解决64位栈溢出ret2lib时的 do_system movaps xmmword ptr [rsp + 0x40], xmm0 crash的问题

最新推荐文章于 2022-03-15 09:42:53 发布
最新推荐文章于 2022-03-15 09:42:53 发布
阅读量2.8k 收藏 2
点赞数 3
分类专栏: 笔记 安全 CTF 文章标签: pwn ret2lib
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fjh1997/article/details/105755222
版权
安全 同时被 3 个专栏收录
54 篇文章 6 订阅
订阅专栏
笔记
42 篇文章 1 订阅
订阅专栏
CTF
21 篇文章 2 订阅
订阅专栏 

Thread 2.1 "protect" received signal SIGSEGV, Segmentation fault.
0x00007f6f2b2942f6 in do_system (line=0x7f6f2b3f8e9a "/bin/sh") at ../sysdeps/posix/system.c:125
125	in ../sysdeps/posix/system.c
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
─────────────────────────────────[ REGISTERS ]──────────────────────────────────
RAX  0x7f6f2b3f8e97 ◂— sub    eax, 0x622f0063 /* '-c' */
RBX  0x0
RCX  0x7f6f2b3f8e9f ◂— jae    0x7f6f2b3f8f09 /* 'sh' */
RDX  0x0
RDI  0x2
RSI  0x7f6f2b6326a0 (intr) ◂— 0x0
R8   0x7f6f2b632600 (quit) ◂— 0x0
R9   0x0
R10  0x8
R11  0x246
R12  0x7f6f2b3f8e9a ◂— 0x68732f6e69622f /* '/bin/sh' */
R13  0x7ffe595d5ff0 ◂— 0x1
R14  0x0
R15  0x0
RBP  0x7ffe595d5dd8 ◂— 0x0
RSP  0x7ffe595d5d78 ◂— 0x0
RIP  0x7f6f2b2942f6 (do_system+1094) ◂— movaps xmmword ptr [rsp + 0x40], xmm0
───────────────────────────────────[ DISASM ]───────────────────────────────────
► 0x7f6f2b2942f6 <do_system+1094>    movaps xmmword ptr [rsp + 0x40], xmm0
  0x7f6f2b2942fb <do_system+1099>    call   sigaction <0x7f6f2b284110>

  0x7f6f2b294300 <do_system+1104>    lea    rsi, [rip + 0x39e2f9] <0x7f6f2b632600>
  0x7f6f2b294307 <do_system+1111>    xor    edx, edx
  0x7f6f2b294309 <do_system+1113>    mov    edi, 3
  0x7f6f2b29430e <do_system+1118>    call   sigaction <0x7f6f2b284110>

  0x7f6f2b294313 <do_system+1123>    xor    edx, edx
  0x7f6f2b294315 <do_system+1125>    mov    rsi, rbp
  0x7f6f2b294318 <do_system+1128>    mov    edi, 2
  0x7f6f2b29431d <do_system+1133>

主要的原因ex师傅的帖子
里有说,是 movaps xmmword ptr [rsp + 0x40], xmm0这条指令会检查栈是否对齐,我这里的栈指针RSP的值为0x7ffe595d5d78,要对齐的话结尾必须要是0,比如0x7ffe595d5d70这种。
解决的方法很多,但是Qfrost师傅想出了最轻松的方法就是在gadget前面加上一个ret,比如地址0x0400A44是ret指令,那么我们的payload里面就要从单纯的gadget变成p64(0x0400A44)+gadget。

