通用gadget_libc_csu_init的使用

最新推荐文章于 2021-10-08 14:06:33 发布
最新推荐文章于 2021-10-08 14:06:33 发布
阅读量3.4k 收藏 5
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zszcr/article/details/79758677
版权

蒸米 栈溢出的x64位 level5 wp

=================

_libc_csu_init函数是程序调用libc库用来对程序进行初始化的函数,一般先于main函数执行

而我们则是要利用_libc_csu_init其中两端特殊的gadget


gadget 位于 0x400600 和 0x40061a地址

先借用0x40061a 处的gadget 将想要压入寄存器的参数压入

顺序依次 rbx rbp r12 r13 r14 r15          特别的rbx=0 rbp=1 r12=target_function

然后再调用 0x400600处的gadget将 r13 r14 r15 的值和rdx rsi edi交换


但是,这个通用gadget中还隐藏着两个常用的gadget

我们可以通过错位来得到它


通过 0x400621和0x400623获得了pop rsi _r15 和pop_rdi两个gadget 

我们通过这两个gadget就可以很轻松的调用两个参数的函数了


构造payload如下

-------------------------------------------------------------------------------------

最低0.47元/天 解锁文章
zs0zrc
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
栈溢出----中级ROP
qq_42192672的博客
10-21 565
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/medium_rop/ 1.ret2__libc_csu_init 这个主要是争对64位的程序的,和32位的栈传参不同的是,在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,最完美的情况,肯定是需要的寄存器可以通过ROPgadgets找到合适的,但是总有找...
【八芒星计划】 ret2__libc_csu_init
carol2358的博客
09-02 1085
文章目录前言一、wdb2018_impossible总结 前言 __libc_csu_init是64位程序中通用的一个函数,这个函数是用来对 libc 进行初始化操作的,而一般的程序都会调用 libc 函数,所以这个函数一定会存在,我们要利用其中的gadget 如何寻找init: 或者在start的rcx里 rdi <- main rcx <- __libc_csu_init //在main函数前执行 r8 <- __libc_csu_fini//在main函数后执行 我们要使用
3.2 Linux C程序解析
pwl999的博客
10-12 1505
相信大家在最早学习c语言程序的时候都写过“helloworld”程序,下面就是一个linux c语言的“helloworld”程序: 简单的main函数,简单调用printf打印一句话,简单的gcc编译 “gcc hello.c –o hello”以后,执行 “./hello”就可以看到打印结果。 做完这些以后,也许你会来上一句“so easy!”。但是,你真的了解了这个简单main函数的执行过程
__libc_csu_init函数的通用gadget
weixin_30265103的博客
05-12 153
1 .text:0000000000400840 ; =============== S U B R O U T I N E ======================================= 2 .text:0000000000400840 3 .text:0000000000400840 4 .text:0000000000400840 ...
泄露libc库、shellcode、__libc_csu_init
RKAnjia的博客
12-21 732
level4、第四届蓝帽杯pwn-slient泄露libcwrite函数输出地址puts函数输出地址puts函数输出完地址后没有其他输出puts函数输出完地址后还有其他输出注意shellcode如何写入shellcode?如何使得shellcode执行?_libc_csu_init 泄露libc (有很多是摘自link) write函数输出地址 当题目程序中的输出函数是write函数时,我们就可以利用write函数把write函数的真实地址输出出来。 下面给出write函数的DynELF写法模板(64位):
【安全漏洞】利用__libc_csu_init控制64位寄存器
HBohan的博客
10-08 414
利用ROPgadget寻找ROP usage: ROPgadget.py [-h] [-v] [-c] [--binary <binary>] [--opcode <opcodes>] [--string <string>] [--memstr <string>] [--depth <nbyte>] [--only <key>] [--filter <
Android_Gadget_CDC_driver
02-20
- "Android_Gadget_CDC_driver.inf" 文件是Windows下的驱动安装配置文件,它包含了驱动程序的安装指南和设备信息,用于指导系统正确安装驱动。 - "readme.txt" 文件通常包含有关驱动程序的详细说明、安装步骤以及...
uvc.rar_usb gadget_uvc_uvc gadget_uvc.h
09-24
USB Video Class (UVC) Gadget驱动是针对USB设备端点设计的一种软件组件,它使得嵌入式系统或计算机能够模拟一个USB视频设备,从而在主机系统上作为摄像头或者其他视频输入设备来使用。这个"uvc.rar"压缩包包含的...
