ret2syscall

最新推荐文章于 2024-07-05 21:04:22 发布
最新推荐文章于 2024-07-05 21:04:22 发布
阅读量277 收藏
点赞数
分类专栏: CTF-PWN-刷题-XMCVE培训课 文章标签: 网络安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49959202/article/details/120365175
版权
本文详细介绍了ret2syscall攻击技术,通过控制程序执行系统调用以获取shell。首先阐述了ret2syscall的基本原理,接着分析了一个包含gets()函数的程序,寻找并利用rop链上的gadget来构造参数,最终执行int 80h系统调用。通过调试确定了payload所需的长度,并给出了exploit的编写思路。
摘要由CSDN通过智能技术生成

文章目录

ret2syscall

ret2syscall: 控制程序执行系统调用,获取 shell

1.原理

系统调用参考博客:https://blog.csdn.net/qq_33948522/article/details/93880812

2.构造过程

使用ida分析程序,发现存在gets()函数,可以用来进行栈溢出:

使用shift+F12查看字符串,发现存在"/bin/sh"字符串,位于0x080BE408处:

基于rop链构造思路,需要参数由eax,ebx,ecx,edx提供

需要寻找以下语句:

pop eax# 系统调用号载入, execve为0xb
pop ebx# 第一个参数, /bin/sh的string
pop ecx# 第二个参数,0
pop edx# 第三个参数,0
int 0x80

首先寻找eax, ret语句,发现:0x080bb196处的语句可以

然后寻找其他包含ebx, ecx, edx的语句:

发现0x0806eb90处同时包含需要的ebx, ecx, edx的语句:

寻找int 80h,发现0x08049421处有该语句:

