利用ROP-ret2Syscall突破NX保护
大家还记的之前说过的ret2text漏洞吗,那是利用依赖于程序中的存在,执行system(’/bin/sh’)的函数,如果没有这个函数的话,我们怎么办呢?
我们使用ret2shellcode是自定义shellcode代码,但是这中方法的局限性是程序没有开启NX保护,那么如何程序开启了NX保护,这个时候我们就要使用Ret2Syscall大法了!!!!
什么是ROPGadgets?
是在程序中的指令片段,有时我们为了到达我们执行命令的目的,需要多个Gadget来完成我们的功能。Gadget最后一般都有ret,因为要将程序控制权(IP)给下一个Gadret
NX保护开启了
下一步要组合shellcode
系统调用号 eax = 0xb
第一个参数 ebx /bin/sh
第二个参数和第三个参数应该都是 0
ROPgadget --binary ./ret2syscall --only "pop|ret" | grep "eax"
我们选用0x80bb196
这些就是我们要使用的指令片段了
exp如上!
调试!!
![[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)(上)](https://ucc.alicdn.com/pic/developer-ecology/96b3bb9db6d7479785f5d31e9c27a24a.png?x-oss-process=image/resize,h_160,m_lfit)
![[PWN][高级篇]利用ROP-ret2Syscall突破NX保护(下)](https://ucc.alicdn.com/pic/developer-ecology/9489d72194cb43b198c278fbaa770736.png?x-oss-process=image/resize,h_160,m_lfit)
![[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)(下)](https://ucc.alicdn.com/pic/developer-ecology/083ab68ffa4942409f7e9c6399a955b8.png?x-oss-process=image/resize,h_160,m_lfit)
![[PWN][高级篇]ROP-ret2libc基础知识](https://ucc.alicdn.com/pic/developer-ecology/4bbb345c1edd4425a6e7b42eed3f06da.png?x-oss-process=image/resize,h_160,m_lfit)
![[PWN][进阶篇]ROP_Ret2Shellcode-32实例(下)](https://ucc.alicdn.com/pic/developer-ecology/72717981f16f45b2b8bbac48f04b5810.png?x-oss-process=image/resize,h_160,m_lfit)
![[PWN][进阶篇]ROP-Ret2Shellcode-64位实例(上)](https://ucc.alicdn.com/pic/developer-ecology/34cdd970fd234556b672f343db2f62e6.png?x-oss-process=image/resize,h_160,m_lfit)