【八芒星计划】静态编译劫持fini_array

最新推荐文章于 2022-02-04 20:08:21 发布
最新推荐文章于 2022-02-04 20:08:21 发布
阅读量459 收藏 1
点赞数
分类专栏: CTF PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/108418775
版权
CTF 同时被 2 个专栏收录
27 篇文章 3 订阅
订阅专栏
PWN
24 篇文章 1 订阅
订阅专栏

引用:

https://www.freebuf.com/articles/system/226003.html
https://bbs.pediy.com/thread-259298.htm

文章目录

前言

直接先说使用方法:
fini_array[1]放想要调用的地址addrA,fini_array[0]放__libc_csu_fini的地址,就可以无限调用addrA
也可以用来栈迁移
fini_array[0]放leave,ret,fini_array[1]放ret
 

概括一下,大致的做法就是先将fini_array[0]改为__libc_csu_fini,将fini_array[1]改为main
然后构造rop链在fini_array[2]上(fini_array+0x10)
最后再将fini_array[0]改为leave_ret,fini_array[1]改为ret
 

在这里插入图片描述

//libc_start_main函数原型
__libc_start_main(main,argc,argv&env,init,fini,rtld_fini)

用gdb调试main函数的时候,不难发现main的返回地址是__libc_start_main也就是说main并不是程序真正开始的地方,__libc_start_main是main的爸爸
然鹅,__libc_start_main也有爸爸,他就是_start也就是Entry point程序的进入点啦,可以通过readelf -h

其中,Entry point address: 0x401a60就是_start的地址

rdi <- main
 
rcx <- __libc_csu_init    //在main函数前执行
 
r8 <- __libc_csu_fini    //在main函数后执行

fini:

.text:0000000000402CB0 fini            proc near               ; DATA XREF: start+F↑o
.text:0000000000402CB0 ; __unwind {
.text:0000000000402CB0                 push    rbp
.text:0000000000402CB1                 lea     rax, unk_4B80C0
.text:0000000000402CB8                 lea     rbp, off_4B80B0  ;把fini_array的地址放入rbp
.text:0000000000402CBF                 push    rbx
.text:0000000000402CC0                 sub     rax, rbp        ; rax=0x10
.text:0000000000402CC3                 sub     rsp, 8
.text:0000000000402CC7                 sar     rax, 3          ; rax=2
.text:0000000000402CCB                 jz      short loc_402CE6
.text:0000000000402CCD                 lea     rbx, [rax-1]    ; rbx=1
.text:0000000000402CD1                 nop     dword ptr [rax+00000000h]
.text:0000000000402CD8
.text:0000000000402CD8 loc_402CD8:                             ; CODE XREF: fini+34↓j
.text:0000000000402CD8                 call    qword ptr [rbp+rbx*8+0] ; 先call1,再call0
.text:0000000000402CDC                 sub     rbx, 1          ; rbx=0
.text:0000000000402CE0                 cmp     rbx, 0FFFFFFFFFFFFFFFFh ;-1比较
.text:0000000000402CE4                 jnz     short loc_402CD8 ; 如果不相等
.text:0000000000402CE6
.text:0000000000402CE6 loc_402CE6:                             ; CODE XREF: fini+1B↑j
.text:0000000000402CE6                 add     rsp, 8
.text:0000000000402CEA                 pop     rbx
.text:0000000000402CEB                 pop     rbp
.text:0000000000402CEC                 jmp     sub_4911EC
.text:0000000000402CEC ; } // starts at 402CB0
.text:0000000000402CEC fini            endp

fini_array:

.fini_array:00000000004B80B0 _fini_array     segment para public 'DATA' use64
.fini_array:00000000004B80B0                 assume cs:_fini_array
.fini_array:00000000004B80B0                 ;org 4B80B0h
.fini_array:00000000004B80B0 off_4B80B0      dq offset sub_401BB0    ; DATA XREF: .text:0000000000402C6C↑o
.fini_array:00000000004B80B0                                         ; fini+8↑o
.fini_array:00000000004B80B8                 dq offset sub_401620
.fini_array:00000000004B80B8 _fini_array     ends

这里保存了两个函数指针,分别是fini_array[0]和fini_array[1],参照fini的汇编,是先执行1,再执行0
 
 

看注释应该足够过一遍了,如果还是没懂的话建议配套上面的引用里的文章看

最后提一嘴mov和lea的差别:

mov:

对于变量,加不加[]都表示取值;

对于寄存器而言,无[]表示取值,有[]表示取地址。

lea:

对于变量,其后面的有无[]皆可,都表示取变量地址,相当于指针。

对于寄存器而言,无[]表示取地址,有[]表示取值。

也就是mov加[]是地址,lea加[]是值
 

注意:

