标签:函数 hollkdig ret2csu 占位 write 填充 level5 蒸米 +---------------------------+
明显的栈溢出,没有后门函数,ropgadget看一下
看到没有rdi,rsi等
所以要用libc_csu_init这个函数,此函数在调用libc的程序中基本都有
用的就是5f0-628这一段的代码,上边的函数称为front,下面的函数称为behind
可以发现rdi,rsi,edx等64位下的传参寄存器在front函数中得到赋值,用的是r15,r14,r13的值,而r15,r14,r13的值在behind函数中得到赋值
然后这个call [rsi+rbx*8]这个函数可以调用函数,将rbx的值赋值为0,然后rsi赋值为函数地址,就可以调用函数
然后的比较rbp和rbx的值,若等于0即rbp=1,就可以执行到后面的ret了,但是rsp+0x38,所以要填充0x38个字节,然后再调用自己想要的函数
所以栈的格式如下
+---------------------------+
| main_addr | 覆盖behind_gadget后的ret重新执行main
------+---------------------------+
^ | hollkdig | hollkdig填充堆栈平衡造成的空缺
| + hollkdig + hollkdig填充堆栈平衡造成的空缺
0x38 | ........ | hollkdig填充堆栈平衡造成的空缺
| + hollkdig + hollkdig填充堆栈平衡造成的空缺
v | hollkdig | hollkdig填充堆栈平衡造成的空缺
------+---------------------------+
| csu_front_gadgwt | 覆盖原ret返回位置,调用front_gadget
+---------------------------+
| 00000008 | 放置在r15中,作为write函数的count参数
+---------------------------+
| write_got | 放置在r14中,作为write函数的buf参数
+---------------------------+
| 00000001 | 放置在r13中,作为write函数的fd参数
+---------------------------+
| write_got | 放置在r12中,作为call的执行函数
+---------------------------+
| 00000001 | 放置在rbp中,使front_gadget后继续执行
+---------------------------+
| 00000000 | 0放置在rbx中,使得call write函数可行
+---------------------------+
| 00000000 | 八个0填充sp指针偏移造成的空缺
+---------------------------+
| csu_behind_gadget | 覆盖原ret返回位置,调用behind_gadget
+---------------------------+
| hollkdig | hollkdig覆盖原saved ebp位置
ebp--->+---------------------------+
| hollkdig | hollkdig占位填满栈空间
| hollkdig | hollkdig占位填满栈空间
| ........ | hollkdig占位填满栈空间
| hollkdig | hollkdig占位填满栈空间
| hollkdig | hollkdig占位填满栈空间
| hollkdig | hollkdig占位填满栈空间
buf终止位置,ebp-0x80-->+----------------------------+
原文链接:https://blog.csdn.net/qq_41202237/article/details/105913597
然后通过read和write函数通过泄露got地址,得到libc基地址,将execve和/bin/sh存入bss段,再次调用libc_csu_init即可获得shell
总结:重点就是栈中参数的排布,其他没什么东西了
标签:函数,hollkdig,ret2csu,占位,write,填充,level5,蒸米,+---------------------------+ 来源: https://www.cnblogs.com/p201921420037/p/15055195.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。