利用setcontext来进行ORW

最新推荐文章于 2025-05-12 13:34:33 发布
最新推荐文章于 2025-05-12 13:34:33 发布
阅读量821 收藏 5
点赞数 8
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/XiDPPython/article/details/145917130
版权

当遇到堆题禁用execve时我们就需要用ORW的方法来读取flag,那么堆题如何实现栈迁移来进行ORW就成了一个问题,而利用setcontext是解决这个问题的一个方案

首先来了解什么是setcontext?

setcontext是libc中的一个函数,而它的汇编代码中含有大量的 mov <寄存器> 这类汇编语句,如下图(注:setcontext以glibc2.29为分界线,2.29以下和2.29及以上有较大不同):
![[Pasted image 20250227233231.png]]

上图是glibc2.27中的 setcontext 的汇编部分,可以看到其中有非常多的控制寄存器的mov指令,它们都利用 rdi+<偏移值> 来获取具体的数值,所以如果我们可以控制 rdi寄存器 随后将程序跳转到 setcontext+53(也就是图中mov rsp,[rdi+0xa0h]的位置) 这样我们就可以控制包括 rip rsp 这两个重要寄存器,

基本思路

控制执行流之后就有两种思路:

  1. 是直接控制程序执行流去执行ROP链
  2. 是先用 mprotect 函数开辟一段可读可写可执行的空间再跳到上面去执行 shellcode

这里我们主要讲解执行ROP链ORW的思路:
控制 rsp寄存器 到我们布置好 ROP的地址,然后控制 ripret地址

如何控制rip并开始ORW?

通过观察上图发现最后一条指令是ret而其中有一个push rcx的操作,因此可以判断ret返回的地方就是rcx中存储的地址
那么此时栈中的情况就是下面的这样

ORW部分的代码
... ...
ORW部分的代码
rcx中的值  <-- rsp

-----我是分割线-----

ret指令 <-- rip

setcontext最后是一个ret指令那么就是

ORW部分的代码
... ...
ORW部分的代码 <-- rsp

-----我是分割线-----

rcx中存放的指令 <-- rip

那么为了能够开始我们的ORW,所以我们需要控制rcxret指令的地址也就是控制rdi+0xa8h这个地方为ret指令的地址

glibc2.29之前的一般利用思路:

1.想办法修改free_hook为setcontext+53

2.申请一个chunk1
chunk1_usr_addr+0xa0=rsp迁移地址;
chunk1_usr_addr+0xa8=ret指令地址;

3.申请一个chunk2
chunk2中存放ORW的ROP链,同时这也是rsp需要迁移的地方

4. free(chunk1) 此时的rdi恰好指向chunk_usr_addr,然后可以触发后续一些列的东西

glibc2.29之后的改变

下面来看看glibc2.29之后setcontext做出了哪些改变
![[Pasted image 20250126230319.png]]

调整:从rdi+偏移变成了rdx+偏移

rdi+偏移变成了rdx+偏移这是一个很大的改变,因为我们打堆题一般利用setcontext的思路是修改free_hooksetcontext+53,然后这个时候rdi恰好指向了 chunk_usr_addr,但是如果从 rdi 到了 rdx,那么我们该如何控制 rdx 就成了一个问题

由于在free的时候我们可以控制的只有rdi那么我们就需要一个既可以通过rdi来控制rdx,又可以通过rdi来控制ripgadget

那么真的会有这样的gadget吗?(有的兄弟,有的)
在glibc2.29中有类似这样的gadget,既可以控制rdx,最后又可以控制rip

mov rdx, [rdi+0x8]; mov rax, [rdi]; mov rdi, rdx; jmp rax;
mov rdx, [rdi+0x8]; mov [rsp], rax; call qword ptr [rdx+0x20];