1) MOV指令中的源操作数绝对不能是立即数和代码段CS寄存器; 
(2) MOV指令中绝对不允许在两个存储单元之间直接传送数据; 
(3) MOV指令中绝对不允许在两个段寄存器之间直接传送数据; 
(4) MOV指令不会影响标志位

 
来自:

https://blog.csdn.net/fengyuanye/article/details/85715565

一、Memory Monster II

https://blog.csdn.net/carol2358/article/details/106319203

总结

真岛忍
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
__fini_array劫持
qq_36495104的博客
08-30 1086
3×17-x64静态编译程序的fini_array劫持 参考 pwnable.tw新手向write up(二) 3×17-x64静态编译程序的fini_array劫持 pwnable.tw 3x17 1 劫持fini_array,循环写 劫持fini_array[1]为main函数地址,fini_array[0]为__libc_csu_fini,将长度为18的任意地址写升级为长度无限制的任意地址写 2 栈迁移,构造ROP chain 在0x4b40f0+0x10地址处构造ROP chain ROP ch
64位静态编译程序的fini_array劫持及ROP攻击
Vantler的博客
03-02 530
详解64位静态编译程序的fini_array劫持及ROP攻击:https://www.freebuf.com/articles/system/226003.html 如果劫持后可实现可控函数循环执行的目的,那是不是可以用来安装持续监听的后门? ...
(格式化字符串漏洞).fini.array劫持,使程序流程循环进行
半岛铁盒的博客
04-04 851
用gdb调试main函数的时候,不难发现main的返回地址是__libc_start_main也就是说main并不是程序真正开始的地方,__libc_start_main的执行是在main的前面。 可以发现__libc_start_main函数的参数中,有3个是函数指针: 其中__libc_csu_fini是在main执行完毕后执行的 简单地说,在main函数后会调用.init段代码和.init_array段的函数数组中每一个函 数指针。而我们的目标就是修改.fini_array数组的第一个元素为star
格式化字符串+fini_array劫持
qq_51474381的博客
04-27 677
新知识点 fini_array劫持:幽默的大师傅的boke 题目是上的ciscn_2019_sw_1 一次格式化字符串很明显。 利用思路 1.格式化字符串劫持fini_array,实现格式化字符串无限循环。 2.改printf_got为system_got,输入/bin/sh. exp: from pwn import * from LibcSearcher import * context.log_level='debug' context.arch='amd64' #p=proc
通过利用fini_array部署并启动ROP攻击 | TaQini
HiTaQini
05-08 1267
这篇文章源自pwnable.tw上的一道题目3x17,其中用到了fini_array劫持,比较有意思,于是写篇文章分析记录总结一下关于fini_array的利用方式~
init_array教程
03-25
在ELF文件中,`init_array`和`fini_array`(用于存放程序结束时需执行的函数指针)一起位于`.init_array`和`.fini_array`节区。每个节区包含一个函数指针数组,数组中的每个元素都是一个函数地址,按照数组顺序依次...
featool-multiphysics-setup.zip_FEAtool下载_featool_featool 下载_fini
07-14
matlab有限元分析工具箱,包含gui界面
bttv-input.rar_V2
09-23
"fini for Linux v2.13.6"暗示这个驱动是针对Linux内核版本2.13.6优化或适配的。在Linux系统中,驱动程序是连接硬件设备和操作系统之间的桥梁,它们负责处理硬件的低级操作,使得操作系统能够正常识别和使用硬件资源...
nf_nat_helper.rar_nf_nat_helper
09-14
此外,还有`nf_nat_helper_init()`和`nf_nat_helper_fini()`,分别用于初始化和清理NAT助手模块。这些函数使得开发者能够轻松地注册新的NAT助手,并在需要时将其移除。 NAT助手的工作流程通常包括以下几个步骤: 1....
rmw_cyclonedds:Eclipse Cyclone DDS的ROS 2 RMW层
04-02
Eclipse Cyclone DDS的ROS 2 RMW 用于ROS 2的简单,快速,可靠的小型中间件。 :turtle: 像一个 :rocket: 在ROS社区中和贡献者,并且是和 (自动驾驶)的开源项目。 该软件包使使用作为底层DDS实现。...
关于 .init .fini .init_array .fini_array 日志 7.16 pwn
RobinZZX的博客
07-16 3105
查找资料的高效性 retn 返回到栈顶地址 关于 .init .fini .init_array .fini_array 其中存放着的是在main函数执行前执行的代码,由__libc_start_main调用,(__libc_start_main在libc.so上,所以先有start()调用__libc_start_main,再调用init段的代码)在这段代码中就有我们经常使用的libc_csu的...
