PWN基础-ROP技术-ret2syscall-64位程序栈溢出利用

于 2025-05-08 22:16:36 发布
阅读量416 收藏 6
点赞数 9
CC 4.0 BY-SA版权
分类专栏: PWN67 文章标签: PWN 安全 栈溢出 c语言 CTF ret2syscall ROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Myon5/article/details/147805730

前置 ret2syscall 的基础我们就不做过多讲解了

利用思路与 32 位类似,只是传参的寄存器是:

rdi -> rsi -> rdx -> rcx -> r8 -> r9

我们这里只用到前三个就可以了,以及 rax

还有一个区别就是:

32 位系统调用最后是执行 int x080

而 64 位系统调用最后是执行 syscall

检查一下,64 位程序,开启 NX 保护:

ida 看一下 main 函数,存在明显的栈溢出

先找 pop rax;ret

ROPgadget --binary ret2sys_64 --only "pop|ret" | grep "rax"

了解本专栏 订阅专栏 解锁全文 超级会员免费看
PWN基础-ROP技术-ret2syscall突破NX保护
Welcome To Myon'Blog !
05-07 399
我们 ret2syscall 实际还是希望调用 execve,和 ret2shellcode 类似,只是多了堆栈不可执行。后面我们会继续发送内容(/bin/sh)给 read 函数,读取到 bss_addr。我们继续调用 execve,其 32 系统调用号是 11,即 0xb。没有找到,因此我们后面需要手动将 /bin/sh 写到 bss 段。我们先系统调用 read,其 32 系统调用号是 3,即 0x3。接下来我们找 /bin/sh 字符串的地址。32 程序,小端序,开启了 NX 保护。
ret2syscall
EternalBurning的博客
11-10 545
ret2syscallchecksec查找溢出点计算偏移量1 手动计算2 脚本systemcall1 自动化脚本2 手动构造 checksec 查找溢出点 计算偏移量 1 手动计算 0x8048e8f和0x8048e93这两行明显是为调用函数准备参数,把参数的地址给压栈。这个地址就是gets函数写入地址的起始地址,也就是eax,此时距基址的距离是EBP-EAX,由于是32,所以返回地址在E...
linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad
m0_67266787的博客
03-15 1317
文章目录 What is ret2syscall pwn题思路 例题 保护机制 写payload 打开flag 读取flag 写到输出中 生成shellcode 开始做题 调用read(0,mem,0x1000)把我们真正的shellcode写道mem 调试是否可以往mem写shellcode 往mem填写读取flag的shellcode 总结 What is ret2syscall ret2syscall栈溢出里常见的一种手法,如果在x86下有int 80或者在x64中看到s
ROP-BUUCTF-inndy_ropret2syscall
Welcome To Myon'Blog !
05-08 431
因为 pop dword ptr [ecx] 一次只能写入 4 个字节,所以我们分两次写入 /bin/sh。静态链接就意味着没法去打 ret2libc 了,因为 ret2libc 需要用到动态链接库里面的系统函数。后面就是常规的 ret2syscall 了,即系统调用 execve。既然有对 [ecx] 操作的,那么我们就继续找弹出 ecx 的指令。注意到左侧函数表有很多的函数,说明这个程序是静态链接的。找一个具有写权限的段,一般都是在 bss 段。找了一下,没有字符串 /bin/sh。
ROP-BUUCTF-cmcc_simpleropret2syscall
最新发布
Welcome To Myon'Blog !
05-08 387
当然这个地址我们也可以通过符号表来找,因为这里的程序是静态链接的 ELF 文件,所有不能通过 plt 或者 got 表,因为压根就不存在。这样后面才能正常的 ret2syscall 传参,从而系统调用 execv。但是这里还有一个问题,程序没有类似于 pop [ecx] 这样的指令。利用思路类似,建议先看完我上面的这篇博客,我这里不再过多叙述。但是 read 函数执行后,它的三个参数还在栈顶上。
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3844
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
PWN入门(5)32程序64程序和构造ROP
Ba1_Ma0的博客
09-12 2154
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用
ret2syscall简单总结
ULGANOY的博客
07-05 1400
主要是自己的简单的学习总结。
pwn基础ctfwiki-栈溢出-基础ROP-ret2syscall
qq_52658640的博客
04-22 1821
文章目录前言原理系统调用ret2system挖掘漏洞2.读入数据总结 前言 二进制小白的学习笔记,如有错误请大佬及时斧正。 原理 ret2syscall,即控制程序执行系统调用,获取 shell。 系统调用 Linux 的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。操作系统实现系统调用的基本过程是: 应用程序调用库函数(API); API 将系统调用号存入 EAX,然后通过中断调用使系统进入内核态; 内核中的中断处理函数根据系统调用号,调用对应的内核函数(系统调用); 系统调用完成相应
ret2syscall前置知识
Rt1Text的博客