这里我们就简单讲一下第二个gadget要咋用
一般我们需要构造三个堆块,三个堆块的作用分别如下

将free_hook赋值为上面mov rdx,qword ptr [rdi+8];

chunk1:
	prev_size, size
setcontext+53, rdi_addr[一般是chunk2_usr_data-0xa0] (这里需要计算好,rdi+0xa0的位置是rsp_addr也就是chunk3_usr_data,rdi+0xa8得是rip的地址[一般放ret])

chunk2:
	orw_addr(chunk3_usr_data), ret_addr

chunk3:
	prev_size, size
	... ... ... ...
	pop_r_ret, XXXX   --> orw 的ROP链

然后再glibc2.31的setcontext再次做出了调整 mov rsp, [rdx+0xa0h] 的位置变成了setcontext+61但是这个改变并不算大,但是在glibc2.31中上面我们发现的两个牛逼gadget被制裁了,只剩下一个了(泪目了,老铁)

mov rdx, [rdi+0x8]; mov [rsp], rax; call qword ptr [rdx+0x20];

参考:
文章 - srop搭配高低版本的setcontext - 先知社区
setcontext+orw - 狒猩橙 - 博客园

XiDP
关注
pwn题堆利用的一些姿势 -- setcontext
lifanxin的博客
06-27 3607
setcontext概述setcontext介绍setcontext具体操作setcontext实例总结 pwn题堆利用的一些姿势 – malloc_hook pwn题堆利用的一些姿势 – free_hook pwn题堆利用的一些姿势 – IO_FILE 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上
【八芒星计划】 ORW
carol2358的博客
09-01 4152
本篇用来记录ORWORW可以分为2.27以下的orw和2.29以上的orw,如果是本地请自备flag文件 orw技术是用来应对沙盒的 文章目录oooorder2019-BALSN-CTF-plaintext oooorder 本题是2.27的orw,漏洞是uaf,漏洞在这里不展开讲,uaf也并不难 2.27的orw既可以使用heap_addr,也可以不要,先讲不需要heap_addr的,毕竟能少泄漏就少泄漏 最重要的是使用了setcontext这个函数,来达成我们控制寄存器的目的 2.27得setcont
exit_hook和setcontext
yjh_fnu_ltn的博客
09-01 1549
exit_hook在pwn题中的应用 - 不会修电脑 - 博客园 (cnblogs.com)exit_hook :是程序在执行exit函数时,会去该位置拿一个函数指针,进而执行的一段程序,如果能修改掉这个函数指针就能挟持程序的控制流,执行想要的gadget。exit(0);return 0;这里用libc-2.32.so演示一下exit的调用过程:先进__run_exit_handlers函数:这里会调用到**_dl_fini函数** ,进入:_dl_fini函数开头的for循环中就调用到了。
【pwn】orw
weixin_43960998的博客
06-19 1941
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
setcontext
qq_51474381的博客
04-11 1382
1.setcontext是什么? 如上所示的代码段,从setcontext+53开始,这段汇编可用来实现对寄存器的赋值操作,但要控制好rdi与rcx。 rdi用来确定从什么地方取值赋给寄存器。 rcx先push再ret,实际上是对rip的控制,这里要确保rcx指向内存可读,不然会报错。 2.利用利用pwntools带的SigreturnFrame(),可以方便的构造出setcontext执行时对应的调用区域,实现对寄存器的控制,从而实现函数调用或orw调用。 ...
【我的 PWN 学习手札】setcontext + ROP
Mr_Fmnwon的博客
10-28 1184
setcontext的gadget能够“恢复上下文”,即设置寄存器的值。除了可以利用其执行shellcode,还可以实现ROP来getshell。本篇介绍了利用setcontext+ROP的方法,ORW地打印flag信息。
堆上的orw
Stella_Leo的博客
08-24 1757
author: moqizou 堆上的orw 最近出的堆题大都转向了沙箱,需要orw,而在堆上面的orw就需要去布局,如何才能让系统执行我们的代码就成了一个难题,下面是学习的一些总结 libc2.27 这一段是setcontext函数的下面部分,不难发现,通过rdi和偏移,几乎控制了所有的寄存器,所以如果控制setcontext函数的参数也就是rdi就可以控制程序流程,而这里的这样也就可以让堆上的代码可以执行。 一般的套路 一般来说,可以拿到libc_base和heap_base。拿到之后,构造.
