一步一步学 ROP 之 linux_x64 篇-level5

最新推荐文章于 2022-03-28 21:09:39 发布
VIP文章 最新推荐文章于 2022-03-28 21:09:39 发布
阅读量1.4k 收藏 3
点赞数 2
分类专栏: 刷题笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43489686/article/details/104140090
版权

这道题是来自蒸米的一步一步学ROP之linux_x64篇中的level5,主要考察的是中级ROP中的__libc_csu_init。

原理

__libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。

.text:00000000004005C0 ; void _libc_csu_init(void)
.text:00000000004005C0                 public __libc_csu_init
.text:00000000004005C0 __libc_csu_init proc near               ; DATA XREF: _start+16↑o
.text:00000000004005C0 ; __unwind {
.text:00000000004005C0                 push    r15
.text:00000000004005C2                 push    r14
.text:00000000004005C4                 mov     r15d, edi
.text:00000000004005C7                 push    r13
.text:00000000004005C9                 push    r12
.text:00000000004005CB                 lea     r12, __frame_dummy_init_array_entry
.text:00000000004005D2                 push    rbp
.text:00000000004005D3                 lea     rbp, __do_global_dtors_aux_fini_array_entry
.text:00000000004005DA                 push    rbx
.text:00000000004005DB ; 6:   v3 = a3;
.text:00000000004005DB                 mov     r14, rsi
.text:00000000004005DE                 mov     r13, rdx
.text:00000000004005E1                 sub     rbp, r12
.text:00000000004005E4                 sub     rsp, 8
.text:00000000004005E8 ; 7:   v4 = &_do_global_dtors_aux_fini_array_entry - _frame_dummy_init_array_entry;
.text:00000000004005
最低0.47元/天 解锁文章
冯小妖
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《一步一步学ROP之Android ARM 32位篇》 源码修改版之增加gadgets
06-08
蒸米的代码基础上,加了sqlite3代码便于方便查找gadgets。。。。。。。。。。。。。。。。。。。。。。。。。。。。
实验吧(逆向):defcamp
s0il的博客
08-24 455
文件类型查看: 由输出作为索引一步步向下找。 定位到这,两个关键地址 0000000000400936 000000000040094C 反汇编一下,关键在于qword_601080 : qword_601080 所代表的是一个链表的使用,具体看注释。 signed __int64 __fastcall main(__int64 a1, char **a...
蒸米ROP_X64学习总结
Gtooler的博客
10-09 1942
X86与X64 x86中参数都是存在栈上,但在x64中的前六个参数依次存在RDI,RSI,RDX,RCX,R8、R9中,如果还有更多的参数的话才会存在栈上 level3(ROP简单绕过NX) 发现有栈溢出 找到system(/bin/sh) 把这个函数写入栈中就ok了 exp如下 #!/usr/bin/env python3 from pwn import * p = process("./level3") payload = b"a" * 136 + p64(0x0000000000400584)
一步一步学ROP——shellcode和ret2libc
weixin_42390670的博客
07-23 1104
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的学好ROP还是得从基础的x86系统开始,但看官请不要着急,在随后的教程中我们还会带来linux_x64以及android (arm)方面的ROP利用方法。 1 C...
c语言常量 反编译,常用算法反编译的代码
weixin_31200621的博客
05-22 1520
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?exchange(a, b)123v3 = *(_DWORD *)(a);*(_DWORD *)(a) = *(_DWORD *)(b);*(_DWORD *)(b) = v3;123*(_DWORD *)(a2 + 32) ^= *(_DWORD *)(a2 + 24);*(_DWORD *)(a2 + 24) ^= ...
[XCTF-Reverse] 83 2019_UNCTF_easyvm
weixin_52640415的博客
03-28 438
到了后边就都不会了,只有这个VM还可以磨磨 主程序非常短,输入32个字节然后就去比较了 signed __int64 __fastcall main(__int64 a1, char **a2, char **a3) { unsigned int (__fastcall ***v3)(_QWORD, void *, void *, char *); // rbx char s; // [rsp+10h] [rbp-80h] int v6; // [rsp+70h] [rbp-20h]
pwnable.kr echo1
you_need_me的博客
06-10 403
