PWN-ret2csu

最新推荐文章于 2024-01-27 21:36:30 发布
最新推荐文章于 2024-01-27 21:36:30 发布
阅读量507 收藏 2
点赞数
分类专栏: CTF-PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31343581/article/details/121758620
版权

在x64中,如果遇到函数调用需要传入3个参数,分别依赖【rdi,rsi,rdx】三个寄存器,但通过ROPgadget无法找到相关的寄存器利用链,这时,我们就要开始考虑通过调用__libc_csu_init函数来实现传递3个参数的效果,这种实现方式,称为 ret2csu。

原理

为了解决给 64 位程序的函数传递 3 个参数的问题,引入了一种全新的 ROP 方法,利用每个 64 位程序在编译时嵌入的函数__libc_csu_init.使用命令 objdump –d 文件名 可查看

 

注意:每个程序的对应地址可能不同,但偏移相同

我们只关注比较重要的指令

gad1 部分:

400610 pop rbx # 必须为 0
400613 pop rbp # 必须为 1
400616 pop r12 # call(由于下面 call 指令的寻址方式为间接寻址,所以此处应为got表地址)
400619 pop r13 # arg3
40061d pop r14 # arg2
400621 pop r15 # arg1
400624 retn    # to gad2

gad2 部分:

400610 mov rdx, r13 # 传入第三个参数
400613 mov rsi, r14 # 传入第二个参数
400616 mov edi, r15 # 传入第一个参数
400619 call qword ptr [r12+rbx*8] call # 此时 rbx=0 ,r12=func_got,call[r12]=call func
40061d add rbx, 1
400621 cmp rbx, rbp
400624 jnz short loc_400880
400626 add rsp, 8 #padding
40062a pop rbx #padding
40062b pop rbp #padding
40062c pop r12 #padding
40062e pop r13 #padding
400630 pop r14 #padding
400632 pop r15 #padding
400634 retn ——> #构造一些垫板(7*8=56byte)就返回了

所以我们就通过这种方式传递 3 参数,构造的 ROP 链如下

gad1

0 (must)

1 (must)

write_got

0x10(write_arg3_size)

write_got(write_arg2_buf)

1(write_arg1_fd)

gad2

AAAAAAAA (填充 add rsp, 8)

AAAAAAAA (填充 pop rbx)

AAAAAAAA (填充 pop rbp)

AAAAAAAA (填充 pop r12)

AAAAAAAA (填充 pop r13)

AAAAAAAA (填充 pop r14)

AAAAAAAA (填充 pop r15)

0xffffffffffffffff( ret)

recover517
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn07.ret2syscall例题
11-11
ret2syscall例题
从o开始的pwn学习之ret2csu
jzc020121的博客
04-09 2706
ret2csu 前置知识 X64寄存器 我们知道,64位寄存器有RAX,RBX,RCX,RDX,RDI,RSI,RBP,RSP,R8,R9,R10,R11,R12,R13,R14,R15,而rdi,rsi,rdx,rcx,r8,r9便用来传递函数的前六个参数,如多于六个,便在放到栈里。 __libc_csu_init 一般的程序都会调用libc中的函数,而此函数便是来将libc初始化的,故此函数几乎是每一个程序所必备的。 gadget 我们在构造ROP链的时候,往往会用到能够给寄存器赋值的gadget,形如
pwn中级ROP——ret2csu
turtlesd的博客
04-27 758
地址 栈中数据 return前 a * 136 main函数return(rsp) 0x400606(gadget1) rsp + 8 0(填充数据) rsp + 16(rbx) 0 rsp + 24(rbp) 1 rsp + 32(r12) write_got_addr rsp + 40(r13) 1 rsp + 48(r14) write_got_addr rsp + 56(r15) 8 gadget1的return 0x4005F0(gadget2)...
PWNret2csu技巧题目ciscn_s_3
最新发布
m0_74312867的博客
01-27 846
我什么都不会/(ㄒoㄒ)/~~
ret2csu
qq_29317353的博客
09-05 195
ret2csu学习,buu level5
好好说话之ret2csu
hollk’s blog
06-22 5562
一、x64寄存器 在64位程序中,函数的前6各参数是通过寄存器传递的,可以看到rdi作为第一个参数,rsi作为第二个参数,rdx作为第三个参数,rcx作为第四个参数,r8作为第五个参数,r9作为第六个参数。也就是说在函数调用参数的时候会依次在六个寄存器中寻找,如果参数多余6个,那么就需要在栈中寻找。 63 31 ...
入门pwn题目ret2text
03-26
入门pwn题目ret2text
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
中级ROP之ret2csu
至臻求学,胸怀云月
02-22 7025
ret2csu 原理 在64位程序中,函数的前6个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的gadgets。这时候,我们可以利用x64下的__libc_csu_init中的gadgets,如例二情况。 这个函数是用来对libc进行初始化操作的,而一般的程序都会调用libc函数,所以这个函数一定会存在。 下面是我在IDA摘出来的__libc_csu_init函数的汇编...
AS3中的parseInt
mreay
11-15 329
parseInt(s:String,rdix:int=0.0):Number提供兩個參數: s為傳入的字符串, rdix為指定s的類型。比如s是一個8進制的數,則rdix需為8;  
计算机系统基础-学习记录5
qq_41959720的博客
10-20 667
程序的机器级表示:控制(续) 条件分支指令(续) 条件分支表达式的变量不能是一样的,例如val = x >0 ? x*= 7 : x+=3;会先计算两个分支的x值并更新,导致结果不对 条件分支指令的举例:有如下C语言指令: long absdiff(long x, long y) { long result; if (x > y) result = x-y; else result = y-x; return result; }
X64汇编语言指令编码
ComputerInBook的专栏
08-06 4910
X64汇编语言指令编码
wikiCTF-pwn-ret2csu
Oops-re的博客
10-20 366
在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的 gadgets。这时候,我们可以利用 x64 下的 __libc_csu_init 中的 gadgets。
PWN-栈溢出之ret2csu
weixin_53394081的博客
04-23 301
PWN-栈溢出之ret2csu
pwn刷题num48----syscall + ret2csu
tbsqigongzi的博客
05-04 843
BUUCTF-PWN-ciscn_2019_s_3 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 (这里为了省事,自己写了一个小shell脚本) 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下主函数 这里sys_read和sys_write读取的字符串大小都大于buf的大小,存在栈溢出 syscall 系统
攻防世界pwn-forgot
08-10
pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值