pwn中的万能gadget函数

最新推荐文章于 2024-10-31 08:55:29 发布
最新推荐文章于 2024-10-31 08:55:29 发布
阅读量765 收藏 3
点赞数
分类专栏: pwn 文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35078631/article/details/124038478
版权
在pwn领域,__libc_csu_init和_dl_runtime_resolve是常见的万能gadget函数,尤其在程序初始化阶段,它们为构造ROP链提供了便利。通过设置rbx为0,r12指向got表,可以利用got表中的函数地址。同时,_dl_runtime_resolve允许通过rax控制r11进行跳转,但需确保got表对应的函数已被调用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在pwn的过程中,有一些一般程序都有的万能gadget函数,特别时程序在初始化的时候一般会有下面函数,就为构造ROP链提供了原材料

_init
_start
call_gmon_start
deregister_tm_clones
register_tm_clones
__do_global_dtors_aux
frame_dummy
__libc_csu_init
__libc_csu_fini
_fini
_dl_runtime_resolve

__libc_csu_init

.text:0000000000400650 ; void _libc_csu_init(void)
.text:0000000000400650                 public __libc_csu_init
.text:0000000000400650 __libc_csu_init proc near               ; DATA XREF: _start+16o
.text:0000000000400650                 push    r15
.text:0000000000400652                 mov     r15d, edi
.text:0000000000400655                 push    r14
.text:0000000000400657                 mov     r14, rsi
.text:000000000040065A                 push    r13
.text:000000000040065C                 mov     r13, rdx
.text:000000000040065F                 push    r12
.text:0000000000400661                 lea     r12, __frame_dummy_init_array_entry
.text:0000000000400668                 push    rbp
.text:0000000000400669                 lea     rbp, __do_global_dtors_aux_fini_array_entry
.text:0000000000400670                 push    rbx
.text:0000000000400671                 sub     rbp, r12
.text:0000000000400674                 xor     ebx, ebx
.text:0000000000400676                 sar     rbp
最低0.47元/天 解锁文章
Pwn
bluestar628的博客
07-11 2556
Pwn1拿到程序IDA分析发现就是一个输入字符串,长度大于0x500就直接执行cat flag。虽然溢出了,但是和溢出没有太大关系所以利用代码如下:from pwn import * p = remote ("139.224.220.67" ,30004) payload = 'a'*0x501 p.sendline(payload) p.interactive()Pwn2打开IDA分析,是一个经...
pwn练习1-ret2syscall(ROP-gadget
m0_51756263的博客
10-07 1762
pwn练习1-ret2syscall(ROP-gadget
PWN GADGET 入门
baidu_39617633的博客
09-25 1018
PWN GADGET 入门 checksec ret2syscall 拖入相应的IDA 3. playload构造 漏洞点 gets() 无canary,开启栈保护(NX ENABLE),无法直接将shellcode写入栈,需要gadget 计算padding IDA反编译直接查看 距离ebp为0x64,根据返回地址在ebp下一个字长处,所以总padding为0x64+0x4 但是失败。IDA有坑! GDB查看栈 填充0x86个a 使用gdb.attach()下断点至g
PWN入门之通用gadgets
weixin_44681716的博客
04-09 3118
实验目的 针对一些程序运行时的初始化函数(如加载libc.so的初始化函数),提取一些通用的gadgets,从而更利于我们继续ROP操作。 实验文件 这次实验的可执行文件文件通过我们自己编译一个程序产生,为了降低实验的难度,我们在进行编译的时候,关闭栈保护和数据执行保护(DEP)。 ...
[pwn]ROP:使用通用gadget
热门推荐
Breeze的博客
07-06 1万+
[详细] ROP:使用通用gadget 这次试用的是LCTF2016的试题pwn100,参考i春秋上的这篇文章 在这里详细讲解如何利用通用gadget构造一个复杂的ROP链。 通用gadget介绍 介绍一段通用的gadget,通常出现在64elf位文件的__libc_csu_init函数中(截图来自本程序pwn100,很多64位二进制文件都有): 这其中有三段gadget,第一段是 pop ...
BugKu做题记录【pwn】(持续更新中)
Assassin
04-06 4135
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做题了,刚刚开始的签到题就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.题目分析 题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成栈溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行 经过查看,bss段不可执
深入探究64位rop链构造,wp中常见的万能gadgets详解| 攻防世界pwn进阶区welpwn
Kni9hT's Blog
03-20 2030
