一些汇编的知识顺便填上 通用gadget_libc_csu_init的坑

最新推荐文章于 2021-10-08 14:06:33 发布
最新推荐文章于 2021-10-08 14:06:33 发布
阅读量1.3k 收藏 4
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zszcr/article/details/79833898
版权
本文源于对level5利用_libc_csu_init gadget构造payload时为何需要末尾填充0x38个字符的探讨。深入理解这个问题需要掌握64位汇编基础知识,包括pop、push、leave、ret、call等指令的用法。同时,了解栈空间分布,如在level5的示例中,payload覆盖了函数的返回地址。填充0x38个字符'a'的目的是控制rsp最终指向期望的返回函数地址,确保正确执行。
摘要由CSDN通过智能技术生成

我写这篇博客主要是因为某人对我发起的灵魂拷问

为什么level5利用_libc_csu_init 的gadget构造的payload要在末尾加上0x38个填充字符

我听到这个问题是很蒙蔽的,我当时想当然的讲是用来维持栈平衡的,然rsp的值变成初始状态,可是经过一番深刻的讨论发现,不是这样子的,然后那个diaomao 就出去浪了,留我一个人思考这个问题

首先这个问题需要有一定的汇编基础:(因为这道题是64位的,所以我主要讲64位的)


pop (出栈):将栈顶的元素弹出栈,然后栈指针rsp + 8 

相当于:

mov (%rsp),%register 
add $8,%rsp

push(入栈):栈指针rsp - 8 然后将元素压入栈中

相当于:

sub $8,%rsp
mov $argument,(%rsp)

leave : 将栈帧指针rbp的值赋给rsp ,然后将栈中保存的上一级函数的rbp值弹出

相当于:

mov %rbp,%rsp
pop %rbp

ret :返回,将当前栈顶的元素弹出栈中,传到rip中

相当于:

