CTF泄漏libc基址的方法

最新推荐文章于 2024-06-01 22:21:19 发布
最新推荐文章于 2024-06-01 22:21:19 发布
阅读量3.9k 收藏 15
点赞数
分类专栏: 网络攻防 文章标签: CTF libc 基址 IO_FILE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liucc09/article/details/112244972
版权
泄漏libc重点: glibc 的后三位是固定的main_arena泄漏法main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim()[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
摘要由CSDN通过智能技术生成

泄漏libc

重点: glibc 的后三位是固定的

main_arena泄漏法

main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim()

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

  1. unsorted bin中第一个chunk的bk和最后一个chunk的fd都指向main_arena+48(32位)或main_arena+88(64位)的位置

  2. 所以只需要将chunk释放到unsorted bin便可以泄漏libc的地址

IO_FIlE泄漏法

参考资料:
https://wiki.x10sec.org/pwn/linux/io_file/exploit-in-libc2.24-zh/
https://b0ldfrev.gitbook.io/note/pwn/iofile-li-yong-si-lu-zong-jie

  1. 控制指针指向libc的内存区域

  2. libc中全局变量_IO_list_all是个链表,其中含有三个FILE结构体

    _IO_2_1_stderr_

    _IO_2_1_stdout

    _IO_2_1_stdin_

  3. _IO_2_1_stdout_ 低三字节是0x620,倒数第四字节可以爆破,例如设成0x2620持续攻击,总会有随机到0x2620的时候

  4. 修改FILE结构体如下,输出的时候会输出_IO_write_base指向的位置,默认_IO_write_base指向 _shortbuf,将_IO_write_base 低两字节改为\x20会打印_IO_2_1_stdout_ 本身,其中会包含、_IO_write_base 对应的值就是_IO_2_1_stdout_ 在libc中的地址

    _flags = 0xfbad1800

    _IO_read_ptr = 0

    _IO_read_end = 0

    _IO_read_base = 0

    _IO_write_base = _IO_write_base &0xffffffffffffff00+0x20

  5. 调用puts或printf后收到的数据如下,会泄漏libc地址如下

    00000000位置是_flags

    00000020位置是_IO_write_base ->_IO_2_1_stdout_

    [DEBUG] Received 0x127 bytes:
    00000000  00 18 ad fb  00 00 00 00  00 00 00 00  00 00 00 00  │····│····│····│····│
    00000010  00 00 00 00  00 00 00 00  00 00 00 00  00 00 00 00  │····│····│····│····│
    00000020  20 26 2b 70  6e 7f 00 00  a3 26 2b 70  6e 7f 00 00  │ &+p│n···│·&+p│n···│
    00000030  a3 26 2b 70  6e 7f 00 00  a3 26 2b 70  6e 7f 00 00

    _IO_write_base 默认指向_IO_2_1_stdout_+131的位置,把_IO_write_base 的值的最后两个字节改成0x20就是_IO_2_1_stdout_在libc中的地址