ciscn_2019_sw_1(fmt改fini_array无限循环)
wuyvle的博客
04-30 1430
很明显的格式化漏洞,但是printf只能用一次 我们可以修改fini_array 简单地说,在main函数前会调用.init段代码和.init_array段的函数数组中每一个函数指针。同样的,main函数结束后也会调用.fini段代码和.fini._arrary段的函数数组中的每一个函数指针。 而我们的目标就是修改.fini_array数组的第一个元素为start或者main函数地址。需要注意的是,这个数组的内容在再次从start开始执行后又会被修改,且程序可读取的字节数有限,因此需要一次性修改两个地址并且
劫持 64 位静态程序 fini_array 进行 ROP 攻击
SkYe's Blog
09-13 711
[scode type=“lblue”]2020年8月6日 标题添加“静态程序”,补充与 64 位动态程序对比和利用方法差异小结[/scode] 程序起点 程序的启动流程如图所示: 可以看到 main 函数不是程序起点,之前写的 格式化字符串盲打 也分析过 text 段起点是 _start 函数 。_start 函数调用__libc_start_main 完成启动和退出工作。具体看看 _start 函数: .text:0000000000401A60 public star
linux 格式化字符串漏洞
sky123博客
02-04 2080
格式化字符串漏洞 格式化字符串介绍 常见格式化字符串函数 函数 基本介绍 printf 输出到stdout fprintf 输出到指定FILE流 vprintf 根据参数列表格式化输出到stdout vfprintf 根据参数列表格式化输出到FILE流 sprintf 输出到字符串 snprintf 输出指定字节数到字符串 vsprintf 根据参数列表格式化输出到字符串 vsnprintf 根据参数列表格式化输出指定字节到字符串 常用格式化字符串形式 %[p
共享库的初始化和~初始化函数分析
jinghuainfo
07-16 250
共享库的初始化和~初始化函数分析 转载时请注明出处:http://blog.csdn.net/absurd/ Win32下可以通过DllMain来初始化和~初始化动态库,而Linux下则没有与之完全对应的函数,但可以通过一些方法模拟它的部分功能。有人会说,很简单,实现_init/_fini两个函数就行了。好,我们来看看事实是不是这样的。 很多资料上都说可以利用_init/_fin...
ARM中几个典型的汇编指令解析
weixin_30832143的博客
01-30 676
  启动嵌入式设备时,遇到了一些汇编,做个笔记,免得以后忘记了。 一句汇编语句如下所指示: __asm ( ".syntax unified\n" ".thumb\n" "movs r0,#0\n" "movs r1,#0\n" "mov r4,r0\n" "mov r5,r1\n" "ldr r0,= __libc_fini_array\n"...
gcc -static / gdb
m0_46409206的博客
03-23 611
gcc -static 表示的是编译的时候禁止调用动态库,此时完全编译出的东西比较大。让gcc进行静态编译,也就是把所有需要的函数库都集成进行编译出来的程序上,这个程序就补依赖外部函数运行 。 xxx.so是动态链接库,xxx.o是静态链接库或者可以说可重定位文件,/bin/bash为可执行文件。 gdb gdb是一个由GNU开源组织发布的、UNIX/LINUX ...
Linux 学习笔记3 编译与调试之动态库静态库与GDB调试
Erik_Ying的博客
03-26 1627
Linux 学习笔记3 动态库静态库与gdb调试 对于.c格式的c文件,可采用gcc编译,而对于.cc或.cpp的文件可采用g++进行编译. 编译常用选项: -c 表示编译源文件 -o 表示输出目标文件 -g 表示在目标文件中产生调试信息,用于 gdb 调试 -D 编译时将宏定义传入进去 -Wall 打开所有类型的警告 gcc -v 查看gcc的版本 -E 表示预处理 -S 表示编译 gcc编...
Linux下动静态编译链接以及gdb调试命令
hei我在这
03-18 1318
windows下编写程序分动态编译静态编译,linux下同样也分。Linux下运行程序的步骤:以上就是在linux下执行程序时所做的,windows下也大同小异。动静态链接:动态链接:依赖于第三方库,在执行程序时,当需要库函数时,会直接进到库里去找,整个程序本身不具有需要的库,所以动态链接的缺点就是不利于移植,因为可能会因为库的原因而出错,但也有有点就是不浪费资源,生成的文件占内存小。静态链接:...
.init_array
最新发布
05-18
`.init_array` 是一个特殊的节(section),用于存储在程序启动时需要执行的全局构造函数(constructor)的地址列表。在程序启动时,操作系统会将该节中列出的所有函数的地址依次调用,以完成全局变量的初始化和其他一些需要在程序启动时完成的操作。这个过程是由 C 运行时库启动代码实现的。 `.init_array` 节通常由编译器自动生成,并在可执行文件的链接阶段被链接器放置在适当的位置。在 Linux 系统中,`.init_array` 节通常位于可执行文件的 `.init` 节之后,`.fini_array` 节之前。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值