__fini_array劫持

最新推荐文章于 2024-04-11 20:11:47 发布
最新推荐文章于 2024-04-11 20:11:47 发布
阅读量1k 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36495104/article/details/106294832
版权
博客介绍了如何利用x64静态编译程序的fini_array进行漏洞利用。首先劫持fini_array以实现任意地址写升级,接着在特定地址构造ROP链,最后修改fini_array来触发栈迁移,从而达到exploit的目的。
摘要由CSDN通过智能技术生成

3×17

x64静态编译程序的fini_array劫持

1 劫持fini_array,循环写

劫持fini_array[1]为main函数地址,fini_array[0]为__libc_csu_fini,将长度为18的任意地址写升级为长度无限制的任意地址写

2 栈迁移,构造ROP chain

在0x4b40f0+0x10地址处构造ROP chain

ROP chain:

#syscall('/bin/sh\x00',0,0)
pop_rax
0x3b		;syscall入栈
pop rdi
addr of "/bin/sh\x00" ;参数一
pop rsi
0					;参数二
pop rdx
0					;参数三
syscall

在这里插入代码片

3 再次修改fini_array,exploit

构造完ROP chain之后,将fini_array[0]改为’leave;ret’,将fini_array[1]改为’ret’。这样,在执行完main函数(即fini_array[1])之后,程序去执行位于fini_array[0]的’leave;ret’,执行完之后,rip=fini_array[1],rsp=0x4b40f0+0x10。此时,fini_array[1]存放着我们放入的ret,这样,eip的值就被修改为了0x4b40f0+0x10。这也就是上一步我们将ROP链放在这个地址的原因。
leave指令做以下操作

