libc泄露以及偏移

最新推荐文章于 2022-11-28 17:31:30 发布
最新推荐文章于 2022-11-28 17:31:30 发布
阅读量628 收藏 2
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RKAnjia/article/details/110825335
版权

payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+ p32(write_plt) + p32(start)(返回地址) + p32(1)+ p32(write_got)+p32(4)

后面三个是write函数的参数 write(1,‘write_got’,4) 4代表输出4个字节,write_got则为要泄露的地址

write函数原型是write(fd, addr, len),即将addr作为起始地址,读取len字节的数据到文件流fd(0表示标准输入流stdin、1表示标准输出流stdout)

binsh在libc中的地址可以直接搜索得到 binsh_libc = libc.search(’/bin/sh’).next()

其中地址计算如:

libc_base = leak_add - leak_libc(函数在libc中的偏移)

system_add = libc_base + system_libc

binsh_add = libc_base + binsh_libc

RKAnjia
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
libc-database:建立libc偏移量数据库以简化开发
04-01
网页界面 libc数据库现在具有Web服务和前端。 访问尝试一下! 如果您对API感兴趣,请阅读 。 建立一个libc偏移量数据库 如果您遇到错误,请检查下面的“要求”部分。 获取所需的libc类别并提取符号偏移量。 它不会下载任何东西两次,因此您也可以使用它来更新数据库: $ ./get # List categories $ ./get ubuntu debian # Download Ubuntu's and Debian's libc, old default behavior $ ./get all # Download all categories. Can take a while! 您还可以将自定义libc添加到数据库中。 $ ./add /usr/lib/libc-2.21.so 在数据库中找到在给定地址上具有给定名称的所有libc。 仅检查最后12位,因为随
确认main_arena相对libc偏移地址
fa1c4的blog
08-26 2287
前言 打保护全开的堆题时碰到的问题, 大佬wp直接给exp, 但是奈何萌新很多细节不懂啊 现在记录一下寻找main_arena相对libc偏移的方法(又水一篇博客) 在0CTF 2017 babyheap这题中, 利用 fast chunk 和 small chunk 堆叠技术将main_arena的实际地址泄露出来, 另外通过这个相对偏移, 计算libc的加载基址, 完成libc泄露 过程 对照看下mallo.c的源码 方法一 逆向分析libc.so文件 拖进IDA 函数框搜索malloc_trim
初识Linux共享库
zzulp的专栏
08-01 966
原文地址:http://www.ibm.com/developerworks/cn/linux/l-shlibs.html 共享程序库是现代 UNIX® 系统中有效利用空间和资源的基础。SUSE 系统中的 C 程序库大约有 1.3 MB。为 /usr/bin 中每一个程序(
用于查询libc版本函数偏移的工具
、moddemod
06-09 2753
在线查询libc版本的网站: https://libc.blukat.me/ 一个python项目LibcSearcher 项目地址:https://github.com/lieanu/LibcSearcher 安装 (下载比较慢,该项目依赖另外一个项目https://github.com/lieanu/libc-database) git clone https://github.com/lieanu/LibcSearcher.git cd LibcSearcher python setup.py de
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 611
pwn 64位 泄露libc版本
pwn技巧之ret to libc
这里没人
05-14 2406
简介 在0day攻击当中有许多的技巧,这次介绍一种常用的攻击手段。ret to libc与栈溢出,堆溢出之类的漏洞利用技巧有所不同。ret to libc是一种在漏洞攻击中的常用的思路。目的是最大化利用所发现的漏洞,实现我们最终的目标get shell 首先,我们来认识一个c语言的库函数 int system(const char * string); 这个函数的的功能很简单,执行...
CTF泄漏libc基址的方法
liucc09的博客
01-05 3811
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
pwn 学习笔记 格式化串计算偏移
SsMing的博客
08-15 4794
学习参照:https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit/ 利用%s泄露libc函数的got内容 addr%k$s可以用来泄露指定地址的内容,但要先确定k的值,可控制的格式化字符串参数是函数第几个参数(k+1),减一就是格式化字符串的第几个参数(k)。 利用  [tag]%p%p%p%p%p%p%p%p%p%p来确...
