__libc_csu_init函数的通用gadget
.text: ; =============== S U B R O U T I N E =======================================
.text:
.text:
.text: public __libc_csu_init
.text: __libc_csu_init proc near ; DATA XREF: _start+16o
.text: push r15
.text: mov r15d, edi
.text: push r14
.text: mov r14, rsi
.text:000000000040084A push r13
.text:000000000040084C mov r13, rdx
.text:000000000040084F push r12
.text: lea r12, __frame_dummy_init_array_entry
.text: push rbp
.text: lea rbp, __do_global_dtors_aux_fini_array_entry
.text: push rbx
.text: sub rbp, r12
.text: xor ebx, ebx
.text: sar rbp,
.text:000000000040086A sub rsp,
.text:000000000040086E call _init_proc
.text: test rbp, rbp
.text: jz short loc_400896
.text: nop dword ptr [rax+rax+00000000h]
.text:
.text: loc_400880: ; CODE XREF: __libc_csu_init+54j
27 .text:0000000000400880 mov rdx, r13
28 .text:0000000000400883 mov rsi, r14
29 .text:0000000000400886 mov edi, r15d
30 .text:0000000000400889 call qword ptr [r12+rbx*8]
31 .text:000000000040088D add rbx, 1
32 .text:0000000000400891 cmp rbx, rbp
33 .text:0000000000400894 jnz short loc_400880
.text:
.text: loc_400896: ; CODE XREF: __libc_csu_init+36j
.text: add rsp,
37 .text:000000000040089A pop rbx
38 .text:000000000040089B pop rbp
39 .text:000000000040089C pop r12
40 .text:000000000040089E pop r13
41 .text:00000000004008A0 pop r14
42 .text:00000000004008A2 pop r15
.text:00000000004008A4 retn
.text:00000000004008A4 __libc_csu_init endp
.text:00000000004008A4
.text:00000000004008A4 ; ---------------------------------------------------------------------------
x64中的前六个参数依次保存在RDI, RSI, RDX, RCX, R8和 R9中
r13 =rdx=arg3
r14 =rsi=arg2
r15d=edi=arg1
r12= call address
这段gadgets用于在X64下进行rop,根本原因是X64使用寄存器传参无法直接用栈进行rop。具体用法如下:
分为两部分使用
1.执行gad1
.text:000000000040089A pop rbx 必须为0
.text:000000000040089B pop rbp 必须为1
.text:000000000040089C pop r12 call!!!!
.text:000000000040089E pop r13 arg3
.text:00000000004008A0 pop r14 arg2
.text:00000000004008A2 pop r15 arg1
.text:00000000004008A4 retn ——> to gad2
2.再执行gad2
.text:0000000000400880 mov rdx, r13
.text:0000000000400883 mov rsi, r14
.text:0000000000400886 mov edi, r15d
.text:0000000000400889 call qword ptr [r12+rbx*8] call!!!
.text:000000000040088D add rbx, 1
.text:0000000000400891 cmp rbx, rbp
.text:0000000000400894 jnz short loc_400880
.text:0000000000400896 add rsp, 8
.text:000000000040089A pop rbx
.text:000000000040089B pop rbp
.text:000000000040089C pop r12
.text:000000000040089E pop r13
.text:00000000004008A0 pop r14
.text:00000000004008A2 pop r15
.text:00000000004008A4 retn ——> 构造一些垫板(7*8=56byte)就返回了
此外还有一个老司机才知道的x64 gadgets,就是 pop rdi,ret的gadgets。这个gadgets还是在这里,但是是由opcode错位产生的。
如上的例子中4008A2、4008A4两句的字节码如下
0x41 0x5f 0xc3
意思是pop r15,ret,但是恰好pop rdi,ret的opcode如下
0x5f 0xc3
因此如果我们指向0x4008A3就可以获得pop rdi,ret的opcode,从而对于单参数函数可以直接获得执行
与此类似的,还有0x4008A1处的 pop rsi,pop r15,ret
那么这个有什么用呢?我们知道x64传参顺序是rdi,rsi,rdx,rcx。
所以rsi是第二个参数,我们可以在rop中配合pop rdi,ret来使用pop rsi,pop r15,ret,这样就可以轻松的调用2个参数的函数。
综上,我们介绍了x64下利用通用gadgets调用一个参数、两个参数、三个参数函数的方法。
__libc_csu_init函数的通用gadget的更多相关文章
- JavaScript中绑定事件监听函数的通用方法addEvent() 和 事件绑定之bindEvent()与 unBindEvent()函数
下面绑定事件的代码,进行了兼容性处理,能够被所有浏览器支持: function addEvent(obj,type,handle){ try{ // Chrome.FireFox.Opera.Safa ...