fjh1997
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
system()的实现
07-08 2277
system()的实现 2011-7-8 13:45:54 intsystem (const char *line){  return __libc_system (line);}直接调用的是__libc_systemint__libc_system (const char *l
movaps xmmword指令
qq_41490873的博客
03-22 3154
movups xmm0, xmmword ptr[rax] movaps xmmword ptr[rsp + 50h], xmm0 movups xmm1, xmmword ptr[rax + 10h] movaps xmmword ptr[rsp + 60h], xmm1 movups xmm0, xmmword ptr[rax + 20h] movaps xmmword ptr[rsp + 70h], xmm0 movups xmm1, xmmword ptr[rax + 3.
movaps指令引起的复位
02-13 1606
最近项目升级了gcc编译器,需要增加编译选项-ftree-slp-vectorize,加了后发现程序莫名其妙挂掉,使用gdb挂起也没看到有内存错误,使用disassemble才看到当程序运行到movaps指令挂掉了。上网搜索发现这是SEE指令,movaps要求操作地址是16字节对齐。但是由于项目使用的并不是glibc的malloc,而是自己研发的malloc,这个malloc并不像是glibc一样在64位系统下16字节对齐,而是4字节对齐,所以当申请的地址不能被16整除movaps指令异常,程序挂掉。
关于glibc的system函数调用实现
Blue summer的博客
08-09 1265
system在glibc下的实现
linux下system函数的简单分析
01-10
简单分析了linux下system函数的相关内容,具体内容如下 int __libc_system (const char *line) { if (line == NULL) /* Check that we have a command processor available. It might not be available after a chroot(), for example. */ return do_system (exit 0) == 0; return do_system (line); } weak_alias (__libc_system,
sse 指令xmm寄存器和内存互相复制的问题
justin_bkdrong的专栏
01-09 4719
下面是一段可以执行的x64 的 nasm 汇编代码,类似可执行文件的外壳代码 bits 64 global start extern MessageBoxA section .text start: push rbp push rax push rbx push rcx push rdx push rsi push rdi pu
1+2+3+。。。.rar_1+2+3+_53S_汇编语言
09-20
标题中的“1+2+3+...”是一个数学序列,代表了自然数的连续相加,而“53S”可能是指这个计算过程在汇编语言中执行的间为53秒。汇编语言是一种低级编程语言,它与计算机硬件紧密相关,允许程序员直接控制计算机的...
DAC.zip_DAC_HAL_LIB_STM32L452RET6
09-24
在STM32L452RET6中,它具有2个独立的12位DAC通道,可用于驱动模拟输出,如音频、传感器校准或电源控制。 **STM32L452RET6的DAC特性:** 1. **双通道支持**:MCU包含两个独立的DAC通道,DAC1和DAC2。 2. **触发源**...
I2C.zip_HAL_LIB_i2c_联合开发
09-14
在本文中,我们将深入探讨如何在基于STM32L452RET6微控制器的项目中使用I2C(Inter-Integrated Circuit)通信协议,并结合HAL库进行联合开发。I2C是一种流行的串行通信协议,它允许微控制器与各种外围设备如传感器、...
RAE RET程序.rar_RAE RET程序_RET程序_apartmentbh3_rae ret_电调天线
09-24
RAE RET程序是一款专为通信行业设计的软件工具,它主要服务于电调天线的调试与管理。在当今高速发展的通信技术中,电调天线因其能够动态调整方向和频率特性,广泛应用于移动通信基站、卫星通信等领域。RAE RET程序的...
2018高校网络信息安全管理运维挑战赛官方WP
11-20
2018年网络安全管理运维挑战赛,本文档给出了详细的解题思路和技巧
栈溢出基础知识、栈溢出保护机制、栈溢出利用方法.docx
01-10
栈溢出是计算机安全领域中的一个重要概念,主要发生在程序运行过程中,由于栈空间分配不当,导致数据超出预定的栈帧范围,从而影响到其他栈帧中的数据,甚至可能破坏程序执行流程,造成安全风险。本篇文章将深入探讨...
linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad
m0_67266787的博客
03-15 1157
文章目录 What is ret2syscall pwn题思路 例题 保护机制 写payload 打开flag 读取flag 写到输出中 生成shellcode 开始做题 调用read(0,mem,0x1000)把我们真正的shellcode写道mem 调试是否可以往mem写shellcode 往mem填写读取flag的shellcode 总结 What is ret2syscall ret2syscall是栈溢出里常见的一种手法,如果在x86下有int 80或者在x64中看到s
linux 进程 system,进程管理之system 详解
weixin_39838028的博客
04-28 765
system定义#includeint system(const char *command);首先要知道,system函数是c库中的函数,而不是系统调用。其实system函数使用起来并不复杂,难就难在对其返回值的理解。这个问题,下文会详细分析。参数的话,很简单,就是终端的命令即可。这是因为system函数的实现中调用了shell的缘故。system优缺点优点:可以让c程序猿很方便地调用其他语言编...
ret2syscall
m0_49959202的博客
09-18 272
文章目录ret2syscall1.原理2.构造过程3.exp ret2syscall ret2syscall: 控制程序执行系统调用,获取 shell 1.原理 系统调用参考博客:https://blog.csdn.net/qq_33948522/article/details/93880812 2.构造过程 使用ida分析程序,发现存在gets()函数,可以用来进行栈溢出: 使用shift+F12查看字符串,发现存在"/bin/sh"字符串,位于0x080BE408处: 基于rop链构造思路,需
SSE指令集一
liran2019的博客
06-08 1096
本来想着写一些SSE指令用来优化数学运算,但是又不知道从何入手,本着不造轮子的原则,查看了一下DX的数学库。DX的数学库都是内联函数,可以看到源代码。看了一下点乘法线,自己不写是对的,人家用了这么久的数学库,肯定是最好的。上一段代码。 inline XMVECTOR XM_CALLCONV XMVector3Dot ( FXMVECTOR V1, FXMVECTOR V2 ) { #if defined(_XM_NO_INTRINSICS_) float fValue = V1.
pwn环境搭建_php pwn学习入门一 (基础环境搭建)
weixin_39843151的博客
12-29 479
php pwn学习入门一 (基础环境搭建)本文是学习php二进制漏洞利用的第一篇文章,本文主要简单说一下基础的环境搭建问题以及一个简单的栈溢出的利用过程。php不同的运行模式SAPI(Server Application Programming Interface)是服务器端应用编程端口,它是应用层(比如 Apache,Nginx,CLI等)和 PHP 进行数据交互的入口。利用SAPI,php能够...
[<c01cd854>] (free_block) from [<c01cdac0>] (drain_array_locked+0x6c/0x9c) [<c01cdac0>] (drain_array_locked) from [<c01cf2e8>] (drain_array.constprop.0+0x60/0x78) [<c01cf2e8>] (drain_array.constprop.0) from [<c01cf3f0>] (cache_reap+0x40/0x104) [<c01cf3f0>] (cache_reap) from [<c012ee2c>] (process_one_work+0x12c/0x230) [<c012ee2c>] (process_one_work) from [<c012f158>] (worker_thread+0x1f8/0x2c4) [<c012f158>] (worker_thread) from [<c0133f1c>] (kthread+0x130/0x14c) [<c0133f1c>] (kthread) from [<c0107010>] (ret_from_fork+0x14/0x24) Code: e3170001 12474001 e5947018 e5948014 (e5887004)解释一下
最新发布
06-02
这是一个Linux内核的调用栈跟踪,其中包含多个函数的调用信息。具体来说,这个跟踪显示了在函数`free_block`中的调用,被函数`drain_array_locked`锁定的数组被排空,这个数组被函数`cache_reap`重用,最后在工作线程`worker_thread`中调用`process_one_work`来处理工作。整个过程最终由内核线程`kthread`启动,其返回地址为`ret_from_fork`。而中间的`Code`段则可能是从内核堆栈中提取的指令序列,它们的具体含义需要通过上下文和其他信息来解释。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值