通用gadget_libc_csu_init的使用

最新推荐文章于 2021-06-22 11:11:48 发布
最新推荐文章于 2021-06-22 11:11:48 发布
阅读量3.4k 收藏 5
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zszcr/article/details/79758677
版权
本文介绍了_x64位栈溢出利用中,如何利用_libc_csu_init函数中的特殊gadget进行初始化,并详细解释了如何构造payload,通过pop rsi _r15 和pop_rdi gadget调用两个参数的函数,以及解题思路,包括泄露libc内存、获取execve地址、写入参数和调用execve。
摘要由CSDN通过智能技术生成

蒸米 栈溢出的x64位 level5 wp

=================

_libc_csu_init函数是程序调用libc库用来对程序进行初始化的函数,一般先于main函数执行

而我们则是要利用_libc_csu_init其中两端特殊的gadget


gadget 位于 0x400600 和 0x40061a地址

先借用0x40061a 处的gadget 将想要压入寄存器的参数压入

顺序依次 rbx rbp r12 r13 r14 r15          特别的rbx=0 rbp=1 r12=target_function

然后再调用 0x400600处的gadget将 r13 r14 r15 的值和rdx rsi edi交换


但是,这个通用gadget中还隐藏着两个常用的gadget

我们可以通过错位来得到它


通过 0x400621和0x400623获得了pop rsi _r15 和pop_rdi两个gadget 

我们通过这两个gadget就可以很轻松的调用两个参数的函数了


构造payload如下

-------------------------------------------------------------------------------------