【house of water + io_uring orw】2024强网拟态决赛-heap legend
qq_61670993的博客
11-28 539
io_uring orw
【PWN · setcontext】[2024网鼎杯 · 青龙组] PWN4
Mr_Fmnwon的博客
10-30 1687
套的东西比较多,RC4加解密、账号密码爆破、沙箱。不过libc版本2.27,加之存在UAF,所以如果没有那些限制,其实还是很好过的。接下来我将按照我当时做题的思路过一遍。
libc2.35时代IO利用
若有战,召必回
12-30 1193
文章中的利用方法主要针对libc2.35,高版本可做适当修改利用。话不多说,直接开始。house of apple系列libc2.35后的IO利用最知名的就是house of apple了,一共三个系列文章,是roderick师傅发现并广泛利用。基于IO_FILE->_wide_data的利用技巧条件:已知heap地址和libc地址能控制程序执行IO操作,包括但不限于:从main函数返回、调用exit函数、通过__malloc_assert触发。
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1641
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
2021-鹏城实验室网络安全技能大赛-pwn-babyheap 题解
lifanxin的博客
09-28 2594
Write Up文件信息漏洞定位利用分析WP总结 文件信息   本题来自于2021年的鹏程杯比赛的pwn题,题目链接如下:2021-鹏程杯-pwn-babyheap。   该题目主要考查了libc-2.29.so及以上版本的off-by-null利用方式,本题目使用的是libc-2.31.so,知识点学习推荐博客glibc2.29下的off-by-null。同时作为堆题,保护全开,没有可用的show功能函数,必须使用IO_FILE来leak libc,知识点学习推荐博客pwn题堆利用的一些姿势 – IO_F
【CTF资料-0x0002】PWN简易Linux利用入门教程by arttnba3
arttnba3的博客
02-25 6100
【CTF资料-0x0002】简易Linux利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
OpenHarmony 开源鸿蒙南向开发——linux下使用make交叉编译第三方库——nettle库
我是晚秋,我在这里,谢谢你的看见。
05-12 259
本文介绍了在Linux环境下为OpenHarmony开源鸿蒙南向开发配置交叉编译环境的过程。首先,需要下载并解压nettle-3.3.tar.gz文件,并创建build目录。接着,设置环境变量,包括OHOS_SDK路径和相关的编译器工具链。然后,通过配置make命令,指定目标平台为arm-linux-gnueabihf,并设置安装路径。最后,使用make -j4命令进行编译,并通过make install完成安装。整个过程涉及依赖库gmp的路径调整和编译参数的设置,确保第三方库能够成功交叉编译。
Linux 一键部署chrony时间服务器
极致,细节
05-09 99
chrony 主要实现了网络时间协议(NTP),它可以用来从互联网上的时间服务器获取准确的时间信息,并将这些信息用于校正本地系统的时钟。与传统的 NTP 实现相比,chrony 具有更快的收敛速度、更好的精度以及更简单的配置等优点。
配置linux自启java程序
alterhz的博客
05-08 275
linux配置自启java程序
Linux:libc库简单设计
2401_84107961的博客
05-08 253
【代码】Linux:libc库简单设计。
Linux文件编程——write函数
最新发布
weixin_45720999的博客
05-12 278
函数是一个系统调用,用于将数据从缓冲区写入文件描述符(file descriptor)指向的文件或设备。它是 Unix/Linux 系统编程中非常重要的底层 I/O 操作之一。,可以高效、可靠地完成文件 I/O 操作。在 Linux 文件编程中,
SecurityContextHolder.setContext
12-14
而 SecurityContext 又是用来进行请求检查和访问控制等操作的。因此,SecurityContextHolder.setContext() 方法应该是用来设置当前线程的 SecurityContext 的。 具体使用方法如下: ```java SecurityContext ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值