首页 > 其他分享 >栈溢出漏洞利用二,ret2syscall,构造rop链条实现攻击(pwn入门)

栈溢出漏洞利用二,ret2syscall,构造rop链条实现攻击(pwn入门)

时间:2024-06-12 19:31:22浏览次数:23  
标签:调用 esp 系统 pop rop 地址 指令 pwn ret2syscall

原理

原理就直接参考别的大佬写的文章讲下了

 参考文章:

https://blog.csdn.net/qq_33948522/article/details/93880812

ret2syscall,即控制程序执行系统调用,获取 shell

ret2syscall通常采用execve(重点函数,32位调用号为0x0b,64位调用号为0x3b)

ROP

Return Oriented Programming,其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。

一般的栈结构:
      高地址                          +-----------------+
                                           |     retaddr     |
                                           +-----------------+
                                           |    saved ebp |
                               ebp--->+-----------------+
                                           |                     |
                                           |                     |
                                           |                     |
                                           |                     |
                                           |                     |
                                           |                     |
      低地址               esp-->+-----------------+

Gadgets
以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。

ROP 攻击一般得满足如下条件

程序存在溢出,并且可以控制返回地址。
可以找到满足条件的 gadgets 以及相应 gadgets 的地址。

如果 gadgets 每次的地址是不固定的,那我们就需要想办法动态获取对应的地址了。

每一个gadgets都含有ret是为了能够使得程序自动持续的选择堆栈中的指令依次执行

ret指令可以理解成取栈顶的数据作为下次跳转的位置。即,

eip = [esp];

esp = esp+4;

ret 修改eip 和 esp的值

或者简单理解成: pop eip; (pop指令会附加esp的移动,意思是取栈顶的数据作为下次跳转的位置)然后执行 jump

相比之下,call指令即 :push eip;(此时eip为call指令的下一条指令的地址,意思是将call指令的下一条指令地址压入栈) 然后 jump

函数返回时通常会执行下列指令

mov esp ,ebp
pop ebp  上述两条指令使ebp , esp指向原来的栈,此时esp指向返回地址
ret      使eip变为返回地址,然后jmp
Linux系统调用的实现
Linux 的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。操作系统实现系统调用的基本过程是:

应用程序调用库函数(API);
API 将系统调用号存入 EAX,然后通过中断调用使系统进入内核态;
内核中的中断处理函数根据系统调用号,调用对应的内核函数(系统调用);
系统调用完成相应功能,将返回值存入 EAX,返回到中断处理函数;
中断处理函数返回到 API 中;
API 将 EAX 返回给应用程序。
应用程序调用系统调用的过程是:

把系统调用的编号存入 EAX;
把函数参数存入其它通用寄存器;
触发 0x80 号中断(int 0x80)。
Syscall的函数调用规范为:execve(“/bin/sh”, 0,0);

所以,eax = 0xb | ebx = address 0f ‘/bin/sh’ | ecx = 0 | edx = 0

它对应的汇编代码为:

pop eax# 系统调用号载入, execve为0xb,在linux系统中,函数的调用是有一个系统调用号的。我们实验要调用的execve("/bin/sh",null,null)函数其系统调用号是11,即十六进制0xb。
pop ebx# 第一个参数, /bin/sh的string
pop ecx# 第二个参数,0
pop edx# 第三个参数,0
int 0x80

 可以理解为拼接成一个系统调用的栈。

eaxebxecxedx中带入指定的参数拼接成关键的系统函数,最后在寻找int 0x80的地址,从而执行这些函数.

顺序

32位

eax->edx->ecx->ebx

64位

rdi->rsi->rdx->rcx->r8->r9

实战

以32位的举例子吧

例行检查,开了NX保护,给了一次输入,静态链接

IDA分析,存在/bin/sh字符串

根据上面的分析,可以确定就是使用ret2syscall的攻击手法了

使用ROPgadget工具抓取需要的值

按照上面原理的分析构造payload

payload = b'a'*padding+p32(pop_eax_ret)+p32(0xb)+ p32(pop_edx_ecx_ebx_ret)+p32(0)+p32(0)+p32(binsh)+p32(int_0x80)

发送这串payload就可以把程序打下来提权了

至于64位的就是传参的顺序变了,其实大体的思路也是一样的。

如果真的理解了上面的原理,是可以自己写出来

写在最后:

