2019.7.24 64位程序libc泄露 x64_3

最新推荐文章于 2023-12-04 00:44:57 发布
最新推荐文章于 2023-12-04 00:44:57 发布
阅读量634 收藏 1
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DSR446/article/details/99697305
版权
本文介绍了如何解决一个64位程序的libc泄露问题,通过LibcSearcher、gdb的vmmap指令、ldd指令等方法找到动态链接库的路径和偏移。讲解了64位程序参数传递的规则,并强调了选择本地gadget的重要性。同时,讨论了read函数参数传递的细节和接受地址的计算方法,提供了调试和构造exploit的实践过程。
摘要由CSDN通过智能技术生成

1.在这里插入图片描述这是程序,程序中没有system函数也没有/bin/sh字符串,但是函数中有read函数。我们有一下几种解法。①我们用LibcSearcher这个模块进行解题②打本地的时候,我们可以在gdb中,用vmmap指令来找到动态链接库的绝对路径,然后用elf = ELF(‘绝对路径’),来算偏移③我们也可以用ldd指令找到相对路径,然后拷贝到当前路径,然后用ipython,用elf = ELF(‘libc.so.6’)来手算偏移。
2. 这是一个64位程序,他和32位程序不同的就是他传递参数,会先用rdi,rsi,rdx,rcx,r8,r9顺序传递参数,我们在gdb中用,ropper或者ROPgadget来查找合适的gadget(需要自己装)。
在这里插入图片描述
在这里插入图片描述
我们找到这几个合适的,但在选rsi的时候,我们发现,这里有两个。乍一看第二个好像合适一些,但我们可以看到他们的地址有很大的区别一个是7f开头的,说明他是动态链接库中的。我们应该选程序本地的,所以我们应该选第一个。
3. 很多人有疑问,这里有一个多余的r15。其实这个不必担心,我们选gadget的初衷就是来传递参