[阅读型]glibc-2.31中的tcache stashing unlink与large bin attack
easy_level1的博客
06-01 1515
文章目录前言题目的漏洞与功能tcache stashing unlinklarge bin attack有了上述方法,然后做什么 前言 有幸和校队一起参加21年5月的xctf-final。笔者爆肝连续战斗十小时,在与队友各种讨论下艰难做出了house of pig这一题。事后看出题人的wp,方法不尽相同但也是收获良多,特此记录。 笔者的这题解法是没有large bin attack的(知识盲区),利用tcache stashing unlink写global_max_fast完成house of hust,
通过给的libc泄露函数地址
zszcr的博客
03-22 5446
libc中的函数相对于libc的基地址的偏移都是确定的,如果有一道题给你了libc的文件,就可以通过libc文件泄露出system函数和binsh的地址,然后再构造payload。一般通过write()函数泄露 ,通过ELF获得write函数在got和plt中的地址同时获得程序start地址 构造payload payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+  p3...
libc-2.24源代码
02-06
libc-2.24源代码
musl libc 源码实现
最新发布
02-22
musl libc 是一个轻量级的 C 标准库实现,与其他 C 标准库有着一些显著的区别和特点。 它非常适合用于嵌入式系统的开发。嵌入式系统通常对资源消耗有较高要求,而 musl libc 的小体积和高效性使得它成为开发嵌入式...
Open BSD libc 源码
02-22
OpenBSD libc 是 OpenBSD 操作系统自带的 C 标准库实现,它与其他 C 标准库有着一些显著的区别和特点,下面是一些主要的特点: 安全性优先:OpenBSD libc 重视系统安全和可靠性,将其作为设计的首要目标。libc 的...
libc.so.6 libc.so.6
05-31
libc.so.6
PWN题型之Ret2Libc
swedsn
03-18 4018
文章目录前言0x1 :使用前提条件0x2 :为什么要这么使用0x3 :使用方法0x4 :实例二、使用步骤总结 前言 菜鸡总结,如有不对,请指点 0x1 :使用前提条件 查看保护:开启了NX保护,但是没有开启PLE保护,可以开启canary保护。但是这样就是两种题型结合了。 打开IDA查看源代码:存在溢出条件,但是没有system函数(/bin/sh)和 flag字样。 ` 0x2 :为什么要这么使用 由于缺少system函数,所以需要构造shellcode。但是开启了NX保护(可执行的不可修改,可修改不可执
什么是gadget,以及64位libc如何泄露的问题
qq_43557177的博客
04-06 2733
最近开始学PWN,本以为栈溢出也就那些东西,看来是我少虑了… 在这里对这几天所学习的64位栈溢出泄露Libc的相关知识做一个小总结,当然,如果可以帮助到在读文章的你就更好啦。如果文中有错误,也希望各位大佬予以斧正。 什么是LIbc? 这个就是libc 这是一个动态链接文件 那么什么是动态链接和静态链接? 可以理解为: 静态链接:在程序编译的过程中,就预先把代码加载进程序中 //比如大家都经常写的...
ret2libc中system的参数地址偏移量的找法
weixin_43085694的博客
03-31 793
如果已经拿到了libc文件,那么直接用 ROPgadget --binary ./libc.XXX --string /bin/sh 可以来找到/bin/sh字符的偏移
(pwn) C语言 write函数且使用write函数泄露 libc版本
半岛铁盒的博客
08-16 3685
ssize_t write(int fd,const void*buf,size_t count); 参数说明: fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数 payload=p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil("What is your name?") r.send(payload) ...
对payload以及函数传参的进一步理解
RKAnjia的博客
03-23 2746
pwnpayload32位程序传参64位程序传参 payload 模板: payload=“a“*0x88 p.sendline(payload) 在模板里是先编造好payload,再在程序需要输入时用sendline()将payload向程序输入,程序接收payload对某些变量赋值。 例如: read(0,&buf,0x200ull); 在与靶机交互时,靶机执行到read函数时,会需要我们输入,这时我们输入payload,程序会对buf字符串赋值为88个a。 32位程序传参 64位程序传参
如何泄露libc真实地址
05-24
泄露libc真实地址的方法通常是通过利用格式化字符串漏洞或者堆溢出漏洞来实现的。 对于格式化字符串漏洞,可以通过向一个可输出的字符串传递一个格式化字符串控制参数,来读取栈上的信息。通过这种方式,可以读取到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值