有点时候不存在/bin/sh字符串也是可以用这种攻击手法打的,就是使用read函数把/bin/sh写入.bss段,也可以控制程序执行系统调用,获取 shell。

标签:调用,esp,系统,pop,rop,地址,指令,pwn,ret2syscall
From: https://blog.csdn.net/2402_83422357/article/details/139632160

相关文章

  • 用ESP32(ESP32-CAM)(Micropython)、水位传感器、继电器、水泵 做根据水位自动加水的设
    基本流程水位传感器放在水缸内上方位置,水位到达水位传感器所在的位置时,水位传感器触发,并输出信号给到ESP32(ESP32CAM)。然后ESP32(ESP32CAM)控制继电器闭合,水泵启动并工作60S。之后还是根据传感器信号,决定继电器是闭合还是断开,一直循环下去。main.py点击查看main.pyfrom......
  • Python 详述 Python 中的 property 语法
    在大多数语言的程序中,一个类,每有一个属性,就会对应setter和getter,基本都是标配。示例:classMoney(object):def__init__(self):self.__money=0defgetMoney(self):returnself.__moneydefsetMoney(self,value):ifisinsta......
  • Android property属性权限添加
    https://blog.csdn.net/qq_28648425/article/details/86691949Google在AndroidO以后,为了降低vendor和system之间的耦合度,对property的作用区域也做了明确的区分,分为vendor三方的property和system平台端的property.因为参与的项目中需要添加一个systemproperty用作三方应用的......
  • WPF dependency property to customize control in usercontrol
    //usercontrol<UserControlx:Class="WpfApp157.ImageListBox"xmlns="http://schemas.microsoft.com/winfx/2006/xaml/presentation"xmlns:x="http://schemas.microsoft.com/winfx/2006/xaml"xm......
  • 【结构识别】Reconstructing propagation networks with natural diversity and ident
    摘要从数据中重构复杂网络结构和动力学的能力是理解和控制复杂系统集体动力学的基础。尽管最近在这方面取得了进展,但利用随机动态过程的有限时间序列重建网络仍然是一个尚未解决的问题。我们提出了一个基于压缩感知的框架去重构发生随机扩散动力学的复杂网络。我们将该方法应用于......
  • Android14之向build.prop添加属性(二百一十九)
    简介:CSDN博客专家,专注Android/Linux系统,分享多mic语音方案、音视频、编解码等技术,与大家一起成长!优质专栏:Audio工程师进阶系列【原创干货持续更新中……】......
  • Video Cut Crop Join for Mac(mac视频剪辑合并软件 )v3.9版
    VideoCutCropJoinforMac是一款适用于Mac用户的视频编辑软件。这款软件具有强大的功能,可以帮助用户对视频进行精准的剪切、裁剪,并将其压缩为各种小尺寸和格式,非常适合在网站上分享。VideoCutCropJoinforMac(mac视频剪辑合并软件)软件地址VideoCutCropJoinforM......
  • 深入理解交叉熵损失 CrossEntropyLoss - CrossEntropyLoss
    深入理解交叉熵损失CrossEntropyLoss-CrossEntropyLossflyfish本系列的主要内容是在2017年所写,GPT使用了交叉熵损失函数,所以就温故而知新,文中代码又用新版的PyTorch写了一遍,在看交叉熵损失函数遇到问题时,可先看链接提供的基础知识,可以有更深的理解。深入理解交叉熵损......
  • 覆盖路径规划经典算法 The Boustrophedon Cellular Decomposition 详解
    2000年一篇论文CoverageofKnownSpaces:TheBoustrophedonCellularDecomposition横空出世,解决了很多计算机和机器人领域的覆盖路径问题,今天我来详细解读这个算法。TheBoustrophedonCellularDecomposition算法详解这篇论文标题为"CoveragePathPlanning:TheB......
  • Spring AI 第二讲 之 Chat Model API 第八节Anthropic 3 Chat
    AnthropicClaude是一系列基础人工智能模型,可用于各种应用。对于开发人员和企业来说,您可以利用API访问,直接在Anthropic的人工智能基础架构之上进行构建。SpringAI支持用于同步和流式文本生成的Anthropic消息API。Anthropic的Claude模型也可通过AmazonBedrock......