ret2csu

原理

• 在 64 位程序中，函数的前 6 个参数是通过寄存器传递的，但是大多数时候，我们很难找到每一个寄存器对应的 gadgets。 这时候，我们可以利用 x64 下的 __libc_csu_init 中的 gadgets。
• 这个函数是用来对 libc 进行初始化操作的，而一般的程序都会调用 libc 函数，所以这个函数一定会存在。

我们要知道64位程序中函数的前6个参数分别是通过1.rdi、2.rsi、3.rdx、4.rcx、5.r8、6.r9这六个寄存器传递，当然如果参数多余6个，那就需要到栈中寻找.

例题

以一步一步学ROP之x64篇中的level5为例

开启了nx考虑构造rop，ida64打开看一下_libc_csu_init函数

一个溢出漏洞，也没有什么后门函数或者/bin/sh字符串，已经知道了_libc_csu_init的位置那就选取gadgets构造rop

分析

gadgets1

0x0400606–0x0400628这段地址可以通过构造栈溢出来控制rbx，rbp，r12，r13，r14，r15的值，并通过覆盖0x0400628的retn来返回到我们需要的位置

gadgets2

0x04005f0–0x04005f9这段地址中，r15的值赋给rdx，r14的值赋给rsi，r13的值赋给rbi（这里是rdi的低32位，高32位寄存器的值为0，这里只能控制了rdi的低32位）。并且0x04005f9这里有个call是由r12和rbx联合控制，那我们如果控制了r12和rbx岂不是可以call到我们想到的位置。

• 需要注意0x04005FD这里rbx+1，0x400601这里比较rbx和rbp，如果它两不相等则会重新执行gadgets2，所以我们需要rbp=rbx+1