ret2syscall即控制程序执行系统调用,获取shell
查看一下程序保护
开启了栈不可执行保护
程序放进IDA中
发现gets函数明显的栈溢出。但程序中没有system等函数供使用。
则利用系统调用指令 inx80运行execve("/bin/sh",NULL,NULL)获得系统shell
将系统调用号存入eax寄存器,第二个参数,第三个参数,第四个参数分别存进
ebx,ecx,edx寄存器即可执行execve("/bin/sh",NULL,NULL)
在eax寄存器中存放系统调用号0xb
在ebx寄存器中存放"/bin/sh"
在ecx寄存器中应为0
在edx寄存器中应为0
execve()函数作用时执行一个新的程序,程序可以是二进制的可执行程序,也可以是shell,python脚本。
想要在寄存器中存放各种值,当栈顶为10时,调用pop eax出栈指令即可将寄存器eax赋值为10。
那么我们就需要在程序中寻在 pop eax;ret;等指令的地址
通过指令 ROPgadget即可找到相应的地址
找到符合的地址为0x080bb196
找到pop edx ecx ebx的地址 0x0806eb90
/bin/sh的地址为0x080be408
获得int 0x80的地址为0x08049421
脚本:
运行结果:
