一些汇编的知识顺便填上 通用gadget_libc_csu_init的坑

最新推荐文章于 2022-02-14 02:30:48 发布
最新推荐文章于 2022-02-14 02:30:48 发布
阅读量1.3k 收藏 4
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zszcr/article/details/79833898
版权
本文源于对level5利用_libc_csu_init gadget构造payload时为何需要末尾填充0x38个字符的探讨。深入理解这个问题需要掌握64位汇编基础知识,包括pop、push、leave、ret、call等指令的用法。同时,了解栈空间分布,如在level5的示例中,payload覆盖了函数的返回地址。填充0x38个字符'a'的目的是控制rsp最终指向期望的返回函数地址,确保正确执行。
摘要由CSDN通过智能技术生成

我写这篇博客主要是因为某人对我发起的灵魂拷问

为什么level5利用_libc_csu_init 的gadget构造的payload要在末尾加上0x38个填充字符

我听到这个问题是很蒙蔽的,我当时想当然的讲是用来维持栈平衡的,然rsp的值变成初始状态,可是经过一番深刻的讨论发现,不是这样子的,然后那个diaomao 就出去浪了,留我一个人思考这个问题

首先这个问题需要有一定的汇编基础:(因为这道题是64位的,所以我主要讲64位的)


pop (出栈):将栈顶的元素弹出栈,然后栈指针rsp + 8 

相当于:

mov (%rsp),%register 
add $8,%rsp

push(入栈):栈指针rsp - 8 然后将元素压入栈中

相当于:

sub $8,%rsp
mov $argument,(%rsp)

leave : 将栈帧指针rbp的值赋给rsp ,然后将栈中保存的上一级函数的rbp值弹出

相当于:

mov %rbp,%rsp
pop %rbp

ret :返回,将当前栈顶的元素弹出栈中,传到rip中

相当于:

pop %rip

call:格式: call &address 先将address地址压入rip中,然后将call下一条指令作为返回地址

最低0.47元/天 解锁文章
zs0zrc
关注
专栏目录
【安全漏洞】利用__libc_csu_init控制64位寄存器
HBohan的博客
10-08 425
利用ROPgadget寻找ROP usage: ROPgadget.py [-h] [-v] [-c] [--binary <binary>] [--opcode <opcodes>] [--string <string>] [--memstr <string>] [--depth <nbyte>] [--only <key>] [--filter <
__libc_csu_init函数的通用gadget
weixin_30265103的博客
05-12 157
1 .text:0000000000400840 ; =============== S U B R O U T I N E ======================================= 2 .text:0000000000400840 3 .text:0000000000400840 4 .text:0000000000400840 ...
【八芒星计划】 ret2__libc_csu_init
carol2358的博客
09-02 1160
文章目录前言一、wdb2018_impossible总结 前言 __libc_csu_init是64位程序中通用的一个函数,这个函数是用来对 libc 进行初始化操作的,而一般的程序都会调用 libc 函数,所以这个函数一定会存在,我们要利用其中的gadget 如何寻找init: 或者在start的rcx里 rdi <- main rcx <- __libc_csu_init //在main函数前执行 r8 <- __libc_csu_fini//在main函数后执行 我们要使用
泄露libc库、shellcode、__libc_csu_init
RKAnjia的博客
12-21 753
level4、第四届蓝帽杯pwn-slient泄露libcwrite函数输出地址puts函数输出地址puts函数输出完地址后没有其他输出puts函数输出完地址后还有其他输出注意shellcode如何写入shellcode?如何使得shellcode执行?_libc_csu_init 泄露libc (有很多是摘自link) write函数输出地址 当题目程序中的输出函数是write函数时,我们就可以利用write函数把write函数的真实地址输出出来。 下面给出write函数的DynELF写法模板(64位):
中级ROP-ret2__libc_csu_init
aptx4869_li的博客
08-01 2088
中级ROP-ret2__libc_csu_init 这个题是“百度杯”CTF比赛 十二月场上的一个题“easypwn” 题目文件:easypwn 链接:https://pan.baidu.com/s/1aPTSUMHT-1JR2yWJgo2B-g 密码:id3x 刚开始没多久,所以这个可能记录的比较详细一点,特别适合新手   静态分析找溢出点: 丢到IDA里面就一个主函数,也没有求其...
VNCTF2022_Pwn_clear_got_WP
weixin_56434818的博客
02-14 870
VNCTF2022_Pwn_clear_got_WP 文章目录VNCTF2022_Pwn_clear_got_WP检查文件IDA查看题给elf文件利用思路exp 检查文件 RELRO半开,没有canary,开NX,没开PIE。 IDA查看题给elf文件 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[92]; // [rsp+0h] [rbp-60h] BYREF int v5; // [rsp
buuctf:ciscn_s_3题解
xia0ji233
05-27 709
title: 系统调用的学习 date: 2021-05-25 22:00:00 tags: binary security study report syscall comments: true categories: ctf pwn today新的知识又增长了,发现了getshell的另一种方式:syscall和srop。故事还要源于…(此处省略万字输出) (note:本作者这次有点懒,没有写AT&T汇编,而是一律用了intel汇编,请悉知) 可能是之前汇编基础不太好吧,竟没有发现sy.
syscall指令_ctf中关于syscall系统调用的简单分析
weixin_36190812的博客
12-28 378
原创 紫色仰望 合天智汇0x01我在动态调试这个程序的时候,发现 syscall调用 系统函数 的过程很有趣,于是便记录下来 希望对大家 能带来些帮助,这里 以 buu 平台上的 ciscn_2019_s_3 为例,给大家详细地分享以及分析下!0x02在开始之前,我们先来认真 学习下 read(),write()的 原型:read():ssize_t read(int fd,const void...
ret2csu
F_Day_的博客
10-19 325
ret2csu 我认为这道题本身是没有什么实际意义的,但是它教会了我一种新的利用思路 这道题虽然明确指出利用函数__libc_csu_init来进行 但这个函数本身不是做为攻击者使用而设计的,它是设计出来初始化libc,只是恰好我们能够利用 因此,我认为这道题的主要目的是利用现有的汇编片段来实现攻击(与ret2por比较类似) __libc_csu_init 在本题里,这个函数的汇编代码如下(可能与你看到的有点不同) ; void _libc_csu_init(void) public __libc_c
通用gadget_libc_csu_init的使用
zszcr的博客
03-30 3435
蒸米 栈溢出的x64位 level5 wp=================_libc_csu_init函数是程序调用libc库用来对程序进行初始化的函数,一般先于main函数执行而我们则是要利用_libc_csu_init其中两端特殊的gadgetgadget 位于 0x400600 和 0x40061a地址先借用0x40061a 处的gadget 将想要压入寄存器的参数压入顺序依次 rbx r...
pwn 学习笔记 暑假第九天 __libc_scu_init
SsMing的博客
07-21 694
__libc_scu_init 这个函数是用来对libc进行初始化操作的 在64位的程序中,前六个参数是通过寄存器传递的,之后再多的才是分布在栈上 如果程序比较小,很难找到需要的可用的gadget 但是如果利用这个函数,可以利用栈溢出构造栈上数据控制rbx,rbp,r12,r13,r14,r15寄存器的值 前六个参数依次保存在 RDI    (可控的其实只是RDI的第32位,就是EDI)...
汇编原理4:分析init_flatrm子程序
canmeng50401的专栏
07-16 644
这个子程序我感觉比较复杂,它进入了保护模式,设置了一下ds,es等段选择子,然后返回到了实模式。因为fasm运行的时候,dos要给它分配一块内存来运行,这段内存的段地址是0x167b,返回实模式后,程序把段地址*16即0x167b0放到了[program_base]中。
通用gadget详解
weixin_44932880的博客
12-26 7395
gadget 利用gadget是做pwn题时控制程序流程一种重要且常用的方法。 rop是什么? 参考链接 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop-zh/ 我今天主要写我对通用gadget的原理的理解 通用 gadget 通用gadget之所以叫通用,说明这是可以广泛使用的。 本人理解: 程序编译...
程序员自我修养-是否真的要main函数??
hotmocha的专栏
07-20 3323
首先c语言程序是否真的需要一个main函数? double foo() { return 1.0; } double g=foo(); int main() { return0; } 在main函数之前,程序启动器帮我们初始化好了g这个全局变量。 void foo() { printf("foo\n"); } int main() { atexit(&foo);
linux程序启动时glibc的调用流程
choumin的专栏
01-21 1212
ELF 文件头的 e_entry 项指明了入口地址,可以通过 objdump -f 命令查看 ELF 文件头信息,一般来说,入口地址的就是代码段 _start 符号的起始地址,在 _start 中调用了 libc 中的 __libc_start_main(),该函数的大致流程是: 1)判断是否是静态链接库,如果是,则调用 _dl_start_user() ,否则调用 __libc_init_first(); 2)调用 __libc_csu_init(); 3)调用 main(); 4)调用 __GI
Gadget,又见Gadget - 浅尝Windows Live Contacts Gadget
weixin_34150224的博客
10-08 164
前言自从Windows Live推出开始,微软就加大了对于开发人员的“笼络”。上到Windows Live Gadgets和Windows Live Search Macro,下到Windows Live Toolbar和Messenger,每个产品纷纷通过某种方式提供API,这似乎已经是Windows Live系列产品的一个mandatory feature。迎合Web 2.0的Mashup理念...
一步一步学ROP之gadgets和2free篇
omnispace的博客
03-06 2470
原文: http://drops.wooyun.org/binary/10638 0x00序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术,可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x64的ROP攻击。 一步一步学ROP之linux_x86篇http://d
linux编程之main()函数启动过程
热门推荐
gary_ygl的专栏
01-15 1万+
1 最简单的程序  1)编辑helloworld程序,$vim helloworld.c 1 #include 2 3 int main (int argc, char *argv[]) 4 { 5 printf("Hello world!\n"); 6 7 return 0; 8 } 2) 编译,$ gcc hellow
usb_gadget_probe_driver+0x12c/0x154
最新发布
05-23
`usb_gadget_probe_driver+0x12c/0x154` 是一个函数的地址,它在 Linux 的 USB 子系统中被调用。具体来说,它是用于注册 USB gadget 驱动程序的函数之一。在 Linux 中,USB gadget 驱动程序可以使支持 USB 主机的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值