【PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))

原创 已于 2023-06-10 23:28:40 修改 · 6.3k 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ctf #pwn #/bin/sh #system #kali指令

于 2023-05-31 09:57:58 首次发布
本文详细介绍了在pwn题目中通过system调用获取shell的三种常见方式:/bin/sh,sh以及$0。作者列举了不同工具如strings,IDA,pwntools和ROPgadget在寻找这些字符串时的应用,并提供了exploit代码示例,强调了在不同场景下选择合适参数的重要性。此外,还提到了在找不到/bin/sh时,直接输入/bin/sh作为系统调用参数的策略。

pwn题中要通过system/excute等返回shell,进而cat flag。今天遇到一题,参数$(0)也可返回,有必要记录一下。

目录

前言

一、'/bin/sh'

1.strings

2.IDA 

3.pwntools 

4.ROPgadget

5.libc中寻找

二、'sh'

三、$(0) 

exp

IDA查看机器码 

四、输入"/bin/sh"

总结

前言

就system的参数而言,'/bin/sh'、'sh'、$(0),这三者似乎都可以返回shell

一、'/bin/sh'

这个无需多说,然而查找方式可以总结一下

1.strings

linux的指令~

strings filename | grep /bin/sh

2.IDA 

shift+F12即可获取所有的字符串即位置

当然,我这个截图里面没有'/bin/sh'

