基址是被哪一个下标的值所代替,之后根据该值返回去寻找下标来得到偏移量。
下断点
在这里插入图片描述
远程调试,输入一个长输入:

最低0.47元/天 解锁文章
Runope丶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ret2syscall知识点及例题
weixin_44864859的博客
05-19 727
rop 检查程序防护和基本信息 注意到此时开启了NX防护,所以无法使IP寄存器指向堆,栈。另外,注意这是statically linked(静态链接) 调试分析后,知道与之前一样同样在112个字节后同样可以控制返回地址,那怎么获得shell呢? 我们要思考,让程序跳转到什么地方呢? 由于我们不能直接利用程序中的某一段代码或者自己填写代码来获得 shell,所以我们利用程序中的 gadgets 来获得 shell,而对应的 shell 获取则是利用系统调用。 简单地说,只要我们把对应获取 shell 的系
Jarvis Oj Pwn 学习笔记-level2
baoan4763的博客
05-31 151
32位构造栈参数溢出! 恭敬地呈上链接: https://files.cnblogs.com/files/Magpie/level2.rar nc pwn2.jarvisoj.com 9878 首先....日常checksec: 程序扔进IDA锅里: 找到了溢出点~下面我们开始食用: 既然有调用system函数,肯定是可以直接call一波的,只是还缺一个参数,我...
ret2syscall前置知识
Rt1Text的博客
02-10 2779
1.目的 是拿到shell 2.具体操作 控制程序执行系统调用(字面理解就可) 3.系统调用是什么? 系统调用:system call 按照搜索的定义可理解为一种服务:程序运行在用户空间向操作系统内核(内核空间)请求更高权限运行 用户空间和内核空间可参考以下百度 用户空间_百度百科 (baidu.com) 系统调用提供用户程序与操作系统间的接口(大多数系统交互式操作系统需要在内核态执行) 系统调用就运行在内核空间 4.具体怎么做 linux在x86系统 触发int 0x80 ,借助
ROPgadget题型——ret2syscall
qq_41560595的博客
10-09 622
解题思路 这道题本来考虑使用libc来解,但发现不是动态链接形成的文件。 于是,考虑如下系统调用获取shell: execve("/bin/sh",NULL,NULL) 在32位程序中,参数一般是放在栈中的,但系统调用例外,参数是放在通用寄存器中的。即eax,ebx,ecx,edx。 eax:存放系统调用号,0xb ebx:存放第一个参数/bin/sh地址 ecx:存放第二个参数0 edx:存放第三个参数0 下面就是想办法把几个参数和调用号“弹到”寄存器上: 找到pop edx;pop ecx;pop e
pwn07.ret2syscall例题
11-11
ret2syscall例题
带exp的pwn测试文件
09-12
这些文件涵盖了多种经典的漏洞利用技术,如ret2text、ret2syscallret2shellcode、ret2libc、ret2csu、stack_pivoting、stack_smash以及SROP(Secure Return Oriented Programming)和frame_faking。下面将详细介绍...
linux syscall详细介绍.docx
11-08
5. 执行完毕后,通过`ret_fast_syscall`指令返回用户态,继续执行`kill()`函数后续的代码。 系统调用不仅提供了安全的内核访问途径,还经过优化以保证性能。在Linux中,上下文切换时间短,系统调用处理流程精简,...
32位汇编语言程序设计罗云彬第2版光盘
05-20
2. **指令集**:32位汇编语言包括一系列指令,如数据处理(如ADD、SUB、MUL)、逻辑运算(如AND、OR、NOT)、控制流程(如JMP、CALL、RET)、输入输出操作等。理解这些指令的含义和用法是编程的基础。 3. **寻址...
x86 x64体系探索及编程 part2
04-18
34 2.5 编程基础 34 2.5.1 操作数寻址 35 2.5.2 传送数据指令 39 2.5.3 位操作指令 45 2.5.4 算术指令 47 2.5.5 CALL 与RET 指令 48 2.5.6 跳转指令 48 2.6 编辑与编译、运行 48 第 3 章编写本书的实验例子 50 3.1 ...
ret2syscall(pwn第二课)
最新发布
s5555555___的博客
02-20 1206
xo.01 ret2syscall原理ret2syscall,即通过ROP控制程序执行系统调用,获取 shell。xo.02 ROP原理:随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是所谓 gadgets 就是以 ret 结尾的指令序列。例如:pop eax;ret这段代码的作用就是将。
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)
网络安全知识分享
03-28 4527
ROP-ret2libc-32实例 32位思路: 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下: 接下来我们检查保护 我们看到是有NX保护,没有canary和pie保护,我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。 objdump -d -j .plt
ret2syscall技术
weixin_44119101的博客
03-27 570
ret2syscall技术的原理大致为:从一个程序的进程空间去找一些函数汇编指令序列,然后通过堆栈操作构造execve("/bin/sh",null.null)这个函数,从而在利用溢出漏洞的时候去执行这个函数来获取系统调用。 execve("/bin/sh",null.null)函数的汇编程序为: pop eax, # 系统调用号载入, execve为0xb pop ebx, # 第...