mov rsp,rbp
pop rbp

DASCTF Memory_Monster_II

查看保护

在这里插入图片描述

IDA查看

调试

用gdb将程序运行起来,发现__fini_array地址处可写
在这里插入图片描述
ex

最低0.47元/天 解锁文章
0xCCCC9090
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
init_array教程
03-25
在ELF文件中,`init_array`和`fini_array`(用于存放程序结束时需执行的函数指针)一起位于`.init_array`和`.fini_array`节区。每个节区包含一个函数指针数组,数组中的每个元素都是一个函数地址,按照数组顺序依次...
rmw_cyclonedds:Eclipse Cyclone DDS的ROS 2 RMW层
04-02
Eclipse Cyclone DDS的ROS 2 RMW 用于ROS 2的简单,快速,可靠的小型中间件。 :turtle: 像一个 :rocket: 在ROS社区中和贡献者,并且是和 (自动驾驶)的开源项目。 该软件包使使用作为底层DDS实现。...
【PWN · 格式化字符串|劫持fini_array|劫持got表】[CISCN 2019西南]PWN1
Mr_Fmnwon的博客
01-22 1501
如果存在格式化字符串,保护机制开的不健全,通常可以劫持got表,构造后门函数。然而,如果不存在循环、栈溢出控制rop等方式,如果格式化字符串漏洞点正常来说只能执行一次,getshell是比较困难的。不过,linux下的二进制程序,在最后退出时,总会执行一些清扫函数,其中涉及到了fini_array这个数据结构。一、fini_array通过利用fini_array部署并启动ROP攻击 | TaQini-CSDN博客简单来说,fini_array数组存放了函数指针,在退出时,会进行调用。
格式化字符串+fini_array劫持
qq_51474381的博客
04-27 686
新知识点 fini_array劫持:幽默的大师傅的boke 题目是上的ciscn_2019_sw_1 一次格式化字符串很明显。 利用思路 1.格式化字符串劫持fini_array,实现格式化字符串无限循环。 2.改printf_got为system_got,输入/bin/sh. exp: from pwn import * from LibcSearcher import * context.log_level='debug' context.arch='amd64' #p=proc
(格式化字符串漏洞).fini.array劫持,使程序流程循环进行
半岛铁盒的博客
04-04 860
用gdb调试main函数的时候,不难发现main的返回地址是__libc_start_main也就是说main并不是程序真正开始的地方,__libc_start_main的执行是在main的前面。 可以发现__libc_start_main函数的参数中,有3个是函数指针: 其中__libc_csu_fini是在main执行完毕后执行的 简单地说,在main函数后会调用.init段代码和.init_array段的函数数组中每一个函 数指针。而我们的目标就是修改.fini_array数组的第一个元素为star
【八芒星计划】静态编译劫持fini_array
carol2358的博客
09-05 469
引用: https://www.freebuf.com/articles/system/226003.html https://bbs.pediy.com/thread-259298.htm 文章目录前言一、Memory Monster II总结 前言 直接先说使用方法: fini_array[1]放想要调用的地址addrA,fini_array[0]放__libc_csu_fini的地址,就可以无限调用addrA 也可以用来栈迁移 fini_array[0]放leave,ret,fini_array
64位静态编译程序的fini_array劫持及ROP攻击
Vantler的博客
03-02 536
详解64位静态编译程序的fini_array劫持及ROP攻击:https://www.freebuf.com/articles/system/226003.html 如果劫持后可实现可控函数循环执行的目的,那是不是可以用来安装持续监听的后门? ...
featool-multiphysics-setup.zip_FEAtool下载_featool_featool 下载_fini
07-14
matlab有限元分析工具箱,包含gui界面
bttv-input.rar_V2
09-23
"fini for Linux v2.13.6"暗示这个驱动是针对Linux内核版本2.13.6优化或适配的。在Linux系统中,驱动程序是连接硬件设备和操作系统之间的桥梁,它们负责处理硬件的低级操作,使得操作系统能够正常识别和使用硬件资源...
nf_nat_helper.rar_nf_nat_helper
09-14
此外,还有`nf_nat_helper_init()`和`nf_nat_helper_fini()`,分别用于初始化和清理NAT助手模块。这些函数使得开发者能够轻松地注册新的NAT助手,并在需要时将其移除。 NAT助手的工作流程通常包括以下几个步骤: 1....
CISCN 2019西南 PWN1 之.fini_array利用
最新发布
qq_60209620的博客
04-11 360
数组中存在一些函数指针,程序在退出时,会调用这些指针,所以我们可以修改数组内容,可以达到控制程序的执行流。本题主要是因为我们只能执行一次格式化字符串,,没办法在一次执行中拿到shell,所以可以利用劫持数组,使程序再次执行main函数。用查看。
关于 .init .fini .init_array .fini_array 日志 7.16 pwn
RobinZZX的博客
07-16 3138
查找资料的高效性 retn 返回到栈顶地址 关于 .init .fini .init_array .fini_array 其中存放着的是在main函数执行前执行的代码,由__libc_start_main调用,(__libc_start_main在libc.so上,所以先有start()调用__libc_start_main,再调用init段的代码)在这段代码中就有我们经常使用的libc_csu的...
通过利用fini_array部署并启动ROP攻击 | TaQini
HiTaQini
05-08 1315
这篇文章源自pwnable.tw上的一道题目3x17,其中用到了fini_array劫持,比较有意思,于是写篇文章分析记录总结一下关于fini_array的利用方式~
劫持 64 位静态程序 fini_array 进行 ROP 攻击
SkYe's Blog
09-13 754
[scode type=“lblue”]2020年8月6日 标题添加“静态程序”,补充与 64 位动态程序对比和利用方法差异小结[/scode] 程序起点 程序的启动流程如图所示: 可以看到 main 函数不是程序起点,之前写的 格式化字符串盲打 也分析过 text 段起点是 _start 函数 。_start 函数调用__libc_start_main 完成启动和退出工作。具体看看 _start 函数: .text:0000000000401A60 public star
ciscn_2019_sw_1(fmt改fini_array无限循环)
wuyvle的博客
04-30 1438
很明显的格式化漏洞,但是printf只能用一次 我们可以修改fini_array 简单地说,在main函数前会调用.init段代码和.init_array段的函数数组中每一个函数指针。同样的,main函数结束后也会调用.fini段代码和.fini._arrary段的函数数组中的每一个函数指针。 而我们的目标就是修改.fini_array数组的第一个元素为start或者main函数地址。需要注意的是,这个数组的内容在再次从start开始执行后又会被修改,且程序可读取的字节数有限,因此需要一次性修改两个地址并且
linux 格式化字符串漏洞
sky123博客
02-04 2116
格式化字符串漏洞 格式化字符串介绍 常见格式化字符串函数 函数 基本介绍 printf 输出到stdout fprintf 输出到指定FILE流 vprintf 根据参数列表格式化输出到stdout vfprintf 根据参数列表格式化输出到FILE流 sprintf 输出到字符串 snprintf 输出指定字节数到字符串 vsprintf 根据参数列表格式化输出到字符串 vsnprintf 根据参数列表格式化输出指定字节到字符串 常用格式化字符串形式 %[p
初始化程序运行的环境
龙瑜的博客
09-08 4497
pc 端程序运行的环境的建立过程有很多被隐藏了,而在嵌入式中一般我们都能看到完整的建立过程。这些过程能够让我们更清楚程序执行所依赖的环境,同时也可能会让我们进一步思考这些环境对程序的表达能力的扩展。 以 rv32m1_vega 为例! 关中断——在临界区内初始化程序运行环境 为什么这时候要关中断呢? 你可以想想这时候程序执行的环境还没有建立起来,如果产生了中断,那么系统也无法处理,而且中断的优...
日志 7.15 pwn 堆学习
RobinZZX的博客
07-16 296
调试之后的小心得: 当你申请小chunk的时候,堆管理器分配chunk的大小是按照0x10的单位来配的,当你所申请的大小a超过的能满足a的 (最小容量-0x10) +0x8时,才会分配最小容量,否则是分配最小容量-0x10,因为分配给你的chunk的后一个chunk的prev_size(0x8)可以作为本chunk数据部分使用。 当在题目中发现有打印的机制是跳转在跳转(解引用)时,考虑在第一个跳...
undefined reference to `__libc_csu_fini'
07-28
引用\[1\]中的错误信息"undefined reference to `__libc_csu_fini'"是一个编译错误,它表示在链接过程中找不到对应的函数定义。这个错误通常发生在使用了某个函数,但没有正确链接对应的库文件时。在这种情况下,可以尝试检查编译命令中是否正确包含了所需的库文件。 引用\[2\]是一个示例代码,其中包含了一个函数test()。在这个函数中,使用了malloc()函数动态分配内存,并使用strcpy()函数进行字符串拷贝操作。然后,通过判断指针是否为NULL,再次使用strcpy()函数进行字符串拷贝操作。最后,使用printf()函数打印字符串。 根据提供的信息,无法直接确定与"undefined reference to `__libc_csu_fini'"错误相关的具体问题。如果您能提供更多的上下文信息,例如编译命令或其他相关代码,我将能够更准确地帮助您解决问题。 #### 引用[.reference_title] - *1* *2* [Linux下使用gcc编译时出现In function `_start':(.text+0x**) :分析与解决](https://blog.csdn.net/qq_38473009/article/details/94143126)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值