最低0.47元/天 解锁文章
zs0zrc
关注
专栏目录
【安全漏洞】利用__libc_csu_init控制64位寄存器
HBohan的博客
10-08 441
利用ROPgadget寻找ROP usage: ROPgadget.py [-h] [-v] [-c] [--binary <binary>] [--opcode <opcodes>] [--string <string>] [--memstr <string>] [--depth <nbyte>] [--only <key>] [--filter <
一些汇编的知识顺便填上 通用gadget_libc_csu_init的坑
zszcr的博客
04-06 1360
我写这篇博客主要是因为某人对我发起的灵魂拷问为什么level5利用_libc_csu_initgadget构造的payload要在末尾加上0x38个填充字符我听到这个问题是很蒙蔽的,我当时想当然的讲是用来维持栈平衡的,然rsp的值变成初始状态,可是经过一番深刻的讨论发现,不是这样子的,然后那个diaomao 就出去浪了,留我一个人思考这个问题首先这个问题需要有一定的汇编基础:(因为这道题是64...
__libc_csu_init函数的通用gadget
weixin_30265103的博客
05-12 163
1 .text:0000000000400840 ; =============== S U B R O U T I N E ======================================= 2 .text:0000000000400840 3 .text:0000000000400840 4 .text:0000000000400840 ...
【八芒星计划】 ret2__libc_csu_init
carol2358的博客
09-02 1239
文章目录前言一、wdb2018_impossible总结 前言 __libc_csu_init是64位程序中通用的一个函数,这个函数是用来对 libc 进行初始化操作的,而一般的程序都会调用 libc 函数,所以这个函数一定会存在,我们要利用其中的gadget 如何寻找init: 或者在start的rcx里 rdi <- main rcx <- __libc_csu_init //在main函数前执行 r8 <- __libc_csu_fini//在main函数后执行 我们要使用
泄露libc库、shellcode、__libc_csu_init
RKAnjia的博客
12-21 795
level4、第四届蓝帽杯pwn-slient泄露libcwrite函数输出地址puts函数输出地址puts函数输出完地址后没有其他输出puts函数输出完地址后还有其他输出注意shellcode如何写入shellcode?如何使得shellcode执行?_libc_csu_init 泄露libc (有很多是摘自link) write函数输出地址 当题目程序中的输出函数是write函数时,我们就可以利用write函数把write函数的真实地址输出出来。 下面给出write函数的DynELF写法模板(64位):
从o开始的pwn学习之ret2csu
jzc020121的博客
04-09 3285
ret2csu 前置知识 X64寄存器 我们知道,64位寄存器有RAX,RBX,RCX,RDX,RDI,RSI,RBP,RSP,R8,R9,R10,R11,R12,R13,R14,R15,而rdi,rsi,rdx,rcx,r8,r9便用来传递函数的前六个参数,如多于六个,便在放到栈里。 __libc_csu_init 一般的程序都会调用libc中的函数,而此函数便是来将libc初始化的,故此函数几乎是每一个程序所必备的。 gadget 我们在构造ROP链的时候,往往会用到能够给寄存器赋值的gadget,形如
ret2csu
huzai9527的博客
02-19 344
ret2csu 1. 原理 在64位程序中,函数的前六个参数是通过寄存器传参的,但是大多数时候,我们很难找到每个寄存器对应的gadgets,这个时候我们可以用x64下的__libc_csu_init中的gadgets。这个函数是用来对libc进行初始化操作的 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000004005C0 public __libc_csu_init .text:00000
用DynELF模块和通用gadget实现libc通杀(详细注释)
weixin_48066554的博客
06-22 791
用DynELF模块和通用gadget实现libc通杀(详细注释) 文章目录用DynELF模块和通用gadget实现libc通杀(详细注释)泄露libc版本方式x86版本x64版本万能gadgetret2libcx86版本x64版本 泄露libc版本方式 主要原理:利用栈溢出等写入栈的手段调用write或者puts函数,并控制write或puts函数参数泄露libc函数真实地址 write函数特点:可以控制大小,但是在64位程序中需要使用gadget进行寄存器传参,有时可能碰不到合适gadget puts函
什么是gadget,以及64位libc如何泄露的问题
qq_43557177的博客
04-06 3472
最近开始学PWN,本以为栈溢出也就那些东西,看来是我少虑了… 在这里对这几天所学习的64位栈溢出泄露Libc的相关知识做一个小总结,当然,如果可以帮助到在读文章的你就更好啦。如果文中有错误,也希望各位大佬予以斧正。 什么是LIbc? 这个就是libc 这是一个动态链接文件 那么什么是动态链接和静态链接? 可以理解为: 静态链接:在程序编译的过程中,就预先把代码加载进程序中 //比如大家都经常写的...
3.2 Linux C程序解析
pwl999的博客
10-12 1580
相信大家在最早学习c语言程序的时候都写过“helloworld”程序,下面就是一个linux c语言的“helloworld”程序: 简单的main函数,简单调用printf打印一句话,简单的gcc编译 “gcc hello.c –o hello”以后,执行 “./hello”就可以看到打印结果。 做完这些以后,也许你会来上一句“so easy!”。但是,你真的了解了这个简单main函数的执行过程
一步一步学 ROP 之 linux_x64 篇-level5
weixin_43489686的博客
02-02 1585
这道题是来自蒸米的一步一步学ROP之linux_x64篇中的level5,主要考察的是中级ROP中的__libc_csu_init。 原理 __libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000...
栈溢出----中级ROP
qq_42192672的博客
10-21 619
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/medium_rop/ 1.ret2__libc_csu_init 这个主要是争对64位的程序的,和32位的栈传参不同的是,在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,最完美的情况,肯定是需要的寄存器可以通过ROPgadgets找到合适的,但是总有找...
python栈溢出_栈基础 & 栈溢出 & 栈溢出进阶
weixin_39584549的博客
12-08 949
author : shavchentitle : stack-ooverflow exploit栈基础内存四区代码区(.text):这个区域存储着被装入执行的二进制机器代码,处理器会到这个区域取指令执行。数据区(.data):用于存储全局变量和静态变量等。堆区:动态地分配和回收内存,进程可以在堆区动态地请求一定大小的内存,并在用完后归还给堆区。地址由高到低生长栈区:用于动态地存储函数之间的调用关系...
中级ROP-ret2__libc_csu_init
aptx4869_li的博客
08-01 2130
中级ROP-ret2__libc_csu_init 这个题是“百度杯”CTF比赛 十二月场上的一个题“easypwn” 题目文件:easypwn 链接:https://pan.baidu.com/s/1aPTSUMHT-1JR2yWJgo2B-g 密码:id3x 刚开始没多久,所以这个可能记录的比较详细一点,特别适合新手   静态分析找溢出点: 丢到IDA里面就一个主函数,也没有求其...
LInux下编译发生的libc相关错误
weixin_30737363的博客
07-06 1084
在某主机上编译程序,发生有找不到libc的问题,自己写了个简单的hello world程序,编译也失败,报错如下: #gcc -o 1 1.c /usr/bin/ld: skipping incompatible /usr/lib/gcc/x86_64-redhat-linux/4.4.7/../../../libc.so when searching for -lc /usr/bin/l...
gcc 简单的 hello-world 到底连接了什么
热门推荐
hjjdebug的专栏
06-19 1万+
gcc hello 到底连接了什么 ------------------------------------------------------------ 源代码: ------------------------------------------------------------ [hjj@hjj ~]$ cat test.c #include unsigned char
pwn 学习笔记 暑假第九天 __libc_scu_init
SsMing的博客
07-21 712
__libc_scu_init 这个函数是用来对libc进行初始化操作的 在64位的程序中,前六个参数是通过寄存器传递的,之后再多的才是分布在栈上 如果程序比较小,很难找到需要的可用的gadget 但是如果利用这个函数,可以利用栈溢出构造栈上数据控制rbx,rbp,r12,r13,r14,r15寄存器的值 前六个参数依次保存在 RDI    (可控的其实只是RDI的第32位,就是EDI)...
初始化程序运行的环境
龙瑜的博客
09-08 4763
pc 端程序运行的环境的建立过程有很多被隐藏了,而在嵌入式中一般我们都能看到完整的建立过程。这些过程能够让我们更清楚程序执行所依赖的环境,同时也可能会让我们进一步思考这些环境对程序的表达能力的扩展。 以 rv32m1_vega 为例! 关中断——在临界区内初始化程序运行环境 为什么这时候要关中断呢? 你可以想想这时候程序执行的环境还没有建立起来,如果产生了中断,那么系统也无法处理,而且中断的优...
USB视频类设备驱动-uvc_gadget.h文件解析
资源摘要信息: "uvc.rar_usb gadget_uvc_uvc gadget_uvc.h" 本文档涉及的知识点主要包括USB Video Class (UVC)、Gadget驱动框架以及Linux内核编程相关的USB设备驱动开发。以下是对各知识点的详细说明。 ### USB ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值