CTF|ropemporium ret2csu题型

最新推荐文章于 2023-05-04 22:41:02 发布
最新推荐文章于 2023-05-04 22:41:02 发布
阅读量701 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skyattractive/article/details/106745687
版权
CTF|ropemporium ret2csu题型题目来源:https://ropemporium.com/challenge/ret2csu.html这个题只能下载64位文件IDA查看后发现gets存在栈溢出,题目条件是ret2win的第三个函数必须是“0xdeadcafebabebeef”ret2win函数里面有systemx86 与 x64 的区别:x86 都是保存在栈上面的, 而 x64 中的前六个参数依次保存在 RDI, RSI, RDX, RCX, R8 和 R9 中,如果还
摘要由CSDN通过智能技术生成

CTF|ropemporium ret2csu题型

题目来源:https://ropemporium.com/challenge/ret2csu.html

这个题只能下载64位文件
在这里插入图片描述

IDA查看后发现gets存在栈溢出,题目条件是ret2win的第三个函数必须是“0xdeadcafebabebeef”
ret2win函数里面有system
在这里插入图片描述
在这里插入图片描述

x86 与 x64 的区别:
x86 都是保存在栈上面的, 而 x64 中的前六个参数依次保存在 RDI, RSI, RDX, RCX, R8 和 R9 中,如果还有更多的参数的话才会保存在栈上

所以按照正常思路我们要找类似“pop|edx”“mov|edx”这样的gadget来个edx寄存器赋值
在这里插入图片描述
然后ROPgadget查找后发现没有

对于这种情况 CTFwiki上

题型特点

  1. 当在x64程序中找不到rdx、rsi、edi时,再使用此方法
  2. 确定gadget1、gadget2的地址及顺序

## ret2__libc_csu_init原理

在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的gadgets。 这时候,我们可以利用 x64 下的 __libc_csu_init 中的 gadgets。这个函数是用来对 libc 进行初始化操作的,而一般的程序都会调用 libc 函数,所以这个函数一定会存在。我们先来看一下这个函数(当然,不同版本的这个函数有一定的区别)