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ret2syscall知识点及例题
weixin_44864859的博客
05-19 734
rop 检查程序防护和基本信息 注意到此时开启了NX防护,所以无法使IP寄存器指向堆,栈。另外,注意这是statically linked(静态链接) 调试分析后,知道与之前一样同样在112个字节后同样可以控制返回地址,那怎么获得shell呢? 我们要思考,让程序跳转到什么地方呢? 由于我们不能直接利用程序中的某一段代码或者自己填写代码来获得 shell,所以我们利用程序中的 gadgets 来获得 shell,而对应的 shell 获取则是利用系统调用。 简单地说,只要我们把对应获取 shell 的系
PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 1557
虽然网上(包括CSDN)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
ret2syscall简单总结
ULGANOY的博客
07-05 685
主要是自己的简单的学习总结。
ret2syscall 入门
akdelt的博客
01-24 492
系统调用是操作习系统提供给应用程序的一种接口,允许应用程序请求操作系统执行特权指令,如文件操作,网络通信,进程管理等。x86 通过 int 0x80 指令进行系统调用,amd64 通过 syscall 指令进行系统调用比如 write 函数32位汇编代码系统调用号,触发 nr_writemov ebx,1mov edx,13int 0x80;中断触发系统调用‘’
RET2syscall
T_Fire_of_Square的博客
12-18 97
基本rop之一,意为call system,控制程序执行系统调用,获取shell。
PWN】07.ret2syscall
weixin_52553215的博客
11-12 2321
Linux 在x86上的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。在 /usr/include/x86_64-linux-gnu/asm/unistd_64.h 和/usr/include/x86_64-linux-gnu/asm/unistd_32.h 分别可以查看 64 位和 32 位的系统调用号。
从零开始学逆向:理解ret2syscall
weixin_44626085的博客
02-19 1295
链接:https://pan.baidu.com/s/19ymHlZZmVGsJHFmmlwww0w 提取码:r4el 首先checksec 看一下保护机制ret2syscall 即控制程序执行系统调用来获取 shell 什么是系统调用?​ 3.1 使用ida打开分析 ​gets函数存在明显的栈溢出,但是这次没有后门函数,NX防护也打开了,那么就要换一种套路了,通过系统调用拿到shell 我们需要控制eax,ebx,ecx,edx的值,可以使用ROPgadget这个工具帮我们找到所需的代码片段。
PWN · ret2syscall | GoPwn】[2024CISCN · 华中赛区]go_note
Mr_Fmnwon的博客
07-02 807
可以说是做的第一道GoPwn。。。进度确实太慢;此外,除了学习了对GoPwn的调试、逆向,也关注了Gadget利用的一些trick,ret2syscall也又一次进阶式地复习,收获良多。本题受益良多,开心。
pwn学习笔记(3)ret2syscall
qq_66013948的博客
02-13 729
​ ROP(Return Oriented Programming)返回导向编程,主要思想是通过在程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。
ret2syscall前置知识
Rt1Text的博客
02-10 2783
1.目的 是拿到shell 2.具体操作 控制程序执行系统调用(字面理解就可) 3.系统调用是什么? 系统调用:system call 按照搜索的定义可理解为一种服务:程序运行在用户空间向操作系统内核(内核空间)请求更高权限运行 用户空间和内核空间可参考以下百度 用户空间_百度百科 (baidu.com) 系统调用提供用户程序与操作系统间的接口(大多数系统交互式操作系统需要在内核态执行) 系统调用就运行在内核空间 4.具体怎么做 linux在x86系统 触发int 0x80 ,借助
pwn07.ret2syscall例题
11-11
ret2syscall例题
带exp的pwn测试文件
09-12
这些文件涵盖了多种经典的漏洞利用技术,如ret2text、ret2syscall、ret2shellcode、ret2libc、ret2csu、stack_pivoting、stack_smash以及SROP(Secure Return Oriented Programming)和frame_faking。下面将详细介绍...
linux syscall详细介绍.docx
11-08
5. 执行完毕后,通过`ret_fast_syscall`指令返回用户态,继续执行`kill()`函数后续的代码。 系统调用不仅提供了安全的内核访问途径,还经过优化以保证性能。在Linux中,上下文切换时间短,系统调用处理流程精简,...
How to add syscall
01-25
ret = sys_syscall(SYS_do_printmessage, (char *)msg); if (ret ) printf("Error in do_printmessage: %d\n", ret); } ``` 接着,我们需要编写一个简单的应用程序来测试这个库: ```c #include "printmessage.h...
32位汇编语言程序设计罗云彬第2版光盘
05-20
2. **指令集**:32位汇编语言包括一系列指令,如数据处理(如ADD、SUB、MUL)、逻辑运算(如AND、OR、NOT)、控制流程(如JMP、CALL、RET)、输入输出操作等。理解这些指令的含义和用法是编程的基础。 3. **寻址...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8363
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
笔记222222222222222222222222222222
最新发布
08-04
笔记222222222222222222222222222222
仿拉钩App小程序.rar
08-04
小程序的设计源码通常包含多个文件和文件夹,组织结构清晰,以便开发者能够快速上手并进行定制化开发。主要文件和文件夹包括: 页面文件夹:存放小程序的各个页面,每个页面通常由.wxml、.wxss、.js和.json文件组成。WXML文件负责页面的结构,类似于HTML;WXSS文件负责样式,类似于CSS;JS文件负责页面的逻辑和交互;JSON文件用于页面的配置,如导航栏标题等。 组件文件夹:存放可复用的UI组件。组件与页面类似,也由.wxml、.wxss、.js和.json文件组成。通过组件化设计,可以提高代码的复用性和维护性,减少重复工作。 静态资源文件夹:存放图片、音频、视频等静态资源,便于在小程序中引用。这些资源通常放在一个名为assets或static的文件夹中。 配置文件:小程序的根目录下通常有一个app.json文件,用于全局配置,如页面路径、导航栏样式、底部Tab栏等。此外,还有app.wxss和app.js文件,分别用于全局样式和全局逻辑。 工具文件夹:存放一些工具函数和库文件,便于在小程序中调用。这些文件通常放在一个名为utils的文件夹中。
构造syscall调用execve的rop
05-28
在构造syscall调用execve的ROP时,我们需要找到一些适合我们需要的gadget,以及一个能够满足我们需求的内存区域来存储我们的ROP链。 以下是一个构造syscall调用execve的ROP的示例: ``` ; pop rax ; ret gadget ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值