libc泄露以及偏移

最新推荐文章于 2023-12-04 00:44:57 发布

RKAnjia

最新推荐文章于 2023-12-04 00:44:57 发布

阅读量701

点赞数 1

分类专栏： PWN

本文链接：https://blog.csdn.net/RKAnjia/article/details/110825335

版权

PWN 专栏收录该内容

5 篇文章 1 订阅

订阅专栏

本文探讨了栈溢出攻击的基本原理，通过payload构造覆盖EBP，利用write函数泄露内存地址。详细解释了write函数参数的意义，并展示了如何通过libc库查找/bin/sh地址，进而计算出system和binsh的地址，实现进一步的控制流程。

摘要由CSDN通过智能技术生成

payload 一般是填充字符（栈的大小）+ ‘aaaa’（覆盖EBP）+ p32(write_plt) + p32(start)(返回地址） + p32(1)+ p32(write_got)+p32(4)

后面三个是write函数的参数 write(1,‘write_got’,4) 4代表输出4个字节，write_got则为要泄露的地址

write函数原型是write(fd, addr, len)，即将addr作为起始地址，读取len字节的数据到文件流fd（0表示标准输入流stdin、1表示标准输出流stdout）

binsh在libc中的地址可以直接搜索得到 binsh_libc = libc.search(’/bin/sh’).next()

其中地址计算如：

libc_base = leak_add - leak_libc(函数在libc中的偏移)

system_add = libc_base + system_libc

binsh_add = libc_base + binsh_libc

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

RKAnjia

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

2019.7.24 64位程序libc泄露 x64_3

DSR446的博客

08-17

634

1.这是程序，程序中没有system函数也没有/bin/sh字符串，但是函数中有read函数。我们有一下几种解法。①我们用LibcSearcher这个模块进行解题②打本地的时候，我们可以在gdb中，用vmmap指令来找到动态链接库的绝对路径，然后用elf = ELF(‘绝对路径’)，来算偏移③我们也可以用ldd指令找到相对路径，然后拷贝到当前路径，然后用ipython，用elf = ELF(‘li...

pwn 暑假复习三 libc泄露

SsMing的博客

07-15

7412

ctfwiki例一：ret2libc2拿到程序checksec查看：没什么问题源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvbuf(stdout, 0, 2, 0); setvbuf(stdin, 0, 1, 0); p...

参与评论您还未登录，请先登录后发表或查看评论

libc-database:建立libc偏移量数据库以简化开发

04-01

网页界面 libc数据库现在具有Web服务和前端。访问尝试一下！如果您对API感兴趣，请阅读。建立一个libc偏移量数据库如果您遇到错误，请检查下面的“要求”部分。获取所需的libc类别并提取符号偏移量。它不会下载任何东西两次，因此您也可以使用它来更新数据库： $ ./get # List categories $ ./get ubuntu debian # Download Ubuntu's and Debian's libc, old default behavior $ ./get all # Download all categories. Can take a while! 您还可以将自定义libc添加到数据库中。 $ ./add /usr/lib/libc-2.21.so 在数据库中找到在给定地址上具有给定名称的所有libc。仅检查最后12位，因为随

用于查询libc版本函数偏移的工具

、moddemod

06-09

3326

在线查询libc版本的网站： https://libc.blukat.me/ 一个python项目LibcSearcher 项目地址：https://github.com/lieanu/LibcSearcher 安装（下载比较慢，该项目依赖另外一个项目https://github.com/lieanu/libc-database） git clone https://github.com/lieanu/LibcSearcher.git cd LibcSearcher python setup.py de

ret2libc中system的参数地址偏移量的找法

weixin_43085694的博客

03-31

861

如果已经拿到了libc文件，那么直接用 ROPgadget --binary ./libc.XXX --string /bin/sh 可以来找到/bin/sh字符的偏移量

确认main_arena相对libc的偏移地址

fa1c4的blog

08-26

2739

前言打保护全开的堆题时碰到的问题, 大佬wp直接给exp, 但是奈何萌新很多细节不懂啊现在记录一下寻找main_arena相对libc偏移的方法(又水一篇博客) 在0CTF 2017 babyheap这题中, 利用 fast chunk 和 small chunk 堆叠技术将main_arena的实际地址泄露出来, 另外通过这个相对偏移, 计算libc的加载基址, 完成libc泄露过程对照看下mallo.c的源码方法一逆向分析libc.so文件拖进IDA 函数框搜索malloc_trim

pwn刷题num47---off by one 修改size大小，造成堆块重叠，控制chunk内容指针，泄露函数真实地址，修改got表，调用system

tbsqigongzi的博客

05-04

518

BUUCTF-PWN-hitcontraining_heapcreator 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序，小端序开启部分RELRO-----got表仍可写开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行未开启PIE----函数地址为真实地址动态链接运行一下试试功能基本上就是 1. 创建堆 2. 编辑堆 3.显示堆 4.删除堆 5.退出 ida看一下伪代码主函数就是根据选择调用不

通过给的libc泄露函数地址

zszcr的博客

03-22

5518

libc中的函数相对于libc的基地址的偏移都是确定的，如果有一道题给你了libc的文件，就可以通过libc文件泄露出system函数和binsh的地址，然后再构造payload。一般通过write（）函数泄露，通过ELF获得write函数在got表和plt表中的地址同时获得程序start地址构造payload payload 一般是填充字符（栈的大小）+ ‘aaaa’（覆盖EBP）+ p3...