int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int *v3; // rsi _QWORD *v4; // rax unsigned int v6; // [rsp+Ch] [rbp-24h] __int64 v7; // [rsp+10h] [rbp-20h] __int...
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
基于ROP的SAMPLE开发代码,属于通信框架的一部分。ROP是淘宝提供的一种开发协议框架,底层基于NETTY。
swift-iOS冰与火之歌系列一步一步学ROP系列安卓动态调试七种武器系列等
08-15
蒸米的部分文章(iOS冰与火之歌系列,一步一步学ROP系列,安卓动态调试七种武器系列等)
arm64_rop_exploit:Arm64返回定向编程(ROP)漏洞
03-02
arm64_rop_exploit arm64 rop小工具二进制文件,用于将arm64反向外壳程序代码映射到内存中并执行代码这仅适用于目标arm64设备。 用于将rop小工具映射到内存中并从libc库执行shell代码的源代码。 在运行Ubuntu 18.04....
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat
最新发布
04-17
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat,文章pwn - 零基础ROP之Android ARM 32位篇(新修订)https://blog.csdn.net/tabactivity/article/details/137780714 全部资料文件。 0基础pwn
3.2 Linux C程序解析
pwl999的博客
10-12 1389
相信大家在最早学习c语言程序的时候都写过“helloworld”程序,下面就是一个linux c语言的“helloworld”程序: 简单的main函数,简单调用printf打印一句话,简单的gcc编译 “gcc hello.c –o hello”以后,执行 “./hello”就可以看到打印结果。 做完这些以后,也许你会来上一句“so easy!”。但是,你真的了解了这个简单main函数的执行过程
【逆向学习记录】学习《一步一步学ROP_x64》
卦星的专栏
01-12 1046
1.概述 通过前面几篇文章,基本上搞定了x86的漏洞原理,针对x64的还需要进一步学习,依然利用最经典的当属蒸米大神的一步一步教学系列 一步一步学ROPlinux_x64篇 – 蒸米 环境:ubuntu 16.04 2.linux x86与x64的区别 这里引用一下上面文章中的语言: linux_64与linux_86的区别主要有两点: 1.首先是内存地址的范围由32位变成了64位。但是可以使用...
【八芒星计划】 ret2__libc_csu_init
carol2358的博客
09-02 1019
文章目录前言一、wdb2018_impossible总结 前言 __libc_csu_init是64位程序中通用的一个函数,这个函数是用来对 libc 进行初始化操作的,而一般的程序都会调用 libc 函数,所以这个函数一定会存在,我们要利用其中的gadget 如何寻找init: 或者在start的rcx里 rdi <- main rcx <- __libc_csu_init //在main函数前执行 r8 <- __libc_csu_fini//在main函数后执行 我们要使用
__libc_csu_init函数的通用gadget
weixin_30265103的博客
05-12 149
1 .text:0000000000400840 ; =============== S U B R O U T I N E ======================================= 2 .text:0000000000400840 3 .text:0000000000400840 4 .text:0000000000400840 ...
泄露libc库、shellcode、__libc_csu_init
RKAnjia的博客
12-21 708
level4、第四届蓝帽杯pwn-slient泄露libcwrite函数输出地址puts函数输出地址puts函数输出完地址后没有其他输出puts函数输出完地址后还有其他输出注意shellcode如何写入shellcode?如何使得shellcode执行?_libc_csu_init 泄露libc (有很多是摘自link) write函数输出地址 当题目程序中的输出函数是write函数时,我们就可以利用write函数把write函数的真实地址输出出来。 下面给出write函数的DynELF写法模板(64位):
通用gadget_libc_csu_init的使用
zszcr的博客
03-30 3399
蒸米 栈溢出的x64位 level5 wp=================_libc_csu_init函数是程序调用libc库用来对程序进行初始化的函数,一般先于main函数执行而我们则是要利用_libc_csu_init其中两端特殊的gadgetgadget 位于 0x400600 和 0x40061a地址先借用0x40061a 处的gadget 将想要压入寄存器的参数压入顺序依次 rbx r...
栈溢出----中级ROP
qq_42192672的博客
10-21 551
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/medium_rop/ 1.ret2__libc_csu_init 这个主要是争对64位的程序的,和32位的栈传参不同的是,在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,最完美的情况,肯定是需要的寄存器可以通过ROPgadgets找到合适的,但是总有找...
【安全漏洞】利用__libc_csu_init控制64位寄存器
HBohan的博客
10-08 393
利用ROPgadget寻找ROP usage: ROPgadget.py [-h] [-v] [-c] [--binary <binary>] [--opcode <opcodes>] [--string <string>] [--memstr <string>] [--depth <nbyte>] [--only <key>] [--filter <
arm64 的 rop示例
03-31
在ARM64架构下,ROP攻击同样适用。 以下是一个ARM64的ROP示例,假设要利用一个漏洞,攻击一个运行在ARM64架构的程序: ```assembly .text main: // 在此处发现了漏洞,可以通过覆盖函数返回地址实现ROP攻击 // ....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值