文章目录前言思路分析0x00.检查保护机制0x01.找到溢出点0x02.跳过echo在buf上构造rop0x03.选择合适的gadgets0x04.万能的通用gadgets利用过程使用DynELF使用LibcSearcher 前言 这一题做的时间跨度比较长了,断断续续做了一天多,然后尝试了两种方式,一种是DynELF泄露system地址,还有一种是利用python的LibcSearcher模块得到...
Linux pwn入门教程(3)——ROP技术
xiaoi123的博客
07-10 7725
作者:Tangerine@SAINTSEC原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html0×00 背景在上一篇教程的《shellcode的变形》一节中,我们提到过内存页的RWX三种属性。显然,如果某一页内存没有可写(W)属性,我们就无法向里面写入代码,如果没有可执行(X)属性,写入到内存页中的shellcode就无法执行。关于这个特性的实验在...
64位ROP——通用gadget
qq_44759495的博客
04-09 2963
原理与目的 程序在编译的时候会加入一些通用函数来进行初始化操作,所以可以针对初始化函数来提取一些通用的gadget,通过泄露某个在libc中的内容在内存中的实际地址,通过计算偏移量来得到system和bin/sh的地址,然后利用返回指令ret连接代码,最终getshell。 实验步骤 chechsec命令检查是否有canary保护 图中显示并没有,如果有的话,就先进行泄露。 IDA反汇编 int...
xnuca2018-pwn-0gadget
sunrise的博客
11-24 826
off-by-one double free,uaf fast-bin-attack 函数功能: add函数中有一个off-by-one溢出,可以修改下一个本数组的堆指针的最后一个字节,使其指向最后一字节为'\x00'的堆块 用off-by-one修改后,free这个unsortedbin堆块,然后显示其中的fd,得到libc基址 同理,用do...
PWn基本工具安装
weixin_61804402的博客
05-27 373
main_arena_offset——一个简单的 shell 脚本,用于获取给定 libc 的偏移量。one_gadget ——一键找到 shell 地址。ROPgadget——ROP命令找到的gadget。checksec ——检测文件保护机制。LibcSearcher——代替。在github上克隆pwndbg。IDA Pro——静态代码分析。pwndbg——动态调试。
【GYCTF2020】borrowstack------<栈迁移原理、ret2csu万能gadget、one-gadget工具>
qq_21746331的博客
01-22 1831
【GYCTF2020】borrowstack知识点关键字样本知识点详解0x1 ret2csu原理0x2 栈迁移原理0x3 one-gadget 工具样本分析0x1 静态分析0x2 payload 构造0x3 动态调试0x4 exp参考文献 知识点关键字 栈迁移、ROP、csu万能gadget、one-gadget 样本 样本来自于GYTF2020_borrowstack,BUUCTF上有练习环境 知识点详解 0x1 ret2csu原理 动机: 在 64 位程序中,函数的前 6 个参数是通过寄存器传递
【我的 PWN 学习手札】新版本libc下的setcontext与平替gadget
最新发布
Mr_Fmnwon的博客
10-31 719
从 libc-2.29 版本起,setcontext 改用 rdx 寄存器来访问 SigreturnFrame 结构,因此无法直接利用 setcontext 的 gadget 将 free 的 SigreturnFrame 结构赋值给寄存器。
PWN基础之构造ROP链(基本ROP)
weixin_46132162的博客
02-02 6567
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
通用gadget详解
weixin_44932880的博客
12-26 7595
gadget 利用gadget是做pwn题时控制程序流程一种重要且常用的方法。 rop是什么? 参考链接 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop-zh/ 我今天主要写我对通用gadget的原理的理解 通用 gadget 通用gadget之所以叫通用,说明这是可以广泛使用的。 本人理解: 程序编译...
ciscn_2019_sw_1
doudoudedi
04-16 644
思路 通过格式化字符串是程序无限循环(__do_global_dtors_aux_fini_array_entry内存的地址写成main函数地址) 我们是通过libc_start_main调用main函数不管是在man函数调用前后都会调用fini函数的指针所以只要将其写坏即可然后将print_got表写成system即可拿到shell exp: from pwn import * #p=proce...
php非法指令,RCTF2020部分PWN题解
weixin_29461699的博客
03-26 737
前言上周肝了两天RCTF,最近闲下来好好做了下其中的几道题,这里写一下它们的题解note程序逻辑很典型的菜单题,bss处有个全局变量被设置为0x996,在New的时候会比较0x359 * sz和global_money前者小于等于后者方可进行calloc分配,这里很明显可以通过0x10000000000000000/0x359+1进行绕过,当然,因为这个size过大,calloc分配失败会返回0,...
Linux逆向实例
YIVIES
02-29 3105
但逆向工程不仅仅是反编译,而且还要推倒出设计,并且文档化,逆向别人的软件时要遵循相关的条约,逆向软件工程的目的是使软件得以维护。,至此我们的分析就完成了,但是这个也仅仅是一次很简单的实验,并不能代表什么,真正的逆向工程比这个要复杂得多得多!函数,因为这个实验程序很简单,所以我们忽略一些初始化相关的段之后,剩下的就是程序里编写的函数代码了,我们看到在地址。是嵌在循环里的,而且这个循环没有直接的循环条件,那我们可以推断出它应该是一个无限循环,退出循环必须依靠。个字节,所以我们可以推断这个变量的类型应该是一个。
CTF权威指南 笔记 -第二章二进制文件-2.1-汇编原理
m0_64180167的博客
04-30 1434
C语言的生命是从 源文件开始 的每条C语言都必须要给翻译成 一系列的低级语言最后 按照可执行文件格式打包 并且作为二进制文件保存起来。
pwn中aoti函数
10-31
aoti函数是C语言中的一个函数,用于将字符串转换为整数。它的原型为int atoi(const char *nptr),其中nptr是指向要转换的字符串的指针。该函数会扫描字符串,跳过前面的空格字符,直到遇到数字或正负号才开始转换。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值