Return-to-VDSO

最新推荐文章于 2024-02-19 14:02:04 发布
VIP文章 最新推荐文章于 2024-02-19 14:02:04 发布
阅读量1k 收藏 1
点赞数
分类专栏: PWN 文章标签: VDSO
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luozhaotian/article/details/79609302
版权

1 概述

本文是这篇文章的笔记:

Return to VDSO using ELF Auxiliary Vectors

https://v0ids3curity.blogspot.jp/2014/12/return-to-vdso-using-elf-auxiliary.html

2 代码

section .text



global _start
jmp _start
vuln:
sub rsp, 8
mov rax, 0 ; sys_read
mov rdi, 0
mov rsi, rsp
mov rdx, 1024
syscall
add rsp, 8
ret
  
_start:
call vuln
mov rax, 60 ; sys_exit
xor rdi, rdi

syscall
nasm -f elf64 hello.asm

ld hello.o -o hello

objdump -D hello

3 EXP

3.1Auxv调试

        #include <sys/auxv.h>

       unsigned long getauxval(unsigned long type);

 

[8]

sub rsp 8

addr_of_sys_exit

mov rax, 60 ; sys_exit

xor rdi, rdi

syscall

argc

 

argv[0]

 

argv[1]

 

envp[28]

 

auxv[40]

 

 

millionsky@ubuntu-16:~/tmp/return-to-vdso$ gdb ./a.out

(gdb) b *0x400082

Breakpoint 1 at 0x400082

(gdb) r

(gdb) disass $rip, +0x30

Dump of assembler code from 0x400082 to 0x4000b2:

=> 0x0000000000400082:  sub    $0x8,%rsp

   0x0000000000400086:  mov    $0x0,%eax

   0x000000000040008b:  mov    $0x0,%edi

   0x0000000000400090:  mov    %rsp,%rsi

   0x0000000000400093:  mov    $0x400,%edx

   0x0000000000400098:  syscall

   0x000000000040009a:  add    $0x8,%rsp

   0x000000000040009e:  retq   

   0x000000000040009f:  callq  0x400082

   0x00000000004000a4:  mov    $0x3c,%eax

   0x00000000004000a9:  xor    %rdi,%rdi

   0x00000000004000ac:  syscall

   0x00000000004000ae:  add    %ch,(%rsi)

   0x00000000004000b0:  jae    0x40011a

End of assembler dump.

(gdb) si

0x0000000000400086 in ?? ()

(gdb) b *0x000000000040009e

Breakpoint 2 at 0x40009e

(gdb) c

Continuing.

AAAAAAAAAAAAAAAA

 

Breakpoint 2, 0x000000000040009e in ?? ()

(gdb) info auxv

33   AT_SYSINFO_EHDR      System-supplied DSO's ELF header 0x7ffff7ffd000

16   AT_HWCAP             Machine-dependent CPU capability hints 0xfabfbff

6    AT_PAGESZ            System page size               4096

17   AT_CLKTCK            Frequency of times()           100

3    AT_PHDR              Program headers for program    0x400040

4    AT_PHENT             Size of program header entry   56

5    AT_PHNUM             Number of program headers      1

7    AT_BASE              Base address of interpreter    0x0

8    AT_FLAGS             标记                         0x0

9    AT_ENTRY             Entry point of program         0x40009f

11   AT_UID               真正用户id号              1000

12   AT_EUID              Effective user ID              1000

13   AT_GID               Real group ID                  1000

14   AT_EGID              Effective group ID             1000

23   AT_SECURE            Boolean, was exec setuid-like? 0

25   AT_RANDOM            Address of 16 random bytes     0x7fffffffe699

26   AT_HWCAP2            Extension of AT_HWCAP          0x0

31   AT_EXECFN            File name of executable        0x7fffffffefce "/home/millionsky/tmp/return-to-vdso/a.out"

15   AT_PLATFORM          String identifying platform    0x7fffffffe6a9 "x86_64"

0    AT_NULL              End of vector                  0x0

 