- RCTF2015 pwn试题分析
pwn200 漏洞给的很明显,先是读到了main的局部数组中,然后在子函数中向子函数的局部数组栈里复制. 总体思路是leak system的地址,然后再向一个固定地址写入/bin/sh,最后执行sys ...
- 一个简洁通用的调用DLL函数的帮助类
本次介绍一种调用dll函数的通用简洁的方法,消除了原来调用方式的重复与繁琐,使得我们调用dll函数的方式更加方便简洁.用过dll的人会发现c++中调用dll中的函数有点繁琐,调用过程是这样的:在加载d ...
- (原创)一个简洁通用的调用DLL函数的帮助类
本次介绍一种调用dll函数的通用简洁的方法,消除了原来调用方式的重复与繁琐,使得我们调用dll函数的方式更加方便简洁.用过dll的人会发现c++中调用dll中的函数有点繁琐,调用过程是这样的:在加载d ...
- 理解 JavaScript 回调函数并使用
JavaScript中,函数是一等(first-class)对象:也就是说,函数是 Object 类型并且可以像其他一等对象(String,Array,Number等)一样使用.它们可以"保 ...
- javascript 函数初探 (四)--- 回调函数
回调函数 既然函数与任何被赋值给变量的数据是相同的,那么她当然可以像其他数据那样被定义.删除.拷贝,以及当成参数传递给其它函数. 我们定义一个函数,这个函数有两个函数类型的参数,然后他会分别执行这两个 ...
- C语言scanf函数详细解释
原文链接 函数名: scanf 功 能: 执行格式化输入 用 法: int scanf(char *format[,argument,...]); scanf()函数是通用终端格式化输入函数,它从标准 ...
- 理解和使用 JavaScript 中的回调函数
理解和使用 JavaScript 中的回调函数 标签: 回调函数指针js 2014-11-25 01:20 11506人阅读 评论(4) 收藏 举报 分类: JavaScript(4) 目录( ...
- strtoull函数的使用,及相关信息汇总
kafka中涉及到序列化,有一个参数是在发送消息实体前边以一个序列号打头, seq = strtoull((prdcfgval+1), NULL, 10); do_seq = 1; 其中(prdcfg ...
随机推荐
- LODOP、C-Lodop简短排查语句
https使用,故障:1.是https网站吗,https扩展版C-Lodop如何使用 参考http://www.c-lodop.com/faq/pp32.html2.双击桌面上的c-lodop快捷方式 ...
- centos7.5误删python2.7之后,导致yum和Pythonm命令无法使用
问题描述 最近想要将服务器上的Python2.7升级成3.x的版本时.使用了如下命令: (1)强制删除已安装python及其关联 # rpm -qa|grep python|xargs rpm -ev ...
- Codeforces 1079C Playing Piano(记忆化搜索)
题目链接:Playing Piano 题意:给定长度为n的序列$a_i$,要求得到同样长度的序列$b_i$.满足一下条件: if $a_i < a_{i+1}$ then $b_i < b ...
- 一文读懂ES6(附PY3对比)
Ⅰ.ES6~POP¶ 代码示例:https://github.com/lotapp/BaseCode/tree/master/javascript/1.ES6 在线演示:https://githu ...
- python之路day02--格式化输出、初始编码、运算符
格式化输出 格式化输出替换字符串.字符串中%占位符,,%%s就是代表百分号,不代表占位符s 字符串 stringd 数字 dight name = input('请输入你的名字:') age = in ...
- Django--ORM相关操作
必知必会13条 <1> all(): 查询所有结果 <2> filter(**kwargs): 它包含了与所给筛选条件相匹配的对象 <3> get(**kwargs ...
- Django---ORM框架
一.get请求和post请求 GET请求: 1. 浏览器请求一个页面2. 搜索引擎检索关键字的时候 POST请求:1. 浏览器向服务端提交数据,比如登录/注册等 HTTP中GET与POST的区别 ht ...
- C++: sprintf浮点数精度控制;
错误的写法: char buf[100]; int num = 10; sprintf(buf, "%.2f", num); ///这种做法是不对的, 按照压栈顺序, 在压入num ...
- 如何巧妙的使用ArrayList的Clone方法
一.ArrayList的Clone方法的源码 返回一个Object对象,所以在使用此方法的时候要强制转换. ArrayList的本质是维护了一个Object的数组,所以克隆也是通过数组的复制实现的,属 ...
- 类型和原生函数及类型转换(三:终结js类型转换)
Number() parseInt() parseFloat() Boolean() String() toString() 一.显式类型转换 -------Number()函数把对象的值转换为数字. ...