rop [二] 无libc泄露和rop注意

令则

03-10

763

rop_unlibc 文章目录rop_unlibcDynelf使用方法：writeputsgets==！！谨慎另述--注意点leak后用start_addrread后尽量去system三参数gadget的call [r12+rbx*8]应该用got表当无libc文件时rop的思路，这是对于上一篇rop简单总结的一个补充，关于一个rop无libc文件，和一些其他的小细节上面的总结， Dyn...

ret2libc续（一）——地址泄漏

qq_41560595的博客

12-30

1804

思路 libc文件本来存在于磁盘上，当程序执行时会被载入到虚拟内存中，由于ASLR开着(远程主机)，libc的地址会变动，但是libc中函数之间的偏移关系是不变的。

bugku pwn题libc

11-06

bugku pwn题libc，pwn3做题时可在里面查找system、binsh等

【pwn】orw&rop --泄露libc基址，orw

最新发布

question55的博客

12-04

325

我们先看看程序的保护的情况因为题目提示了orw，我们可以沙箱检测一下可以发现是禁用的execve函数的，接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址，先确定一下参数位置可以发现参数是在第六个位置，接下来就是构造ROP，调用read函数读取shellcode到mmap开辟的地址就行，这里的gadget可以用题目给的libc.so.6进行寻找，exp如下：from pwn import *context(os='linux',arch='amd64',log_level='debug

CISCN2021pwn pwny（数组越界，劫持exit_hook）

m0_51251108的博客

10-03

1233

CISCN2021pwn pwny（数组越界，劫持exit_hook）

fastbin关于chunk size检查问题&&花式泄露libc&&极限getshell&&huxiangbei_2019_namesyste

azraelxuemo的博客

04-10

2955

上图就是大家很熟悉的关于fastbin大小的一个检查首先是里面一层 chunksize 以及外面一层这是c源码而对于汇编层面，由于运行的时候知道具体是32位还是64位，所以做了一定的优化 r15就是我们对应的chunk头地址，+8就是size的起始地址但注意看，我们其实只是取了size的低8位那么这里就是绕过的关键，网上很多地方其实讲的都不是很多只要我们找到的size的地方低8位满足如下要求即可 000000yx y满足在2~8之间就好,x随意同时size高八位也随意因为可以看到我.

[PWN] 泄露libc HarekazeCTF_2019_baby_rop2

LDX的博客

11-28

710

pwn 64位泄露libc版本

libc_database的使用方法

wjycc的博客

03-24

1289

在此默认你已经下载了libc_database ./get 下载get工具, 若已下载请直接跳过 ./add usr/lib/libc-2.21-so 向数据库中添加自定义 libc ./find __libc_start_main xxx 这里输入你要查找的函数的真实地址的后三位 ./dump xxx 转储一些有用的偏移量，给出一个 libc ID, 这里输入第三步得到的结果中ID后的libc库。这样你就可以得到需要的文件中的偏移地址了 ...

二进制安全之——栈相关漏洞

PICACHU+++的博客

09-22

1877

栈主要是用于存储程序运行过程中的局部信息，大小不一，动态增长。栈的内存一般根据函数栈来进行划分（不用函数的程序很少见），不同的函数栈之间是互相隔离的，从而能实现函数的有效切换。函数栈上存储的信息一般包括：临时变量（包括栈保护哨carry）、函数栈的返回栈基址（bp）、函数的返回地址（ip）。

栈溢出实例--笔记三（ret2libc）

一只青木呀

08-07

1460

栈溢出实例--笔记三（ret2libc）1、栈溢出含义及栈结构2、ret2libc基本思路3、实战3.1、二进制程序如下3.2、查看栈结构3.3、第一次栈溢出3.4、第二次栈溢出 1、栈溢出含义及栈结构请参考栈溢出实例–笔记一（ret2text) 栈溢出实例–笔记二（ret2shellcode） 2、ret2libc基本思路在当一个程序开启了NX（栈不可执行）的时候，我们没办法去写shellcode，而且程序中也没有system函数供我们调用的时候，那此时我们该如何做呢？首先，程序本身没有system

Linux pwn入门教程(5)——利用漏洞获取libc

子曰小玖的博客

06-04

1982

https://bbs.ichunqiu.com/thread-42933-1-1.html?from=aqzx1 0x00 DynELF简介在前面几篇文章中，为了降低难度，很多通过调用库函数system的题目我们实际上都故意留了后门或者提供了目标系统的libc版本。我们知道，不同版本的libc，函数首地址相对于文件开头的偏移和函数间的偏移不一定一致。所以如果题目不提供libc...

如何泄露libc真实地址

05-24

泄露libc真实地址的方法通常是通过利用格式化字符串漏洞或者堆溢出漏洞来实现的。对于格式化字符串漏洞，可以通过向一个可输出的字符串传递一个格式化字符串控制参数，来读取栈上的信息。通过这种方式，可以读取到存储在栈上的libc的某些函数地址，从而计算出libc的基址。对于堆溢出漏洞，可以通过覆盖堆块的大小和指针来实现。通过覆盖堆块的大小，可以控制下一个堆块的起始地址，从而将指向libc的指针指向一个已知的地址。然后，再利用格式化字符串漏洞读取该指针的值，从而计算出libc的基址。需要注意的是，以上方法都需要对目标程序进行具体分析和实验，具体实现方法会因漏洞类型和程序实现而异。同时，在实际攻击中，需要注意避免被侦测和防御。