(gdb) x/72gx $rsp

0x7fffffffe458: 0x4141414141414141      0x000000000000000a main参数

0x7fffffffe468: 0x00007fffffffe6b0      0x0000000000000000

0x7fffffffe478: 0x00007fffffffe6da      0x00007fffffffe6ed

0x7fffffffe488: 0x00007fffffffe6fd      0x00007fffffffe708

0x7fffffffe498: 0x00007fffffffe736      0x00007fffffffe757

0x7fffffffe4a8: 0x00007fffffffe76b      0x00007fffffffe77b

0x7fffffffe4b8: 0x00007fffffffe7a5      0x00007fffffffed2d

0x7fffffffe4c8: 0x00007fffffffed39      0x00007fffffffedf3

0x7fffffffe4d8: 0x00007fffffffee0d      0x00007fffffffee1c

0x7fffffffe4e8: 0x00007fffffffee3d      0x00007fffffffee65

0x7fffffffe4f8: 0x00007fffffffee8c    
最低0.47元/天 解锁文章
MillionSky
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux 二进制分析-Linux环境和工具(chapter 1)
犇叔的博客
12-01 827
linux ELF 二进制分析
SaBRe:加载时选择性二进制重写
05-13
saber是模块化的选择性二进制重写器。 它能够重写系统调用,vDSO和命名函数。 当前,我们支持两种体系结构: x86_64和RISC-V 。 我们提供了三个插件: sbr-id :拦截系统调用,但不执行任何处理-主要用于测试 sbr-trace :模拟原始strace输出的快速系统调用跟踪器 sbr-scfuzzer :用于模糊系统调用的参数故障注入器 建筑军刀 快速入门和要求 Saber执行不依赖任何第三方库。 但是,saber需要cmake , make和gcc才能构建。 要快速入门,请运行: git clone https://github.com/srg-imperial/SaBRe cd SaBRe mkdir build cd build cmake .. make 假设您位于刚刚创建的构建目录中, ./sabre执行文件将位于./sabre 。 编译后的插件将位于p
linux程序启动之ELF
faxiang1230的专栏
01-29 1657
翻译自:https://lwn.net/Articles/631631/ 前一篇主要是描述了用户空间程序调用execve()到内核是如何处理的,更加generic一些。上篇中讲到如何每个程序的执行都会通过search_binary_handler()来决定如何处理,不管是script还是misc,最终都会以调用ELF格式程序来结束,这一篇主要集中在ELF主题上。 ELF格式 ELF((Ex...
Linux之vdso 实现详解
最新发布
z20230508的博客
02-19 562
VDSO(Virtual Dynamic Shared Object)是一种特殊的共享库技术,用于在用户空间和内核空间之间提供一种高效的系统调用接口。VDSO 是内核的一部分,它允许用户空间程序直接访问一些内核功能,而无需陷入内核态。VDSO 的主要作用包括:提供高效的系统调用接口:VDSO 包含一些常见系统调用的快速路径,使得用户空间程序可以通过这些路径访问内核功能,而无需进行完整的系统调用过程(如切换到内核态)。
vdso——虚拟 elf 动态共享库
龙瑜的博客
12-20 1359
$ nm /home/longyu/linux-git/arch/x86/entry/vdso/vdso64.so.dbg 0000000000000730 W clock_gettime 00000000000005f0 t do_hres 0000000000000348 d _DYNAMIC 0000000000000820 W getcpu 00000000000007a0 W gettimeofday 00000000000004c8 r __GNU_EH_FRAME_HDR fffffffff
vdso原理学习
choumin的专栏
01-20 3635
首先,借用一张图来说明 vdso 的原理,下面是描述 vdso 在 arm64 上的工作原理: 总的来说,vdso 分为用户态部分和内核态部分。 vdso 用户态部分提供 __vdso_xxx() 接口(或者是 __kernel_xxx() 接口,如上图所示),这些接口由glibc 调用并将结果返回给用户程序,它们的实现也比较简单,就是读取 vdso_data 里面的内容并进行简单处理,然后将结果返回给 glibc。vdso_data 是一个结构体,这个数据结构也...
【CTFHUB-WriteUp】pwn技能树-栈溢出-Ret2VDSO
qq_39933891的博客
03-11 727
ops
auxiliary vector学习
choumin的专栏
12-18 1135
auxiliary vector 是内核ELF二进制加载器提供给用户空间的一些信息的集合,包括可执行的入口地址、线程的gid、线程uid、vdso入口地址等等。不过,普通应用程序通常不需要关心这些信息,目前主要是动态链接器(ld-linux.so)在使用这些信息。通过auxiliary vector,动态链接器可以方便的获取那些它所需要的来自内核的信息。内核为动态链接器提供了一种方便的获取系统信息的途径。可以方便的将一些标准信息提供给动态链接器。虽然有些信息也可以通过系统调用来获得,但通过auxiliary