02-10 2865
1.目的 是拿到shell 2.具体操作 控制程序执行系统调用(字面理解就可) 3.系统调用是什么? 系统调用:system call 按照搜索的定义可理解为一种服务:程序运行在用户空间向操作系统内核(内核空间)请求更高权限运行 用户空间和内核空间可参考以下百度 用户空间_百度百科 (baidu.com) 系统调用提供用户程序与操作系统间的接口(大多数系统交互式操作系统需要在内核态执行) 系统调用就运行在内核空间 4.具体怎么做 linux在x86系统 触发int 0x80 ,借助
字符串溢出(pwn溢出)--ret2syscall
莫慌的博客
09-29 942
pwn入门
栈溢出漏洞利用二,ret2syscall,构造rop链条实现攻击(pwn入门)
2402_83422357的博客
06-12 1206
有点时候不存在/bin/sh字符串也是可以用这种攻击手法打的,就是使用read函数把/bin/sh写入.bss段,也可以控制程序执行系统调用,获取 shell。
ret2syscall知识点及例题
weixin_44864859的博客
05-19 836
rop 检查程序防护和基本信息 注意到此时开启了NX防护,所以无法使IP寄存器指向堆,栈。另外,注意这是statically linked(静态链接) 调试分析后,知道与之前一样同样在112个字节后同样可以控制返回地址,那怎么获得shell呢? 我们要思考,让程序跳转到什么地方呢? 由于我们不能直接利用程序中的某一段代码或者自己填写代码来获得 shell,所以我们利用程序中的 gadgets 来获得 shell,而对应的 shell 获取则是利用系统调用。 简单地说,只要我们把对应获取 shell 的系
RET2syscall
T_Fire_of_Square的博客
12-18 323
基本rop之一,意为call system,控制程序执行系统调用,获取shell。
64ret2text
03-21
### 64系统中的 `ret2text` 攻击原理 在64系统中,`ret2text` 是一种基于返回导向编程 (ROP) 技术的攻击形式。其核心思想是通过覆盖栈上的返回地址,使程序跳转到 `.text` 段中存在的可利用代码片段上执行特定操作[^3]。 #### 原理分析 `.text` 段通常包含了二进制文件的主要逻辑代码。如果目标 ELF 文件中存在某些可以直接被调用的功能性代码(例如 `system("/bin/sh")` 或其他敏感函数),那么攻击者可以通过精心构造输入数据来重定向程序流至这些代码置。 对于 64 系统而言,由于不再使用中断指令 (`int 0x80`) 调用系统服务,而是采用更高效的 `syscall` 指令完成系统调用请求,因此需要特别注意如何适配这种变化[^2]。 --- ### 实现方法 以下是实现 `ret2text` 攻击的具体过程: 1. **寻找可用 gadget** 使用工具如 `ropper` 或手动分析反汇编后的代码,定 `.text` 段内的有用 gadgets 和功能代码块。例如查找是否存在类似于 `execve("/bin/sh", NULL, NULL)` 的实现路径或者能够间接帮助构建 shell 的序列[^4]。 2. **准备 payload 数据结构** 构造堆叠缓冲区溢出所需的恶意负载(payload),其中包含一系列指向所需 gadgets 地址的数据项以及最终要转向的目标代码入口点地址。考虑到现代保护机制的存在(比如 ASLR Address Space Layout Randomization),可能还需要额外的信息泄露手段辅助确定基址偏移量。 3. **绕过 NX bit 防护措施** 因为大部分操作系统默认启用了非执行内存页策略(NX Bit),所以单纯注入自定义 ShellCode 已经变得非常困难。而借助于现有的合法机器码(.text section),则完全规避了这个问题——因为这部分区域天然允许被执行。 4. **触发漏洞并控制 EIP/RIP 寄存器** 当成功诱导受害进程加载含有上述 Payload 的变量之后,一旦发生越界写入事件就会篡改当前帧指针(%rbp/%ebp)及其关联的下一条指令指针(%rip/%eip),从而达成预期效果:即让 CPU 开始按照预设顺序依次访问指定的置直至获得交互式的命令行界面为止[^1]。 下面是一个简单的 Python 脚本用于生成针对某假想脆弱应用程序基础测试向量: ```python from pwn import * context.arch = 'amd64' elf = ELF('./vulnerable_binary') # Assume we know the offset to overwrite RIP and addresses of useful functions/gadgets. offset_to_rip = 40 target_function_addr = elf.symbols['useful_function'] # Example address from .text segment. payload = b'A' * offset_to_rip # Padding up to control RIP. payload += p64(target_function_addr) # Overwrite RIP with target function addr. print(payload) ``` 此脚本假设你知道确切的偏移量和目标函数的实际物理存储置;实际场景可能会更加复杂一些,涉及更多细节调整优化等问题。 --- ### 注意事项 尽管本文描述的技术理论上可行,但在真实世界里实施起来往往面临诸多挑战,包括但不限于启用的各种防御特性(ASLR、Canaries Stack Guarding 等)。因此建议仅限学习研究用途,请勿非法滥用!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

My6n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值