ROP之ret2syscall

faqiadegege

ret2syscall概述ret2syscall，即利用溢出漏洞，控制流程，执行系统调用，获取shell系统调用：用户空间中的程序与操作系统内核进行交互的一种方式。当用户空间中的程序需要执行一些内核权限下的操作时（例如访问硬件、创建新进程、分配内存等），它会通过系统调用来请求操作系统内核完成这些操作系统调用是用户空间程序与内核空间进行交互的接口，通过系统调用，用户空间的程序可以请求内核执行一些特权操作系统调用提供了稳定的接口，使得用户空间的程序能够独立于内核的具体实现来编写和运行系统调用机制确保了用户空间的程序不能直接访问内核的数据结构或执行内核代码，从而提高了系统的安全性为了执行系统调用，应用程序必须切换到内核模式。这通常是通过触发一个软件中断来实现的，该中断将控制权传递给内核。在x86架构中，这通常是通过执行int 0x80指令来完成的（但在现代Linux系统上，这已被其他机制所取代，如syscall指令或sysenter/sysexit指令）内核根据系统调用号查找并执行相应的系统调用处理函数。这个处理函数会执行请求的操作，并使用应用程序提供的参数系统调用处理函数完成后，内核会将结果存储在预先约定的位置（如用户空间的某个内存地址），并恢复之前保存的用户上下文。然后，控制权被交还给用户空间的应用程序 样本
ret2syscall.zip (307.59 KB, 下载次数: 4)

2024-5-10 10:19 上传

点击文件名下载附件
下载积分: 吾爱币 -1 CB

静态分析


调试，确认溢出位置








即溢出长度为： 108+4 = 112
调用系统调用获得shell，可使用系统调用execve(“/bin/sh”, NULL, NULL)根据x86的系统调用原理如下eax  -系统调用号（在Linux中，系统调用号用于标识要执行的系统调用）ebx  -参数1ecx  -参数2edx  -参数3esi   -参数4edi   -参数5……触发 int 80 中断 确认文件中的汇编位置分别找到 “/bin/sh”, int 80, eax, ebx, ecx, edx 在文件中的偏移


即：eaxoff -> 0x080bb196


即 ebx_ecx_edx_off -> 0x0806eb90


即 sh_off -> 0x080be408


即 int80_off -> 0x08049421根据pop指令和ret指令原理，结合上面的各个寄存器使用地址使用pwn flat 构造栈结构


对应可以构造exploit为：


启动验证


成功获取shell

HANWANG

感谢分享

starryskyhello

学到了，厉害

zcxwxz

谢谢分享！！

n1kOvO

好熟悉的思路

twx233

感谢大佬分享