缓冲区溢出的保护机制
nibiru_holmes的博客
03-10 8706
本文转载自:http://yunnigu.dropsec.xyz/2016/10/08/checksec及其包含的保护机制/ checksec及其包含的保护机制 今天在研究liunx下栈溢出的时候发现自己对各种保护机制并不是特别了解,因此就这方面的知识在网上查找了一些资料并总结了一些心得和大家分享。 操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安
虚拟动态共享库VDSO的实现机制
yeholmes的专栏
04-05 1644
失落的strace 在《BPF Performance Tools》一书中,作者评批strace用于监测系统应用的创建execve时写道: The current implementation of strace(1) uses breakpoints that can greatly slow the target (over 100x), making it dangerous for production use. ... Also, this example traces the exec() sy
linux kernel pwn学习之劫持vdso
seaaseesa的博客
03-06 2062
Hijack vdso VDSO就是Virtual Dynamic Shared Object,是内核提供的虚拟的.so,这个.so文件不在磁盘上,而是在内核里头。内核把包含某.so的内存页在程序启动的时候映射入其内存空间,对应的程序就可以当普通的.so来使用里面的函数。Vdso里面封装了这几个函数,其作用主要是加快对于某些对速度要求很高的系统调用,更多详细信息可以查看https://blog....
vdso:用于解决Linux vDSO符号的Rust板条箱
02-16
vdso 该模块提供了从Linux vDSO读取符号的功能。 许可证:Apache-2.0
麒麟960 手机开发板原理图及开发资料
02-24
华为 麒麟960 手机开发板原理图及开发资料,海思 hi3660 全网通4G芯片
fibbery-commons:一些常用的实体类或者操作类
05-09
具体代码如下,建议使用64位linux系统机器,因为有vdso,gettimeofday()在用户态就可以完成操作,减少了进入内核态的损耗。 工作机器id 严格意义上来说这个bit段的使用分为两种,机器级和进程级别。机器级的话你可以...
以8ns的速度获取unix时间(纳秒),比stdlib快10倍-Golang开发
05-26
在极低的延迟中获得Unix时间(纳秒)。 比time.Now()。...尽管time.Now()使用VDSO来获取时间,但它很不稳定,有时会花费1000ns以上。 高精度tsc的精度为纳秒。 可以定期根据挂钟进行校准,不用担心
VDSO与vsyscall
MillionSky的专栏
03-19 7312
1 概述vsyscall和vDSO是用于加速某些系统调用的两种机制。 传统的int 0x80有点慢, Intel和AMD分别实现了sysenter/sysexit和syscall/ sysret, 即所谓的快速系统调用指令, 使用它们更快, 但是也带来了兼容性的问题. 于是Linux实现了vsyscall, 程序统一调用vsyscall, 具体的选择由内核来决定. 而vsyscall的实现就在VD...
SROP基本原理和利用
MillionSky的专栏
03-19 6831
1 概述SROP: Sigreturn Oriented Programming ,系统Signal Dispatch之前会将所有寄存器压入栈,然后调用signal handler,signal handler返回时会将栈的内容还原到寄存器。 如果事先填充栈,然后直接调用signal handler,那在返回的时候就可以控制寄存器的值。2 资源1. Framing Signals—A Return...
Linux系统调用
MillionSky的专栏
03-19 4768
1 概述相比Intel支持的快速系统调用指令sysenter/sysexit,AMD对应的是syscall/sysret,不过现在,Intel也兼容这两条指令。 测试环境:Ubuntu 12.04Ubuntu 16.04 642 传统系统调用int 0x80只用于32位系统,64位系统上不起作用; 系统调用号和返回结果EAX指定要调用的函数(系统调用号)EBX传递函数的第一个参数ECX传递函数的第...
动态链接库劫持--libc
MillionSky的专栏
04-04 3569
动态链接库劫持--libc1 概述动态链接库劫持,本文是做这个题目的笔记:Exploit Exercises - Nebula 15。2 Exploit Exercises - Nebula 152.1 问题描述根据题目的要求,我们需要用strace命令观察flag15的系统调用情况。 最终目标是通过这个程序拿到flag。 整个过程都是在调用一个叫libc.so.6的动态链接库:level15@n...
linux-vdso.so.1
03-16
linux-vdso.so.1是Linux操作系统中的一个虚拟动态共享对象,它是Linux内核提供的一种特殊的动态链接库,用于实现用户空间程序与内核空间的交互。它的全称是Linux Virtual Dynamic Shared Object,是一种特殊的共享库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值