泄露libc

最新推荐文章于 2024-06-01 22:21:19 发布
最新推荐文章于 2024-06-01 22:21:19 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: 漏洞溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/86364934
版权

()

pintf泄露libc

虽然存在格式化字符串漏洞,并且GOT表可写,但是程序使用的是printf_chk函数。会检测出形如"%n"和"%12$p"这种利用方式。
考虑到main函数由libc_start_main调用,因此栈上的返回地址是一个libc中的地址,利用格式化字符串漏洞能泄露出libc的基址。
“%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印出libc上的地址。

函数调用栈结构

在这里插入图片描述

二、泄露libc基址

https://www.anquanke.com/post/id/85127

首先说明如何泄露libc的基址,当申请的内存大于某个阈值时,系统会调用mmap直接为应用程序分配页面,此时分配出来的的页面会紧贴着libc页面,所以我们可以通过分配一个大内存,最后得到地址加上大小最终就得到了libc的基址。题目又给了so,所以可以得到system以及_IO_list_all以及main_arena等结构的真实地址。

inquisiter
关注
专栏目录
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2819
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
新姿势GET 通过unsorted bin泄露libc地址 与 fastbin double free
哒君的博客
08-01 2115
源文件 GitHub checksec 初步分析 利用方法 用sentence函数分配small bin大小的bin,将其free以后,归入unsorted bin,而如果只有一个bin的话,其fd与bk都是main_arena + offset,尽管free以后内容清0,但是search函数中的memcmp却可以通过使v1为\x00来绕过,这样的话就打印bin的fb字...
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 710
pwn 64位 泄露libc版本
关于printf函数泄露地址libc题型
IT_huanhuan的博客
05-25 686
我们在构建ROP链时,应该想我们需要怎样去泄露地址,才能达到我们所希望的程序执行,因为是64位的,我们需要一些 pop|ret 去放我们的参数,printf在执行打印格式化字符串时,有产生一个参数,然后我们还需要一个寄存器,来存放我们got表里所要的真实地址。最后加个main函数,是我们返回到main函数,让程序走一遍,以便我们可以写入接下来的payload去控制程序流。因为这道题,我们首先应该做的是泄露地址泄露那个地址,我觉得可以是printf或者是read的地址都行,接下来我们就尝试一下吧。
泄漏libc地址
最新发布
yjh_fnu_ltn的博客
06-01 1175
这里可以利用vulnerable_function函数进行栈溢,利用write函数泄漏write函数的地址,从而拿到libc,使用write函数泄漏write函数地址时(puts函数同理),即使程序在前面。利用write函数的got表和plt表,溢得到write函数的地址,在计算得到libc_base基地址。先看汇编下调用write函数时参数的传递:(以32位为例),泄漏 fun_name的got地址和。
【pwn】orw&rop --泄露libc基址,orw
question55的博客
12-04 325
我们先看看程序的保护的情况因为题目提示了orw,我们可以沙箱检测一下可以发现是禁用的execve函数的,接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用题目给的libc.so.6进行寻找,exp如下:from pwn import *context(os='linux',arch='amd64',log_level='debug
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 5946
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
De1ctf收获:用_IO_2_1_stdout_泄露libc地址 weapon的writeup
哒君的博客
08-11 1596
GitHub 例行公事 可以看保护全开 进行分析 可以发现程序功能很简单 create delete rename create 限定大小最大只能是0x60 index只能是0-9但是是自个输入的 存在一个结构,struct[0] = size,struct[1] = ptr readn函数没有用\x00截断 delete 中间index的判断有问题,且存在uaf ren...
【BUUCTF】roarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战
Assassin
09-18 2145
realloc好题
libc泄露以及偏移
RKAnjia的博客
03-23 700
payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+ p32(write_plt) + p32(start)(返回地址) + p32(1)+ p32(write_got)+p32(4) 后面三个是write函数的参数 write(1,‘write_got’,4) 4代表输4个字节,write_got则为要泄露地址 write函数原型是write(fd, addr, len),即将addr作为起始地址,读取len字节的数据到文件流fd(0表示标准输入流stdin、1表示标准输流s
有无libc和函数的泄露
Sakura给爷pwn全场
12-05 156
CTF-pwn 地址泄露总结: https://blog.csdn.net/P01yH3dr0n/article/details/103729452
什么是gadget,以及64位libc如何泄露的问题
qq_43557177的博客
04-06 3472
最近开始学PWN,本以为栈溢也就那些东西,看来是我少虑了… 在这里对这几天所学习的64位栈溢泄露Libc的相关知识做一个小总结,当然,如果可以帮助到在读文章的你就更好啦。如果文中有错误,也希望各位大佬予以斧正。 什么是LIbc? 这个就是libc 这是一个动态链接文件 那么什么是动态链接和静态链接? 可以理解为: 静态链接:在程序编译的过程中,就预先把代码加载进程序中 //比如大家都经常写的...
ret2libc 泄露libc后构造system(‘/bin/sh‘)进行攻击(pwn入门)
2402_83422357的博客
05-23 1453
上面提到了一个措施,ASLR,它在开启后对共享libc,堆,和栈的地址进行随机化,所谓的随机化呢,就是偏移。接下来以star函数作为返回地址,以star函数作为返回地址可以使我们第二次栈溢的时候不需要再按照程序逻辑输入2次yes而且star函数是唯一有栈溢的函数,所以返回地址的正确选取很重要,之前有一次做题返回地址没选好,给自己增加了很多不必要的麻烦.......这个是最基础的32位的ret2libc,还有64位程序的也差不多,就是传参的方式变了,攻击的payload构造的思路是一样的。
ret2libc-泄露和不需要泄露
qq_36918532的博客
04-18 273
ciscn_2019_c_1 —需要泄露got 题目可在buuctf下载 安全检查,发现只开了NX保护(DEP) 执行程序发现,程序第二次原模原样输了((这种菜单题,我还以为是堆)) IDA查看反汇编代码 加密函数 其中x在bss段定义,一直在增加,所以导致上面的第二次执行的时候长度>s,从而不执行加密那块,这可以用来泄露地址 也就是后面变的只有比上一次输入长的部分 操作如下图 由于get可以一直输入,达到一定长度报段错误,这应该是说明覆盖到返回地址了,所以猜想应该是只要覆盖了返回地
CTF中的PWN——绕NX防护2(泄露libc + 栈溢
壊壊的诱惑你的博客
10-23 1839
前言: 继续PWN的学习,今天整理一下绕过NX,同时libc本地不存在需要通过相应函数泄露地址的方式进行进行溢。 本题工具介绍: LibcSearcher 一个基于libc_database写的python库,可以通过泄露的函数实际地址查找对应的libc版本。 from LibcSearcher import * #第二个参数,为已泄露的实际地址,或最后12...
如何泄露libc真实地址
05-24
泄露libc真实地址的方法通常是通过利用格式化字符串漏洞或者堆溢漏洞来实现的。 对于格式化字符串漏洞,可以通过向一个可输的字符串传递一个格式化字符串控制参数,来读取栈上的信息。通过这种方式,可以读取到...
通过给的libc泄露函数地址
zszcr的博客
03-22 5518
libc中的函数相对于libc的基地址的偏移都是确定的,如果有一道题给你了libc的文件,就可以通过libc文件泄露system函数和binsh的地址,然后再构造payload。一般通过write()函数泄露 ,通过ELF获得write函数在got表和plt表中的地址同时获得程序start地址 构造payload payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+  p3...
pwn 暑假复习三 libc泄露
SsMing的博客
07-15 7412
ctfwiki例一:ret2libc2拿到程序checksec查看:没什么问题源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvbuf(stdout, 0, 2, 0); setvbuf(stdin, 0, 1, 0); p...
Linux pwn入门教程(5)——利用漏洞获取libc
子曰小玖的博客
06-04 1982
https://bbs.ichunqiu.com/thread-42933-1-1.html?from=aqzx1 0x00 DynELF简介 在前面几篇文章中,为了降低难度,很多通过调用库函数system的题目我们实际上都故意留了后门或者提供了目标系统的libc版本。我们知道,不同版本的libc,函数首地址相对于文件开头的偏移和函数间的偏移不一定一致。所以如果题目不提供libc...
[PWN] BUUCTF pwn2_sctf_2016(整数溢+泄露libc)
空城惜梦的博客
06-05 814
[PWN] BUUCTF pwn2_sctf_2016解题分析漏洞利用payload分析payload1payload2 解题分析 按照惯例先checksec,开了nx保护和部分RELRO 接着运行文件,观察程序的运行逻辑,读入一个长度len然后把输入的字符,再打印输入的Len个字符 32位IDA打开文件,main函数调用了vuln() 发现对输入的长度len做了限制,len不能大于32 当len>32后,程序将结束,这就导致无法直接溢 进入get_n函数,发现get_n接收a2个长度
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值