ret2dlresolve(3)

最新推荐文章于 2024-02-22 19:15:48 发布
最新推荐文章于 2024-02-22 19:15:48 发布
阅读量172 收藏
点赞数
分类专栏: pwn 文章标签: pwn rop c语言 gdb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/F_Day_/article/details/121046288
版权
这篇博客详细记录了在64位norelro环境下利用ret2dlresolve进行攻击时遇到的意外问题。作者首先尝试向内存写入/bin/sh,伪造字符表,并修改dynamic中的dynstr地址。然而,在调用readplt + 6处时,程序行为未如预期,导致三天的调试过程。通过深入学习gdb调试技巧,作者发现问题是由于call指令后的寻址方式错误,即并非直接寻址,而是间接寻址,导致csu部分出现问题。最终,作者修正了payload并解决了问题。
摘要由CSDN通过智能技术生成

ret2dlresolve(3)

64位norelro下的ret2dlresolve
本来思路是与32的差不多,只不过是寄存器传参,但硬是出了一个意想不到的问题

这里我用到了ret2csu来进行程序流的控制

def csu(rbx, rbp, r12, r13, r14, r15, ret):
    payload = p64(loc_6pr)
    payload += p64(1) + p64(rbx) + p64(rbp) + p64(r12) + p64(r13) + p64(r14) + p64(r15)
    payload += p64(loc_call)
    payload += p64(0x61) * 7 + p64(ret)
    return payload

1、先向内存写/bin/sh

p = process('./main_norelro_64')
elf = ELF('./main_norelro_64'
最低0.47元/天 解锁文章
F_D。
关注
专栏目录
xctf攻防世界_echo——爬坑之路(ret2dlresolve
勤劳的小蜜蜂
05-27 954
很容易看到是栈溢出漏洞,而且给出了一个sample()的函数来读取flag,直接覆盖返回地址,在本地调试很快就弄完了。但是没想到,跟服务器连接后,死活出不来。没办法,想到上一篇文章一样的坑,看来只能拿Shell才行了。 查找了很多资料,一开始想着用write()函数泄漏,结果没这个函数。还动过使用fprintf函数的想法,但是远程太坑了。留几个学习到的点: 1、 gbd中可以使...
Pwntools遇到Got EOF while reading in interactive【未完全解决】
热门推荐
qq_43596950的博客
02-18 1万+
我没有解决这个bug,但我想提供一种思路 pwn初学者,写缓冲区溢出时拿shell遇到了Got EOF while reading in interactive。 1、更换system函数 程序源代码: #include<stdio.h> #include<unistd.h> #include<stdlib.h> #include<string.h> void exploit(){ //system("/bin/sh"); //使用syst
Got EOF while reading in interactive
weixin_52296042的博客
10-01 1774
你做错了
蒸米一步一步学ROP复现失败出现Got EOF while reading in interactive
温和的跳跃
02-05 2018
可以看看自己pwn和python还有构造的payloads是不是版本不一致 我自己的是因为安装的是python3版本的pwn然后复现错误。建议python2 python2版本的pwntools 原文payloads都是python2 一切的时间刚刚好
带exp的pwn测试文件
09-12
带exp的pwn测试文件、ret2text、ret2syscall、ret2shellcode、ret2libc、ret2csu、stack_pivoting、stack_smash
ret2dlresolve以及srop
最新发布
2301_81031055的博客
02-22 573
linux在加载ELF可执行文件的时候,包含的动态链接文件里的符号,并不会直接把这些符号的实际地址加载到内存中,而是会使用PLT + GOT 表来实现延迟绑定,简单说就是在第一次用到动态链接文件里的符号的时候才会去寻找符号的实际位置然后保存下来,下次使用的时候就可以直接访问了。所以我们就会想到用srop去解题,首先需要伪造栈帧信息,通过执行sigreturn(也就是syscall系统调用),还原出我们伪造的栈帧信息,来达到控制寄存器的目的 ,上面的网站有详细的讲解呦!这里我们可以直接通过脚本去获取权限。
ret2dlresolve学习(1)
F_Day_的博客
10-22 214
ret2dlresolve学习(1) ret2dlresolve主要是利用函数_dl_runtime_resolve来进行 这个函数是用来对动态链接函数进行重定位的 它最简单的利用就是直接修改重定位表项 构造一个存在栈溢出的例子 #include <stdio.h> #include <unistd.h> #include <string.h> int vuln(){ char buf[80]; setbuf(stdin, buf); ret
一种比较麻烦的Rop链构造——ret2dlresolve
dydxdz的博客
04-09 3839
ret2resolve 题目:0ctf 2018 babystack 上周末做了TCTF(0ctf 2018)的新人赛,题目难度适中,但垃圾如我一如既往没有做出几道题。在7o8v大佬的帮助下,弄懂了babystack的考察点和ret2resolve的利用原理,因此对照着wp记录一波。 0x01 ret2dlresolve原理 当一个程序第一次调用libc中的函数时,必须首先对libc中...
蒸米ROP学习笔记(一步一步学 ROP 之 Linux_x86 篇)
niu_niu_的博客
04-15 2927
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
NUAACTF pwn string writeup
qq_39596232的博客
08-24 1624
题目描述: 菜鸡遇到了Dragon,有一位巫师可以帮助他逃离危险,但似乎需要一些要求 题目分析: 1、首先查看下文件的信息及其保护机制: tucker@ubuntu:~/pwn$ file string string: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter...
warmup [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列14
重新启程
12-23 1850
题目地址:warmup 这是高手进阶区的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
64位格式化字符串漏洞pwn入门
z2876563的博客
08-10 1842
CTF竞赛权威指南PWN篇第166页参考程序 如下程序有格式化字符串漏洞,原文是编译成32位程序,为了增加难度,我编译成64位程序。以下我通过漏洞实现输入arg4的地址获取arg4的内容即ABCD。 //fmtdemo.c -o #include<stdio.h> void main() { char format[128]; int arg1 =1,arg2=0x88888882,arg3=-1; char arg4[10]="ABCD"; scanf("%s
PWN题写出exp拿不到权限 Got EOF while sending in interactive
weixin_43723991的博客
03-08 3969
PWN题写出exp拿不到权限 上次在写一道十分简单的pwn题时,写完exp执行时,出现了 Got EOF while sending in interactive 当时以为是这个pwn题程序本身的问题,后来发现是自己的payload写错了。 没有拿到权限,所以用ls查看文件无效,直接退出 以后再出现这样的问题的时候,就可以知道是自己的e...
2021-07-05-Buu刷题-pwn-rip--一些碰到的问题分析(做个题快做吐了,I’M so vegetable)
yundi的博客
07-06 1517
参考: https://www.cnblogs.com/yisicanmeng/articles/13906728.html https://www.cnblogs.com/vict0r/p/13773132.html https://blog.csdn.net/qq_41079177/article/details/99971701 https://blog.csdn.net/qq_53086690/article/details/116502865 出现的错误 1.直接复制脚本没改成node4.buuo
一步一步学ROP之linux_x86篇
HiTaQini
11-17 1307
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的学好ROP还是得从基础的x86系统开始。
PWN学习之[Rookiss]-[echo1]
Magic1an的博客
08-19 1563
echo1是一个64位的elf可执行文件,用checksec检查发现基本没有进行保护措施Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: H
深入理解ret2libc攻击:无壳代码控制
在IT安全领域,"Performing a ret2libc Attack-InVoLuNTaRy" 是一篇关于高级攻击技术的教程,主要讲解如何利用ret2libc(Return to Library Call)漏洞进行攻击。ret2libc是一种针对栈溢出漏洞的利用方法,它让攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值