3.pwntools 

pwntools里面的ELF对象,除了能够查看plt和got表信息(地址)、symbols查看标识位置,还可以通过search来找字符串

from pwn import *
p = process("filename")
bin_sh_addr = next(p.search("/bin/sh"))
#bin_sh_addr = p.search("/bin/sh").next()
#这个next的使用,据我印象,好像是因为python2到python3的缘故
最低0.47元/天 解锁文章
NSSCTF刷题笔记pwn9——[GFCTF 2021]where_is_shell
qq_45692883的博客
02-02 1076
然后首先要注意这是64位的程序,参数会依次存放在rdi,rsi,rdx,rcx,r8,r9这6个寄存器中,多的存放在栈中。$0也是可以被当做shell执行的,因此我们去掉前面一位,取出shell的地址是0x400541。然后我们还需要一个ret的地址,否则本地能打通,远程打不通。存在一个提示函数,代码报红,说明存在问题,看一下机械码。有system函数,但是不存在/bin/sh字符串。可以看到\x24 \x30对应的是$0。main函数,存在很明显的栈溢出。找到地址 0x4005e3。
GFCTF2021-where_is_shell
sagic的博客
07-17 407
总而言之我们现在要构造的payload就是首先需要覆盖返回地址,然后使用ret弹出一个地址,再使用pop rdi ret 把我们的shell的地址存进rdi寄存器里,最后再调用system函数,因为rdi里存着shell函数的地址所以调用了system函数就等于system($0),因为rdi是64位传参中最先传输的。利用system($0)获得shell权限。正好tips函数中有我们需要的机器码。$0在机器码中为 \x24\x30
bugku pwn4 学习
欢迎来到神林的博客
08-27 1403
2019-08-25 bugku pwn4 学习 1.拿到题目先file 一下文件看看文件属性 查看得知是64位动态链接库的文件。2.checksec 查看是否开启什么保护然而并没有什么保护PIE 保护指定是对代码段进行保护3.IDA查看内容 看到了敏感函数system,看着想办法跳转4.查看main函数,有栈溢出的敏感函数 read 想办法利用read 函数5.查看read函数栈中内容 完全能够...
[GFCTF 2021]where_is_shell
沈理大学牲的博客
11-13 646
在ROP攻击中,攻击者利用程序中存在的这种gadget,通过精心构造的数据将程序控制流引导到这个gadget,从而实现对程序行为的控制。通常情况下,攻击者会将需要的参数放置在栈上,然后利用ROP链将控制流引导到 "pop rdi;ret" 这样的gadget,将参数加载到合适的寄存器中,然后再执行调用目标函数的ret指令。在x86_64架构中,这个gadget的作用是从栈中弹出一个数值,并将其赋值给RDI寄存器,然后进行返回。先覆盖到地址,然后执行ret,ret用来返回弹出的地址,然后执行pop_rdi;
PWN学习总结
windy_ll的博客
12-26 2564
一、栈溢出原理     什么是栈溢出?栈溢出就是缓冲区溢出的一种。 由于缓冲区溢出而使得有用的存储单元被改写,往往会引发不可预料的后果。程序在运行过程中,为了临时存取数据的需要,一般都要分配一些内存空间,通常称这些空间为缓冲区。如果向缓冲区中写入超过其本身长度的数据,以致于缓冲区无法容纳,就会造成缓冲区以外的存储单元被改写,这种现象就称为缓冲区溢出。缓冲区长度一般与用户自己定义的缓冲变量的类型有关。(PS:摘自百度百科)     简单来说,就是程序没有检查用户输入的数据长度,导致攻击者覆盖栈上不是程序希望写
pwn学习总结(二) —— 基础知识(持续更新)
lzyddf的博客
11-19 1108
pwn学习总结(四) —— 基础知识(持续更新)PLT表&GOT表 PLT表&GOT表 PLT表:指向GOT表,作用是动态加载函数地址 GOT表:位于数据段,函数被调用时,成员为函数在内存中的实际地址 ...
pwn学习系列--任务4 pwn200
weixin_44113469的博客
02-11 1007
栈溢出之pwn200解题步骤 主要涉及到Ret2libc–修改返回地址,让其指向内存中已有的某个函数,还涉及到简单的rop( Return Oriented Programming )构造 思路分析:有read函数,变量buf大小为0x68,read可写入0x100,可知有栈溢出。题目中只给出system函数,没有给出“/bin/sh”,所以要自己通过read函数写入“/bin/sh”,然后返回调...
ctfshow做题笔记—栈溢出—pwn41~pwn44(创作纪念日更新)
Yilanchia的博客
02-07 1082
在利用buf2的地方根本上就是利用0x804b000 - 0x804c000这个数据段,所以可以使用0x804c000-16作为bin_addr把payload中的buf2_addr换为bin_addr。/bin/sh:是系统中默认 Shell 解释器的绝对路径,通常是一个指向具体 Shell 的符号链接(如 dash、bash 等)。若 PATH 包含 /bin,则 sh 实际会调用 /bin/sh。打开ida查看的确没有/bin/sh,但是一想,可不可以写入一个/bin/sh呢。
rdi中的/bin/sh能被system直接执行吗
最新发布
10-06
首先,用户的问题是:“我想查询rdi寄存器中的/bin/sh是否能被system函数直接执行 请问rdi寄存器中的/bin/sh能否被system函数直接执行” 这是一个关于二进制利用(pwn)的问题,涉及系统调用和寄存器使用。用户想...
pwn学习总结(八)—— 堆(持续更新)
01-07
pwn学习总结(八)—— 堆(持续更新)前言chunk使用中(分配后)空闲中(释放后)堆块大小空间复用binsfastbin利用思路unsorted binsmall bin 前言 学习自《glibc内存管理ptmalloc源代码分析》庄明强 著 部分资料参考自互联网 chunk 描述: 当用户通过malloc等函数申请空间时,实际上是从堆中分配内存 目前 Linux 标准发行版中使用的是 glibc 中的堆分配器:ptmalloc2 ptmalloc根据用户的需要,为用户分配不同类型的chunk 结构体: struct malloc_chunk { INTERNAL_SIZE_T p
在android系统命令行中执行arm linux程序,出现/system/bin/sh: .xxx No such file or directory问题
张大户的专栏
07-06 1万+
android系统的底层就是Linux,理论上arm linux程序在android系统中也能够运行。但是当我写了一个“Hello World”程序并运行时,出现了下面的错误: system/bin/sh:./ a.out No such file or directory。 提示找不到文件,a.out明明就在当前目录下,应该不是路径的问题。 ls / 根目录看了看,android文件系统和
Android system/bin 命令
java开发指南博客 【转载】
07-25 647
You could do something like that: public static boolean runRootCommand(String command) { Process process = null; DataOutputStream os = null; try { process = Runtime.getRuntime().exec("su"); os =...
格式化字符串之在栈上修改got表,执行system(“/bin/sh)
fzucaicai的博客
03-05 1215
举个例子, payload = fmtstr_payload(7 , {printf_got : system_addr}) 其中,7。
使用ADB出现了system/bin/sh: adb: not found&system/bin/sh: pull: not found错误
热门推荐
半不闲居士的博客
04-19 2万+
在使用ADB传送文件的时候出现了system/bin/sh: adb: not found&system/bin/sh: pull: not found错误 解决办法: 可能你在使用adb pull 之前你使用了adb shell,你需要先退出来,退出来的命令是exit,然后再使用adb pull就可以了 ...
pwn栈迁移总结
weixin_66751120的博客
01-28 3221
栈迁移往往在发生栈溢出的函数能够溢出的只有rbp与返回地址时进行,由于不能输入更多数据来构造rop链,一般会把栈迁往两个位置,一是原来的栈,二是bss段。在了解栈迁移之前需要先了解两个汇编指令,这是进行栈迁移的关键,leave,ret,这两个一般在函数的最后都会出现,可以清空栈中内容。leave可以理解为mov rsp,rbp;pop rbp这两个汇编指令的效果综合,但只是效果几乎一样,但并不是真的由它俩组成,第一步就是把rbp的值赋给rsp,也就是在同一位置了;
android中:/system/bin/sh: : No such file or directory错误
weixin_34220179的博客
02-25 1987
将一个raspberry下编译好的可执行文件放在android的system/bin下,修改为777权限,运行,出现下面的错误: /system/bin/sh: XXX: No such file or directory 这一般是系统的动态链接器与XXX这个程序中的动态链接器的名字或路径不对,在raspberry下执行: readelf -l 可执行文件名 输出: Elf file...
解决:/system/bin/sh: ./hello: No such file or directory
JaniceZhou37的博客
12-31 1万+
android中执行C可执行文件时,出现/system/bin/sh: ./hello: No such file or directory 错误。 1. 问题: msm8909w:/data # ./hello /system/bin/sh: ./hello: No such file or directory 2. 解决方法: 使用静态链接库:在最后加上-static arm-linux-gnueabihf-gcc hello.c -o hello -static 3. debug过程: 查看hel
pwn system(“/bin/sh)失败的原因
weixin_42016744的博客
01-11 2620
这里写自定义目录标题现象原因 现象 栈溢出做pwn 题跳转到system("/bin/sh")报错 打开gdb调试发现报错: 得知glibc2.27以后引入xmm寄存器, 记录程序状态, 会执行movaps指令, 要求rsp是按16字节对齐的, 所以如果payload这样写 payload = cyclic(0x20 + 8) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr) 弹出的数据是奇数个, 本地就会报错 但是改成偶数个pop payl
/system/bin/sh: disable-verity: not found 的解决方案
一位热心网友的博客
06-13 3266
虽然报错提示的路径是/system/bin/sh,但实际上这个命令依旧属于adb.exe这个程序,是windows端的adb.exe中没有这个命令可用。 找到问题的原因后,我从其他人电脑上拷贝了一个adb.exe过来就解决了这个报错。 最后将有disable-verity命令和没有disable-verity命令的adb程序一起提供给大家,大家可以自行测试。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值