我们来看看这个函数
在这里插入图片描述
在这个函数里面有两个和参数有关的gadget
通过r15 r14 r13 这三个寄存器来控制rdx rsi rdi 的值

在这些寄存器中,我们主要关注的是r12,r

最低0.47元/天 解锁文章
一个不融化的雪人
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
高级栈溢出技术—ROP实战(ret2csu
ChuMeng1999的博客
01-09 941
目录预备知识关于ROP本系列rop实战题目的背景ret2csu涉及知识点实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmpori
ret2csu
huzai9527的博客
02-19 312
ret2csu 1. 原理 在64位程序中,函数的前六个参数是通过寄存器传参的,但是大多数时候,我们很难找到每个寄存器对应的gadgets,这个时候我们可以用x64下的__libc_csu_init中的gadgets。这个函数是用来对libc进行初始化操作的 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000004005C0 public __libc_csu_init .text:00000
ROP Emporium ret2csu
u014377094的博客
02-18 430
现在的ROP Emporium一共有8题,后几道题相比过去的题有了一些变化,国内的新wp也是非常难找,本篇基于ROP Emporium - Ret2csu (x64) - blog.r0kithax.comhttps://blog.r0kithax.com/ctf/infosec/2020/10/20/rop-emporium-ret2csu-x64.html 这位大佬的wp进行部分的解释。 打开ida,依旧是惯例的明显栈溢出的pwnme,ret2win中我们可以看到flag是加密后文件,key文件是.
ROP_Emporium_ret2csu
Starr
03-28 352
文章目录1. ret2csu信息收集反汇编关于ret2csu利用Rop chainExp3. 参考文章 1. ret2csu 信息收集 题目只有64位版本,提供了以下文件: encrypted_flag.dat key.dat libret2csu.so ret2csu 作者提示,这个题和callme类似,调用ret2win()并提供指定的参数即可,但缺少明显的可利用的gadget。 $ file ret2csu ret2csu: ELF 64-bit LSB executable, x86-64,
ret2csu ROP Emporium
devil8123665的博客
03-29 606
14 ret2csu 参考网址 [原创]ret2csu学习-Pwn-看雪论坛-安全社区|安全招聘|bbs.pediy.com ROP Emporium - Ret2csu (x64) - blog.r0kithax.com ROP Emporium ret2csu_白兰王的博客-CSDN博客 ROP-Ret2csu详解 | 偏有宸机 中级ROP之ret2csu_西杭的博客-CSDN博客 WP 现在的ROP Emporium一共有8题,后几道题相比过去的题有了一些变化,国内的新wp也是非常
pwn07.ret2syscall例题
11-11
ret2syscall例题
CTF简介,帮助了解CTF题型
09-12
CTF夺旗赛介绍用ppt,CTF简介,各种CTF题型简介,各种题型对应的典型竞赛工具简介,入门可看,希望能帮助到大家
CTF比赛中的常见题型
11-13
CTF比赛中的常见题型目录,给初学者提供学习方向。CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。
CTF比赛中的常见题型-适合初学者
最新发布
08-17
CTF比赛中的常见题型--适合初学者
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
wikiCTF-pwn-ret2csu
Oops-re的博客
10-20 404
在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的 gadgets。这时候,我们可以利用 x64 下的 __libc_csu_init 中的 gadgets。
中级ROP之ret2csu
至臻求学,胸怀云月
02-22 7340
ret2csu 原理 在64位程序中,函数的前6个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的gadgets。这时候,我们可以利用x64下的__libc_csu_init中的gadgets,如例二情况。 这个函数是用来对libc进行初始化操作的,而一般的程序都会调用libc函数,所以这个函数一定会存在。 下面是我在IDA摘出来的__libc_csu_init函数的汇编...
使用ROPgadget快速寻找arm64 pwn的rop链之ret2csu
fjh1997的博客
01-28 1135
ROPgadget --binary ./pwn --only "ldp|ret" 看到最长的那个就是,我们得到rop链的入口0x400ff8接下来使用x30寄存器转的地址就是0x400ff8-0x20也就是0x400fd8这块.rop链第一阶段的目的是将0x400fd8填充到x30寄存器中。 也可以用rop ROPgadget --binary ./chall --only "ldr|mov|add|blr" 找到rop链链接的第二个片段入口 最后我们可以在x3中填充我们想要的地址,比如lib.
buuctf:ciscn_s_3题解
xia0ji233
05-27 684
title: 系统调用的学习 date: 2021-05-25 22:00:00 tags: binary security study report syscall comments: true categories: ctf pwn today新的知识又增长了,发现了getshell的另一种方式:syscall和srop。故事还要源于…(此省略万字输出) (note:本作者这次有点懒,没有写AT&T汇编,而是一律用了intel汇编,请悉知) 可能是之前汇编基础不太好吧,竟没有发现sy.
Ret2csu level5 & ciscn_2019_s_3
红叶的博客
11-06 434
本题难点:对栈的理解需要稍微更深入一点。
BUUCTF Ret2Csu ciscn_s_3
红叶的博客
02-20 400
经过几个月的假期都忘完了,趁着最近有点时间复健一下,顺便弄明白了不少以前还不会的东西。
ret2csu(以ciscn_2019_s_3为例子)
菊花的老窝
05-04 300
栈迁移顾名思义就是将原来的程序栈迁移到另一个地方,使得我们可以将构造的 ROP 链完整的填入。那么想要修改栈的位置,那么就需要修改寄存器 esp 和 ebp 的值。想要修改 esp 和 ebp 的值,我们需要用到leave和ret两个 gadget。
我又pwn了 ——刷题篇 ciscn_s_3
m0_64195960的博客
08-08 461
ret2csu&SROP
CTF入门:常见题型与解题策略揭秘
本文档深入探讨了网络安全领域的一项重要活动——Capture The Flag (CTF) 中的常见题型和解题策略。CTF是一种技术竞赛,参赛者通过寻找并利用网络安全漏洞来获取隐藏的flag,通常以"flag{XXXXXX}"的形式出现。竞赛中...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值