一道简单的ret2csu——蒸米level5
明显的栈溢出,没有后门函数,ropgadget看一下
看到没有rdi,rsi等
所以要用libc_csu_init这个函数,此函数在调用libc的程序中基本都有
用的就是5f0-628这一段的代码,上边的函数称为front,下面的函数称为behind
可以发现rdi,rsi,edx等64位下的传参寄存器在front函数中得到赋值,用的是r15,r14,r13的值,而r15,r14,r13的值在behind函数中得到赋值
然后这个call [rsi+rbx*8]这个函数可以调用函数,将rbx的值赋值为0,然后rsi赋值为函数地址,就可以调用函数
然后的比较rbp和rbx的值,若等于0即rbp=1,就可以执行到后面的ret了,但是rsp+0x38,所以要填充0x38个字节,然后再调用自己想要的函数
所以栈的格式如下
+---------------------------+
| main_addr | 覆盖behind_gadget后的ret重新执行main
------+---------------------------+
^ | hollkdig | hollkdig填充堆栈平衡造成的空缺
| + hollkdig + hollkdig填充堆栈平衡造成的空缺
0x38 | ........ | hollkdig填充堆栈平衡造成的空缺
| + hollkdig + hollkdig填充堆栈平衡造成的空缺
v | hollkdig | hollkdig填充堆栈平衡造成的空缺
------+---------------------------+
| csu_front_gadgwt | 覆盖原ret返回位置,调用front_gadget
+---------------------------+
| 00000008 | 放置在r15中,作为write函数的count参数
+---------------------------+
| write_got | 放置在r14中,作为write函数的buf参数
+---------------------------+
| 00000001 | 放置在r13中,作为write函数的fd参数
+---------------------------+
| write_got | 放置在r12中,作为call的执行函数
+---------------------------+
| 00000001 | 放置在rbp中,使front_gadget后继续执行
+---------------------------+
| 00000000 | 0放置在rbx中,使得call write函数可行
+---------------------------+
| 00000000 | 八个0填充sp指针偏移造成的空缺
+---------------------------+
| csu_behind_gadget | 覆盖原ret返回位置,调用behind_gadget
+---------------------------+
| hollkdig | hollkdig覆盖原saved ebp位置
ebp--->+---------------------------+
| hollkdig | hollkdig占位填满栈空间
| hollkdig | hollkdig占位填满栈空间
| ........ | hollkdig占位填满栈空间
| hollkdig | hollkdig占位填满栈空间
| hollkdig | hollkdig占位填满栈空间
| hollkdig | hollkdig占位填满栈空间
buf终止位置,ebp-0x80-->+----------------------------+
原文链接:https://blog.csdn.net/qq_41202237/article/details/105913597
然后通过read和write函数通过泄露got地址,得到libc基地址,将execve和/bin/sh存入bss段,再次调用libc_csu_init即可获得shell
总结:重点就是栈中参数的排布,其他没什么东西了