DynELF使用
需要使用者进行的工作主要集中在leak函数的具体实现上,上面的代码只是个模板。
其中,address就是leak函数要泄漏信息的起始地址,而payload就是触发目标程序泄漏address处信息的攻击代码。
使用条件
不管有没有libc文件,要想获得目标系统的system函数地址,首先都要求目标二进制程序中存在一个能够泄漏目标系统内存中libc空间内信息的漏洞。同时,由于我们是在对方内存中不断搜索地址信息,故我们需要这样的信息泄露漏洞能够被反复调用。以下是大致归纳的主要使用条件:
1)目标程序存在可以泄露libc空间信息的漏洞,如read@got就指向libc地址空间内;
2)目标程序中存在的信息泄露漏洞能够反复触发,从而可以不断泄露libc地址空间内的信息。
当然,以上仅仅是实现利用的基本条件,不同的目标程序和运行环境都会有一些坑需要绕过。
通用GADGET:
__libc_csu_init函数是程序调用libc库用来对程序进行初始化的函数,一般先于main函数执行
而我们则是要利用__libc_csu_init中两端特殊的gadget(简单点理解,gadget就是一小段程序代码)
传参规则
在32位汇编下
将参数直接压栈
在64位汇编下
当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9
当参数大于等于7个时,前 6 个与前面一样, 但后面的依次从右向左放入栈中,即和32位汇编一样。
对于上面的gadget1,特别的要设置
rbx=0 ,为了配合gadgt2中call指令,使得call指令跳转到r12
rbp=1 ,为了配合gadgt2中call指令之后的add和cmp指令,使得cmp后转向add rsp,8
r12=target_function/call address,要调用的函数地址。注意是got地址而不是plt地址,因为用的是call指令
r13,r14,r15就是我们要调用的函数的参数,为了配合gadget2,r15中布置arg1,其他以此类推。
即
Gadget2
0x400880处的gadget
首先将 r13 r14 r15 的值和rdx rsi edi交换,进行了参数传递。(上面我们提到了64位参数传递规则,所以r15即arg1被保存到edi中,也即rdi中。其他以此类推)
然后call [ r12+rbx*8 ],因为前面我们设置了rbx为0,所以此处就是call [ r12],就是调用我们想要调用的函数。
再然后将rbx自加1即rbx+1(前面设置rbx为0,故此时为1)和rbp进行比较,前面rbp我们设置为1,所以两者相等,cmp后转向add rsp,8继续执行。
因此在ret之前,栈顶指针rsp一共移动了56个字节(一次add,六次pop)。所以我们在栈中布置56个字节就可以了。
即
这两段代码普遍存在于x64二进制程序中,只不过是间接地传递参数。
可能用到的其他的gadget
pop_rdi_ret = l64(0x4008a3)
#0x4008a3:
pop rdi;
ret
pop_rsi_ret = l64(0x4008a1)
#0x4008a1:
pop rsi;
pop r15;
ret
443
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