pop %rip

call:格式: call &address 先将address地址压入rip中,然后将call下一条指令作为返回地址

最低0.47元/天 解锁文章
zs0zrc
关注
专栏目录
uvc.rar_usb gadget_uvc_uvc gadget_uvc.h
09-24
USB Video Class (UVC) Gadget驱动是针对USB设备端点设计的一种软件组件,它使得嵌入式系统或计算机能够模拟一个USB视频设备,从而在主机系统上作为摄像头或者其他视频输入设备来使用。这个"uvc.rar"压缩包包含的...
3.2 Linux C程序解析
pwl999的博客
10-12 1552
相信大家在最早学习c语言程序的时候都写过“helloworld”程序,下面就是一个linux c语言的“helloworld”程序: 简单的main函数,简单调用printf打印一句话,简单的gcc编译 “gcc hello.c –o hello”以后,执行 “./hello”就可以看到打印结果。 做完这些以后,也许你会来上一句“so easy!”。但是,你真的了解了这个简单main函数的执行过程
【八芒星计划】 ret2__libc_csu_init
carol2358的博客
09-02 1151
文章目录前言一、wdb2018_impossible总结 前言 __libc_csu_init是64位程序中通用的一个函数,这个函数是用来对 libc 进行初始化操作的,而一般的程序都会调用 libc 函数,所以这个函数一定会存在,我们要利用其中的gadget 如何寻找init: 或者在start的rcx里 rdi <- main rcx <- __libc_csu_init //在main函数前执行 r8 <- __libc_csu_fini//在main函数后执行 我们要使用
【安全漏洞】利用__libc_csu_init控制64位寄存器
HBohan的博客
10-08 424
利用ROPgadget寻找ROP usage: ROPgadget.py [-h] [-v] [-c] [--binary <binary>] [--opcode <opcodes>] [--string <string>] [--memstr <string>] [--depth <nbyte>] [--only <key>] [--filter <
Linux C语言运行库 glibc
yexiangCSDN的专栏
11-09 5623
C运行库 任何一个C 程序,它的背后都有一套庞大的代码来进行支撑,以使得该程序能够正常运行。这套代码至少包括入口函数,及其所依赖的函数所构成的函数集合。另外包括各种标准库函数的实现。 这样的一个代码集合称之为运行时库(Runtime Library),C 语言的运行时库,称为 C 运行库(CRT)。 C 运行库大致包含的功能: 1. 启动与退出函数 2. 由C...
uvc_video.rar_linux uvc_uvc_uvc gadget_uvc.h
09-21
标题中的"uvc_video.rar_linux uvc_uvc_uvc gadget_uvc.h"表明这是一个与Linux系统相关的USB Video Class (UVC)驱动程序的压缩包,其中包含了实现UVC功能的关键文件。UVC是一种标准,允许USB设备(如网络摄像头)在...
cpu-features.rar_gadget hid_hid gadget
09-20
另一方面,`gadget_hid.txt` 文件可能是关于该驱动程序的技术文档或者说明,它可能详述了如何配置和使用这个HID gadget,包括如何编译源代码、如何设置设备描述符、报告描述符以及其他必要的配置信息。这些描述符是...
g_control_drv.rar_ARM HID_gadget_gadget hid_linux 3.0 gadget hid
09-20
标题中的“g_control_drv.rar_ARM HID_gadget_gadget hid_linux 3.0 gadget hid”揭示了这个压缩包涉及的核心技术是Linux系统中的USB设备模拟,特别是关于ARM架构下的HID(Human Interface Device)设备模拟器。...
Android_Gadget_CDC_driver
02-20
- "Android_Gadget_CDC_driver.inf" 文件是Windows下的驱动安装配置文件,它包含了驱动程序的安装指南和设备信息,用于指导系统正确安装驱动。 - "readme.txt" 文件通常包含有关驱动程序的详细说明、安装步骤以及...
泄露libc库、shellcode、__libc_csu_init
RKAnjia的博客
12-21 752
level4、第四届蓝帽杯pwn-slient泄露libcwrite函数输出地址puts函数输出地址puts函数输出完地址后没有其他输出puts函数输出完地址后还有其他输出注意shellcode如何写入shellcode?如何使得shellcode执行?_libc_csu_init 泄露libc (有很多是摘自link) write函数输出地址 当题目程序中的输出函数是write函数时,我们就可以利用write函数把write函数的真实地址输出出来。 下面给出write函数的DynELF写法模板(64位):
通用gadget_libc_csu_init的使用
zszcr的博客
03-30 3431
蒸米 栈溢出的x64位 level5 wp=================_libc_csu_init函数是程序调用libc库用来对程序进行初始化的函数,一般先于main函数执行而我们则是要利用_libc_csu_init其中两端特殊的gadgetgadget 位于 0x400600 和 0x40061a地址先借用0x40061a 处的gadget 将想要压入寄存器的参数压入顺序依次 rbx r...
通用gadget详解
weixin_44932880的博客
12-26 7392
gadget 利用gadget是做pwn题时控制程序流程一种重要且常用的方法。 rop是什么? 参考链接 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop-zh/ 我今天主要写我对通用gadget的原理的理解 通用 gadget 通用gadget之所以叫通用,说明这是可以广泛使用的。 本人理解: 程序编译...
gcc 简单的 hello-world 到底连接了什么
热门推荐
hjjdebug的专栏
06-19 1万+
gcc hello 到底连接了什么 ------------------------------------------------------------ 源代码: ------------------------------------------------------------ [hjj@hjj ~]$ cat test.c #include unsigned char
中级ROP-ret2__libc_csu_init
aptx4869_li的博客
08-01 2083
中级ROP-ret2__libc_csu_init 这个题是“百度杯”CTF比赛 十二月场上的一个题“easypwn” 题目文件:easypwn 链接:https://pan.baidu.com/s/1aPTSUMHT-1JR2yWJgo2B-g 密码:id3x 刚开始没多久,所以这个可能记录的比较详细一点,特别适合新手   静态分析找溢出点: 丢到IDA里面就一个主函数,也没有求其...
程序员自我修养-是否真的要main函数??
hotmocha的专栏
07-20 3323
首先c语言程序是否真的需要一个main函数? double foo() { return 1.0; } double g=foo(); int main() { return0; } 在main函数之前,程序启动器帮我们初始化好了g这个全局变量。 void foo() { printf("foo\n"); } int main() { atexit(&foo);
pwn 学习笔记 暑假第九天 __libc_scu_init
SsMing的博客
07-21 693
__libc_scu_init 这个函数是用来对libc进行初始化操作的 在64位的程序中,前六个参数是通过寄存器传递的,之后再多的才是分布在栈上 如果程序比较小,很难找到需要的可用的gadget 但是如果利用这个函数,可以利用栈溢出构造栈上数据控制rbx,rbp,r12,r13,r14,r15寄存器的值 前六个参数依次保存在 RDI    (可控的其实只是RDI的第32位,就是EDI)...
python栈溢出_栈基础 & 栈溢出 & 栈溢出进阶
weixin_39584549的博客
12-08 906
author : shavchentitle : stack-ooverflow exploit栈基础内存四区代码区(.text):这个区域存储着被装入执行的二进制机器代码,处理器会到这个区域取指令执行。数据区(.data):用于存储全局变量和静态变量等。堆区:动态地分配和回收内存,进程可以在堆区动态地请求一定大小的内存,并在用完后归还给堆区。地址由高到低生长栈区:用于动态地存储函数之间的调用关系...
汇编(X86-64)
I AM BACK
12-13 4704
汇编的基本语法 Move指令操作类型可以是立即数寄存器内存 取地址leap指令 算数指令 控制部分 x86-64的栈组成 画栈的表示图 代码注入 防止缓冲区溢出的技巧 使用安全的函数 使用系统级保护 使用stack canary转载请注明出处:http://blog.csdn.net/c602273091汇编的基本语法X86-64的寄存器组: IA32的寄存器: 内存的寻址模式(与寄存器结合起来
usb_gadget_probe_driver+0x12c/0x154
最新发布
05-23
`usb_gadget_probe_driver+0x12c/0x154` 是一个函数的地址,它在 Linux 的 USB 子系统中被调用。具体来说,它是用于注册 USB gadget 驱动程序的函数之一。在 Linux 中,USB gadget 驱动程序可以使支持 USB 主机的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值