ret2csu

最新推荐文章于 2023-05-04 22:41:02 发布
最新推荐文章于 2023-05-04 22:41:02 发布
阅读量310 收藏
点赞数
分类专栏: pwn 文章标签: pwn 堆栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/F_Day_/article/details/120846707
版权
本文介绍了一种利用ret2csu进行栈溢出攻击的思路,通过分析__libc_csu_init函数的汇编代码,探讨如何在没有传统栈溢出利用片段的情况下,利用现有代码构造rop链,最终成功调用execve函数。文章详细阐述了如何绕过限制,泄露函数地址,并在bss段写入execve地址,以实现攻击。
摘要由CSDN通过智能技术生成

ret2csu

我认为这道题本身是没有什么实际意义的,但是它教会了我一种新的利用思路
这道题虽然明确指出利用函数__libc_csu_init来进行
但这个函数本身不是做为攻击者使用而设计的,它是设计出来初始化libc,只是恰好我们能够利用
因此,我认为这道题的主要目的是利用现有的汇编片段来实现攻击(与ret2por比较类似)

__libc_csu_init

在本题里,这个函数的汇编代码如下(可能与你看到的有点不同)

; void _libc_csu_init(void)
public __libc_csu_init
__libc_csu_init proc near

var_30= qword ptr -30h
var_28= qword ptr -28h
var_20= qword ptr -20h
var_18= qword ptr -18h
var_10= qword ptr -10h
var_8= qword ptr -8

; __unwind {
   
	mov     [rsp+var_28], rbp
	mov     [rsp+var_20], r12
	lea     rbp, cs:600E24h
	lea     r12, cs:600E24h
	mov     [rsp+var_18], r13
	mov     [rsp+var_10], r14
	mov     [rsp+var_8], r15
	mov     [rsp+var_30], rbx
	sub     rsp, 38h
	sub     rbp, r12
	mov     r13d, edi
	mov     r14, rsi
	sar     rbp, 3
	mov     r15, rdx
	call    _init_proc
	test    rbp, rbp
	jz      short loc_400606
	xor     ebx, ebx
	nop     dword ptr [rax+00h]
loc_4005F0:
	mov     rdx, r15
	mov     rsi, r14
	mov     edi, r13d
	call    qword ptr [r12+rbx*8]
	add     rbx, 1
	cmp     rbx, rbp
	jnz     short loc_4005F0
loc_400606:
	mov     rbx, [rsp+38h
最低0.47元/天 解锁文章
F_D。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN-ret2csu
recover517的博客
12-06 532
在x64中,如果遇到函数调用需要传入3个参数,分别依赖【rdi,rsi,rdx】三个寄存器,但通过ROPgadget无法找到相关的寄存器利用链,这时,我们就要开始考虑通过调用__libc_csu_init函数来实现传递3个参数的效果,这种实现方式,称为 ret2csu
pwn07.ret2syscall例题
11-11
ret2syscall例题
ret2libc exploit
07-07
### Return-to-libc (ret2libc) Exploit详解 #### 引言 在深入探讨Return-to-libc(简称ret2libc)技术之前,我们先简要回顾一下这一领域的背景知识。随着网络安全领域的不断发展,攻击者与防御者的对抗也在不断...
Performing a ret2libc Attack-InVoLuNTaRy
04-24
### 执行ret2libc攻击——InVoLuNTaRy #### 一、ret2libc攻击简介 **ret2libc**(返回到libc或返回到C库)是一种攻击技术,它允许攻击者在无需注入shellcode的情况下控制目标系统中的易受攻击进程。这种攻击方式...
C语言头文件 RETCODE
06-13
C语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言...RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RET
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2csu(以ciscn_2019_s_3为例子)
菊花的老窝
05-04 301
栈迁移顾名思义就是将原来的程序栈迁移到另一个地方,使得我们可以将构造的 ROP 链完整的填入。那么想要修改栈的位置,那么就需要修改寄存器 esp 和 ebp 的值。想要修改 esp 和 ebp 的值,我们需要用到leave和ret两个 gadget。
高级栈溢出技术—ROP实战(ret2csu
ChuMeng1999的博客
01-09 943
目录预备知识关于ROP本系列rop实战题目的背景ret2csu涉及知识点实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmpori
中级ROP之ret2csu
至臻求学,胸怀云月
02-22 7355
ret2csu 原理 在64位程序中,函数的前6个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的gadgets。这时候,我们可以利用x64下的__libc_csu_init中的gadgets,如例二情况。 这个函数是用来对libc进行初始化操作的,而一般的程序都会调用libc函数,所以这个函数一定会存在。 下面是我在IDA摘出来的__libc_csu_init函数的汇编...
好好说话之ret2csu
hollk’s blog
06-22 5778
一、x64寄存器 在64位程序中,函数的前6各参数是通过寄存器传递的,可以看到rdi作为第一个参数,rsi作为第二个参数,rdx作为第三个参数,rcx作为第四个参数,r8作为第五个参数,r9作为第六个参数。也就是说在函数调用参数的时候会依次在六个寄存器中寻找,如果参数多余6个,那么就需要在栈中寻找。 63 31 ...
Mac PWN 入门系列(七)Ret2Csu
Sakura给爷pwn全场
04-03 256
Mac PWN 入门系列(七)Ret2Csu: https://www.anquanke.com/post/id/205858
从o开始的pwn学习之ret2csu
jzc020121的博客
04-09 2935
ret2csu 前置知识 X64寄存器 我们知道,64位寄存器有RAX,RBX,RCX,RDX,RDI,RSI,RBP,RSP,R8,R9,R10,R11,R12,R13,R14,R15,而rdi,rsi,rdx,rcx,r8,r9便用来传递函数的前六个参数,如多于六个,便在放到栈里。 __libc_csu_init 一般的程序都会调用libc中的函数,而此函数便是来将libc初始化的,故此函数几乎是每一个程序所必备的。 gadget 我们在构造ROP链的时候,往往会用到能够给寄存器赋值的gadget,形如
中级ROP-ret2__libc_csu_init
aptx4869_li的博客
08-01 2059
中级ROP-ret2__libc_csu_init 这个题是“百度杯”CTF比赛 十二月场上的一个题“easypwn” 题目文件:easypwn 链接:https://pan.baidu.com/s/1aPTSUMHT-1JR2yWJgo2B-g 密码:id3x 刚开始没多久,所以这个可能记录的比较详细一点,特别适合新手   静态分析找溢出点: 丢到IDA里面就一个主函数,也没有求其...
pwn中级ROP——ret2csu
turtlesd的博客
04-27 847
地址 栈中数据 return前 a * 136 main函数return(rsp) 0x400606(gadget1) rsp + 8 0(填充数据) rsp + 16(rbx) 0 rsp + 24(rbp) 1 rsp + 32(r12) write_got_addr rsp + 40(r13) 1 rsp + 48(r14) write_got_addr rsp + 56(r15) 8 gadget1的return 0x4005F0(gadget2)...
[XCTF-Reverse] 64 2019_CISCN_初赛_easy_go
weixin_52640415的博客
03-25 315
go写的题,go语言个人认为很讨厌,所以函数全静态编译删除符号。说是为了不同平台版本上兼容,实际上如果有bug的话会很难处理。 起点都不知道在哪。从hex里搜flag啥的 00000000004CEE90: .rodata:00000000004CEE90 (ea at start-of-line=4CEE90) 66 6C 61 67 20 79 6F 75 20 69 6E 70 75 74 20 69 flag you input i 然后找调用它的位置(这不是串的起点,要找到起点)
pwn ret2libc原理
最新发布
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值