call、retretf 指令详解
热门推荐
车子(chezi)
03-26 2万+
call、retretf指令详解本文讲解针对NASM编译器,8086处理器的call、retretf 指令。对于其他编译器和保护模式下的80x86,指令用法类似,可以作为参考。
ret和call的原理
GetnextWindow的专栏
05-01 1796
1.ret 指令用栈中的数据,修改IP的内容,从而实现近转移 CPU执行ret指令时,进行下面两步操作: (1)(IP)=((ss)*16+(sp))  //使用栈顶元素修改IP实现跳转 (2)(sp)=(sp)+2 2.retf 用栈中的数据,修改CS和IP的内容,从而实现远转移 CPU执行retf指令时,进行下面四步操作: (1)(IP)=((ss)*16+(sp))
ret2syscall-执行系统调用
yuqie的博客
07-14 187
checksec一下:32位程序,没有canary、PIE,开了NX,放入IDA看一下:有gets,可以溢出,不过没有system函数,也不能执行shellcode,查看字符发现有/bin/sh,那就是新学的系统调用。 假设程序中存在下面的代码: 但是程序中并没有这串代码,所以需要使用ROP(返回导向编程)构造,构造方式如下图:简单来说就是需要找到一些零零散散的gadget,然后组装成payload,不过前提是先溢出劫持控制器,这里IDA里给出v4的大小的'0x64',要溢出的话需要'0x68'也就是
Ret2Syscall绕过NX、ASLR保护
X丶 的博客
11-20 1503
Ret2Syscall,即控制程序执行系统调用,进而获取shell。 下面看看我们的vuln程序。 可以看出,程序中的gets有明显的 溢出漏洞 用gdb打开, 检查一下文件开启了哪些防护: 可以看出程序开启了 NX(栈不可执行)防护,那么,我们可以用ROP绕过防护 接来下,我们利用溢出漏洞来控制程序执行syscall(系统调用) 有关syscall系统调用的信息,可以在...
ret2syscall原理详解
Sakura给爷pwn全场
10-27 320
ret2syscall原理详解与实例分析: https://www.freebuf.com/articles/system/234228.html
构造syscall调用execve的rop
05-28
ROP(Return-oriented Programming)是一种攻击技术,它利用程序的已有代码(即gadget)来构造攻击。在构造syscall调用execve的ROP时,我们需要找到一些适合我们需要的gadget,以及一个能够满足我们需求的内存区域来存储我们的ROP链。 以下是一个构造syscall调用execve的ROP的示例: ``` ; pop rax ; ret gadget pop_rax_ret: 0x000000000040089c ; pop rdi ; ret gadget pop_rdi_ret: 0x000000000040089e ; pop rsi ; ret gadget pop_rsi_ret: 0x00000000004008a0 ; pop rdx ; ret gadget pop_rdx_ret: 0x00000000004008a2 ; syscall gadget syscall: 0x00000000004005f6 ; address of "/bin/sh" string bin_sh: db '/bin/sh',0 rop: ; set rax to 0x3b (execve syscall number) pop rax ; ret 0x000000000040089c 0x3b ; set rdi to the address of "/bin/sh" string pop rdi ; ret 0x000000000040089e bin_sh ; set rsi to 0 pop rsi ; ret 0x00000000004008a0 0x0 ; set rdx to 0 pop rdx ; ret 0x00000000004008a2 0x0 ; syscall syscall ``` 在这个例子中,我们使用了以下gadgets: - pop rax ; ret:弹出栈顶元素到rax寄存器中; - pop rdi ; ret:弹出栈顶元素到rdi寄存器中; - pop rsi ; ret:弹出栈顶元素到rsi寄存器中; - pop rdx ; ret:弹出栈顶元素到rdx寄存器中; - syscall:执行系统调用。 我们的ROP链的第一步是将rax寄存器设置为execve系统调用的编号(0x3b)。接下来,我们将/bin/sh字符串的地址传递给rdi寄存器。然后,我们将rsi和rdx寄存器都设置为0,因为execve系统调用不需要任何参数。最后,我们使用syscall gadget来执行系统调用。 请注意,我们需要在内存中准备/bin/sh字符串,因为execve系统调用需要它。在这个例子中,我们将/bin/sh字符串存储在名为bin_sh的标签中。在实际攻击中,这个字符串可以存储在任何我们可以访问的内存区域中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值