Cpu.Ram.gadget_gadget_
09-29
标题中的"Cpu.Ram.gadget_gadget_"似乎指的是一个与CPU和RAM相关的桌面小工具,而"描述"进一步确认了这一点,它提到是为桌面设计的"cpu and ram gadget"。"标签"直接标注为"gadget",进一步强调这是一个小工具应用。...
chc.rar_The Gadget
09-24
源代码通常会包含对内核USB gadget API的调用,例如`usb_gadget_register_driver()`和`usb_gadget_set_config()`等函数。 `chdlc.h`头文件则可能包含了与通信协议相关的定义和函数声明。CHDLc(Controller-to-Host ...
cpu-features.rar_gadget hid_hid gadget
09-20
另一方面,`gadget_hid.txt` 文件可能是关于该驱动程序的技术文档或者说明,它可能详述了如何配置和使用这个HID gadget,包括如何编译源代码、如何设置设备描述符、报告描述符以及其他必要的配置信息。这些描述符是...
一步一步学 ROP 之 linux_x64 篇-level5
weixin_43489686的博客
02-02 1517
这道题是来自蒸米的一步一步学ROP之linux_x64篇中的level5,主要考察的是中级ROP中的__libc_csu_init。 原理 __libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000...
什么是gadget,以及64位libc如何泄露的问题
qq_43557177的博客
04-06 2989
最近开始学PWN,本以为栈溢出也就那些东西,看来是我少虑了… 在这里对这几天所学习的64位栈溢出泄露Libc的相关知识做一个小总结,当然,如果可以帮助到在读文章的你就更好啦。如果文中有错误,也希望各位大佬予以斧正。 什么是LIbc? 这个就是libc 这是一个动态链接文件 那么什么是动态链接和静态链接? 可以理解为: 静态链接:在程序编译的过程中,就预先把代码加载进程序中 //比如大家都经常写的...
python栈溢出_栈基础 & 栈溢出 & 栈溢出进阶
weixin_39584549的博客
12-08 847
author : shavchentitle : stack-ooverflow exploit栈基础内存四区代码区(.text):这个区域存储着被装入执行的二进制机器代码,处理器会到这个区域取指令执行。数据区(.data):用于存储全局变量和静态变量等。堆区:动态地分配和回收内存,进程可以在堆区动态地请求一定大小的内存,并在用完后归还给堆区。地址由高到低生长栈区:用于动态地存储函数之间的调用关系...
一些汇编的知识顺便填上 通用gadget_libc_csu_init的坑
zszcr的博客
04-06 1310
我写这篇博客主要是因为某人对我发起的灵魂拷问为什么level5利用_libc_csu_init 的gadget构造的payload要在末尾加上0x38个填充字符我听到这个问题是很蒙蔽的,我当时想当然的讲是用来维持栈平衡的,然rsp的值变成初始状态,可是经过一番深刻的讨论发现,不是这样子的,然后那个diaomao 就出去浪了,留我一个人思考这个问题首先这个问题需要有一定的汇编基础:(因为这道题是64...
中级ROP-ret2__libc_csu_init
aptx4869_li的博客
08-01 2057
中级ROP-ret2__libc_csu_init 这个题是“百度杯”CTF比赛 十二月场上的一个题“easypwn” 题目文件:easypwn 链接:https://pan.baidu.com/s/1aPTSUMHT-1JR2yWJgo2B-g 密码:id3x 刚开始没多久,所以这个可能记录的比较详细一点,特别适合新手   静态分析找溢出点: 丢到IDA里面就一个主函数,也没有求其...
LInux下编译发生的libc相关错误
weixin_30737363的博客
07-06 1050
在某主机上编译程序,发生有找不到libc的问题,自己写了个简单的hello world程序,编译也失败,报错如下: #gcc -o 1 1.c /usr/bin/ld: skipping incompatible /usr/lib/gcc/x86_64-redhat-linux/4.4.7/../../../libc.so when searching for -lc /usr/bin/l...
pwn 学习笔记 暑假第九天 __libc_scu_init
SsMing的博客
07-21 664
__libc_scu_init 这个函数是用来对libc进行初始化操作的 在64位的程序中,前六个参数是通过寄存器传递的,之后再多的才是分布在栈上 如果程序比较小,很难找到需要的可用的gadget 但是如果利用这个函数,可以利用栈溢出构造栈上数据控制rbx,rbp,r12,r13,r14,r15寄存器的值 前六个参数依次保存在 RDI    (可控的其实只是RDI的第32位,就是EDI)...
usb_gadget_probe_driver+0x12c/0x154
最新发布
05-23
`usb_gadget_probe_driver+0x12c/0x154` 是一个函数的地址,它在 Linux 的 USB 子系统中被调用。具体来说,它是用于注册 USB gadget 驱动程序的函数之一。在 Linux 中,USB gadget 驱动程序可以使支持 USB 主机的设备成为 USB 设备,以便与其他 USB 主机设备通信。当 USB gadget 驱动程序被加载时,`usb_gadget_probe_driver()` 函数将被调用来初始化并注册该驱动程序。该函数的地址 `usb_gadget_probe_driver+0x12c/0x154` 可以用于跟踪该函数在内核中的位置和调用链。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值