最低0.47元/天 解锁文章
藏蓝色的达达
关注
专栏目录
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 5946
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
linux 64位 内存泄漏,64位linux系统:栈溢出+ret2libc ROP attack
weixin_34185033的博客
05-01 732
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
什么是gadget,以及64位libc如何泄露的问题
qq_43557177的博客
04-06 3472
最近开始学PWN,本以为栈溢出也就那些东西,看来是我少虑了… 在这里对这几天所学习的64位栈溢出泄露Libc的相关知识做一个小总结,当然,如果可以帮助到在读文章的你就更好啦。如果文中有错误,也希望各位大佬予以斧正。 什么是LIbc? 这个就是libc 这是一个动态链接文件 那么什么是动态链接和静态链接? 可以理解为: 静态链接:在程序编译的过程中,就预先把代码加载进程序中 //比如大家都经常写的...
android x86_64平台64位libc.so
08-16
解决undefined reference to `__system_property_get'问题,这是android x86_64平台64位libc.so
android arm平台64位libc.so
06-18
解决undefined reference to `__system_property_get'问题,这是android arm平台64位libc.so,来源路径:/system/lib64/libc.so,具体看文章:http://blog.csdn.net/luoyong123456/article/details/50587417
一个关于rop泄露libc的问题
m0_64195960的博客
07-08 169
题干是这样的,题目就在buuctf上就是利用read函数栈溢出,rop泄露libc,需要注意以下64位传参就可以了但是我有一个疑问就是,为什么红色箭头这里的recv必须要加,如果这里加的话,下一行的p.recv(6)不久没有东西接受了吗?有没有好心的师傅指导一下,谢谢!这是加了p.recv()这是没加......
【BUUCTF】roarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战
Assassin
09-18 2145
realloc好题
[V&N2020 公开赛]easyTHeap + ciscn_2019_final_3 ——heap中tcache的一些简单利用方法
PLpa的博客
06-06 1115
libc2.26之后的libc版本中加入了新的存储结构tcache,这使得我们利用堆的时候要特别注意libc版本。 对tcache不是很了解建议看看CTFWiKi 1.[V&N2020 公开赛]easyTHeap 保护全开,libc2.27版本,进入IDA 看到程序有增删改查的功能。 我们一个个来看: add: 我们可以看到add中不能写入数据。 edit: add中不能读入的数据由edit来读入。 show: 没什么特殊的,就是输出数据,这里我们可以用其来查看我们泄露的地址。 dele
ret2libc
huzai9527的博客
02-03 494
1. buooj - ciscn_2019_c_1(64 位) from pwn import * #p = remote('node3.buuoj.cn',28190) p = process('./ciscn_2019_c_1') context.log_level = 'debug' puts_plt = 0x4006e0 puts_got = 0x602020 gets_got = 0x602050 pop_rdi = 0x0000000000400c83 main = 0x4009a0 #ste
ret2libc实战
xia0ji233
05-17 440
title: ret2libc实战 date: 2021-05-13 22:00:00 tags: binary security study report ret2libc comments: true categories: ctf pwn ret2libc是一个pwner必备的基础知识。 ret2libc为return to libc的缩写,我们需要执行libc函数里面的system("/bin/sh") 下面为32位程序并且带.so文件的题目:buuctf[OGeek2019]babyrop.
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
关于libc泄露的有感而发---32位与64位区别
wuyvle的博客
01-31 516
关于plt表与got表 可执行文件里面保存的是 PLT 表的地址,对应 PLT 地址指向的是 GOT 的地址,GOT 表指向的就是 glibc 中的地址 ![在这里插入图片描述](https://img-blog.csdnimg.cn/2021013122504026.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3d1eXZsZQ==,size_1
32位/64位程序 利用ROP泄露函数地址
qq_44768749的博客
08-23 678
利用ROP泄露函数地址0x01 32位0x02 64位 0x01 32位 addr = u32(p.recvuntil("\xf7")[-4:]) 0x02 64位 addr = u64(p.recvuntil("\x7f")[-6:].ljust(8, "\x00")) 不能保证所有题试用,但绝大部分泄露函数地址的题可以用到
(pwn) C语言 write函数且使用write函数泄露 libc版本
半岛铁盒的博客
08-16 4000
ssize_t write(int fd,const void*buf,size_t count); 参数说明: fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数 payload=p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil("What is your name?") r.send(payload) ...
ret2libc-泄露和不需要泄露
qq_36918532的博客
04-18 273
ciscn_2019_c_1 —需要泄露got 题目可在buuctf下载 安全检查,发现只开了NX保护(DEP) 执行程序会发现,程序第二次原模原样输出了((这种菜单题,我还以为是堆)) IDA查看反汇编代码 加密函数 其中x在bss段定义,一直在增加,所以会导致上面的第二次执行的时候长度>s,从而不执行加密那块,这可以用来泄露地址 也就是后面会变的只有比上一次输入长的部分 操作如下图 由于get可以一直输入,达到一定长度报段错误,这应该是说明覆盖到返回地址了,所以猜想应该是只要覆盖了返回地
pwn-内存泄漏one_gadget
leeham的博客
08-22 5861
pwn-内存泄漏/one_gadget 题目描述 题目可以下载到本地 https://github.com/LeeHaming/CTF-learn/blob/master/Caniso/Casino 解题思路 1.IDA分析函数逻辑 F5; 热键F5可以看到反汇编之后的程序逻辑;结合函数实际运行情况,可以得到这样的函数流程图: 此外我们可以找到修改mone...
【pwn】orw&rop --泄露libc基址,orw
question55的博客
12-04 325
我们先看看程序的保护的情况因为题目提示了orw,我们可以沙箱检测一下可以发现是禁用的execve函数的,接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用题目给的libc.so.6进行寻找,exp如下:from pwn import *context(os='linux',arch='amd64',log_level='debug
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 710
pwn 64位 泄露libc版本
fastbin关于chunk size检查问题&&花式泄露libc&&极限getshell&&huxiangbei_2019_namesyste
azraelxuemo的博客
04-10 2955
上图就是大家很熟悉的关于fastbin大小的一个检查 首先是里面一层 chunksize 以及外面一层 这是c源码 而对于汇编层面,由于运行的时候知道具体是32位还是64位,所以做了一定的优化 r15就是我们对应的chunk头地址,+8就是size的起始地址 但注意看,我们其实只是取了size的低8位 那么这里就是绕过的关键,网上很多地方其实讲的都不是很多 只要我们找到的size的地方低8位满足如下要求即可 000000yx y满足在2~8之间就好,x随意 同时size高八位也随意 因为可以看到我.
jni中使用vendor/lib64中的libc++_shared.so详细过程
最新发布
09-10
在JNI中使用vendor/lib64中的libc++_shared.so通常涉及以下几个步骤: 1. 确认目标设备支持使用libc++_shared.so。通常,这个.so文件是C++运行时库的一部分,需要确保目标平台支持它。 2. 在项目的build.gradle文件中添加对libc++_shared.so的引用。这通常涉及到配置CMake或者ndk-build脚本来指定库的路径。 3. 如果你的应用是使用CMake来构建的,你需要在CMakeLists.txt文件中添加`find_library`命令来找到libc++_shared.so库,并将其链接到你的项目中。例如: ```cmake find_library(LIBCXX_SHARED_PATH libc++_shared PATHS ${ANDROID_SYSROOT}/usr/lib/${ANDROID_ARCH_TRIPLE}) target_link_libraries(your_application_name ${LIBCXX_SHARED_PATH}) ``` 其中`your_application_name`是你的应用目标名称。 4. 如果你使用的是ndk-build方式,则需要在Android.mk文件中添加LOCAL_SHARED_LIBRARIES变量来引用库,并在LOCAL_LDLIBS变量中指定它。 5. 在Java层通过JNI加载这个库,通常使用System.loadLibrary方法加载。例如: ```java static { System.loadLibrary("your_library_name"); } ``` 这里的`your_library_name`是不包括前缀lib和文件扩展名的库名。 6. 确保在运行时,libc++_shared.so文件已经被正确地放在目标设备的`/vendor/lib64`目录下,否则应用在加载库时会失败。 7. 编译并部署应用到目标设备上进行测试,确保一切正常工作。 请注意,在实际操作过程中,可能需要根据具体开发环境和平台进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值