ret2csu

最新推荐文章于 2022-04-27 20:59:39 发布
VIP文章 最新推荐文章于 2022-04-27 20:59:39 发布
阅读量296 收藏
点赞数
分类专栏: pwn 文章标签: pwn 堆栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/f_day_/article/details/120846707
版权

ret2csu

我认为这道题本身是没有什么实际意义的,但是它教会了我一种新的利用思路
这道题虽然明确指出利用函数__libc_csu_init来进行
但这个函数本身不是做为攻击者使用而设计的,它是设计出来初始化libc,只是恰好我们能够利用
因此,我认为这道题的主要目的是利用现有的汇编片段来实现攻击(与ret2por比较类似)

__libc_csu_init

在本题里,这个函数的汇编代码如下(可能与你看到的有点不同)

; void _libc_csu_init(void)
public __libc_csu_init
__libc_csu_init proc near

var_30= qword ptr -30h
var_28= qword ptr -28h
var_20= qword ptr -20h
var_18= qword ptr -18h
var_10= qword ptr -10h
var_8= qword ptr -8

; __unwind {
   
	mov     [rsp+var_28], rbp
	mov     [rsp+var_20], r12
	lea     rbp, cs:600E24h
	lea     r12, cs:600E24h
	mov     [rsp+var_18], r13
	mov     [rsp+var_10], r14
	mov     [rsp+var_8], r15
	mov     [rsp+var_30], rbx
	sub     rsp, 38h
	sub     rbp, r12
	mov     r13d, edi
	mov     r14, rsi
	sar     rbp, 3
	mov     r15, rdx
	call    _init_proc
	test    rbp, rbp
	jz      short loc_400606
	xor     ebx, ebx
	nop     dword ptr [rax+00h]
loc_4005F0:
	mov     rdx, r15
	mov     rsi, r14
	mov     edi, r13d
	call    qword ptr [r12+rbx*8]
	add     rbx, 1
	cmp     rbx, rbp
	jnz     short loc_4005F0
loc_400606:
	mov     rbx, [rsp+38h
最低0.47元/天 解锁文章
F_D。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn07.ret2syscall例题
11-11
ret2syscall例题
从o开始的pwn学习之ret2csu
jzc020121的博客
04-09 2719
ret2csu 前置知识 X64寄存器 我们知道,64位寄存器有RAX,RBX,RCX,RDX,RDI,RSI,RBP,RSP,R8,R9,R10,R11,R12,R13,R14,R15,而rdi,rsi,rdx,rcx,r8,r9便用来传递函数的前六个参数,如多于六个,便在放到栈里。 __libc_csu_init 一般的程序都会调用libc中的函数,而此函数便是来将libc初始化的,故此函数几乎是每一个程序所必备的。 gadget 我们在构造ROP链的时候,往往会用到能够给寄存器赋值的gadget,形如
PWN-ret2csu
recover517的博客
12-06 507
在x64中,如果遇到函数调用需要传入3个参数,分别依赖【rdi,rsi,rdx】三个寄存器,但通过ROPgadget无法找到相关的寄存器利用链,这时,我们就要开始考虑通过调用__libc_csu_init函数来实现传递3个参数的效果,这种实现方式,称为 ret2csu
pwn中级ROP——ret2csu
turtlesd的博客
04-27 762
地址 栈中数据 return前 a * 136 main函数return(rsp) 0x400606(gadget1) rsp + 8 0(填充数据) rsp + 16(rbx) 0 rsp + 24(rbp) 1 rsp + 32(r12) write_got_addr rsp + 40(r13) 1 rsp + 48(r14) write_got_addr rsp + 56(r15) 8 gadget1的return 0x4005F0(gadget2)...
好好说话之ret2csu
hollk’s blog
06-22 5577
一、x64寄存器 在64位程序中,函数的前6各参数是通过寄存器传递的,可以看到rdi作为第一个参数,rsi作为第二个参数,rdx作为第三个参数,rcx作为第四个参数,r8作为第五个参数,r9作为第六个参数。也就是说在函数调用参数的时候会依次在六个寄存器中寻找,如果参数多余6个,那么就需要在栈中寻找。 63 31 ...
ret2libc exploit
07-07
exploit hack linux ret2libc
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
C语言头文件 RETCODE
06-13
C语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言...RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RET
ret2libc2pwn 入门题
02-11
pwn 入门题
[XCTF-Reverse] 64 2019_CISCN_初赛_easy_go
weixin_52640415的博客
03-25 286
go写的题,go语言个人认为很讨厌,所以函数全静态编译删除符号。说是为了不同平台版本上兼容,实际上如果有bug的话会很难处理。 起点都不知道在哪。从hex里搜flag啥的 00000000004CEE90: .rodata:00000000004CEE90 (ea at start-of-line=4CEE90) 66 6C 61 67 20 79 6F 75 20 69 6E 70 75 74 20 69 flag you input i 然后找调用它的位置(这不是串的起点,要找到起点)
中级ROP之ret2csu
至臻求学,胸怀云月
02-22 7039
ret2csu 原理 在64位程序中,函数的前6个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的gadgets。这时候,我们可以利用x64下的__libc_csu_init中的gadgets,如例二情况。 这个函数是用来对libc进行初始化操作的,而一般的程序都会调用libc函数,所以这个函数一定会存在。 下面是我在IDA摘出来的__libc_csu_init函数的汇编...
高级栈溢出技术—ROP实战(ret2csu
ChuMeng1999的博客
01-09 908
目录预备知识关于ROP本系列rop实战题目的背景ret2csu涉及知识点实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmpori
PWN学习计划
m0_38029968的博客
01-12 627
PWN学习计划1月份学习计划学习目标学习方法 1月份学习计划 学习目标 1月份整体目标是学完Linux环境下包括但不限于栈溢出、格式化字符串、堆溢出等常见漏洞的成因、挖掘与利用方法: 栈溢出:ROP(ret2text,ret2shellcode,ret2syscall,ret2libc,ret2csu,ret2reg,BROP,ret2_dl_runtime_resolve,SROP,ret2V...
linux中ret2libc入门与实践
counsellor的专栏
08-23 6724
前言 本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
i春秋 一些题目
qq_30435981的博客
08-24 2096
VID 查看网页源代码发现有个文件路径  访问的看到了有三个参数用get方式提交  在url后提三个参数和对应的值就看到了一个1chunqiu.zip  访问就可以下载文件 这里需要进行代码审计  先看log.php界面 if(isset($_POST['username']) && isset($_POST['password']) &am...
pwn ret2libc原理
最新发布
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值