    pwndbg> p _IO_2_1_stdout_
$1 = {
     
  file = {
     
    _flags = -72537977, 
    _IO_read_ptr = 0x7ffff7dd26a3 <_IO_2_1_stdout_+131> "\n", 
    _IO_read_end = 0x7ffff7dd26a3 <_IO_2_1_stdout_+131> "\n", 
    _IO_read_base = 0x7ffff7dd26a3 <_IO_2_1_stdout_+131> "\n", 
    _IO_write_base = 0x7ffff7dd26a3 <_IO_2_1_stdout_+131> "\n", 
    _IO_write_ptr = 0x7ffff7dd26a3 <_IO_2_1_stdout_+131> "\n", 
    _IO_write_end = 0x7ffff7dd26a3 <_IO_2_1_stdout_+131> "\n", 
    _IO_buf_base = 0x7ffff7dd26a3 <_IO_2_1_stdout_+131> "\n", 
    _IO_buf_end = 0x7ffff7dd26a4 <_IO_2_1_stdout_+132> "", 
    _IO_save_base = 0x0, 
    _IO_backup_base = 0x0, 
    _IO_save_end = 0x0, 
    _markers = 0x0, 
    _chain = 0x7ffff7dd18e0 <_IO_2_1_stdin_>, 
    _fileno = 1, 
    _flags2 = 0, 
    _old_offset = -
最低0.47元/天 解锁文章
liucc09
关注
  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【BUUCTF】roarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc实战
Assassin
09-18 1909
realloc好题
JVM 调优之 glibc 引发的内存泄露
m0_38017860的博客
12-28 1076
回顾上篇文章 JVM调优之G1换CMS 中 我们将 G1 换成 CMS 并调整了 JVM 参数,由于 GC 选择和参数设置的更加合理,所以内存的增长非常缓慢了。但这并没有从根本解决问题,通过观察发现,最高的时候一天 RSS 会增长 100M 左右,而且整体的趋势仍然是向上增长的,并没有一丝的回落迹象。问题分析虽然增长缓慢,哪怕每天只有 1M,离 OOM 也只是时间问题。这就使我们不得不再次仔细分析为什么 RSS 会一直增长。堆内存分析通过监控发现,堆内存呈周期性的增长和回收,与我们的 JVM 参数
泄漏libc基地
最新发布
yjh_fnu_ltn的博客
06-01 997
这里可以利用vulnerable_function函数进行栈溢出,利用write函数泄漏write函数的地,从而拿到libc,使用write函数泄漏write函数地时(puts函数同理),即使程序在前面。利用write函数的got表和plt表,溢出得到write函数的地,在计算得到libc_base基地。先看汇编下调用write函数时参数的传递:(以32位为例),泄漏 fun_name的got地和。
[HarekazeCTF2019]baby_rop2 1(含libc.so.6文件)(一些问题有待解决)
weixin_52111404的博客
12-11 745
题时遇到了不少问题,有些还没有得到解决,在此进行记录
pwn 堆溢出之 泄露基址
qq_41071646的博客
04-25 2890
先声明一下本文的参考链接 https://blog.csdn.net/weixin_34050005/article/details/86881709?tdsourcetag=s_pctim_aiomsg 这篇博客写的非常好 受教了 本来其实我是看的另一道题 但是那道题 感觉并不是很适合我这种萌新 然后我就看到了这道题 就 由于这个篇文章写的很清楚 而且 代码直接就可以拿到f...
堆基础-glibc_malloc_threading
qq_43390703的博客
11-16 461
glibc_malloc_threading 多线程支持 linux早期使用dlmalloc作为默认分配器,在dlmalloc中只有一个线程能访问临界区(critical section),因为所有线程共享freelist的数据结构。在ptmalloc2中当两个线程同时调用malloc的时候,内存均会得以分配,因为每个线程都维护着单独的堆段,因此维护这些堆的freelist数据结构也是分开的。这种为每个线程维护单独的堆和空闲列表数据结构的行为称为每个线程领域(per thread arena)。 分析案例
CTF解题方法(基于zip压缩包的解密方法).docx
07-02
CTF解题方法(基于zip压缩包的解密方法).docx 附带工具和参考资料
CTF题库超详细资源合集
06-14
ctf题库 CTF 题⽬类型⼀般分为 Web 渗透、RE 逆向、Misc 杂项、PWN ⼆进制漏洞利⽤、Crypto 密码破译。 在传统的CTF线上⽐赛中,Web类题⽬是主要的题型之⼀,相较于⼆进制、逆向等类型的题⽬,参赛者不需掌握系统...
CTF之GIF图片分离工具
02-23
misc方向直接GIF图片分离
libc-database:建立libc偏移量数据库以简化开发
04-01
libc数据库现在具有Web服务和前端。 访问尝试一下! 如果您对API感兴趣,请阅读 。 建立一个libc偏移量数据库 如果您遇到错误,请检查下面的“要求”部分。 获取所需的libc类别并提取符号偏移量。 它不会下载任何...
CTF哥斯拉冰蝎解码工具
02-23
承影_哥斯拉冰蝎解码工具1.1版本,助力CTF比赛
CTF中的PWN——绕NX防护2(泄露libc + 栈溢出)
壊壊的诱惑你的博客
10-23 1671
前言: 继续PWN的学习,今天整理一下绕过NX,同时libc本地不存在需要通过相应函数泄露的方式进行进行溢出。 本题工具介绍: LibcSearcher 一个基于libc_database写的python库,可以通过泄露的函数实际地查找对应的libc版本。 from LibcSearcher import * #第二个参数,为已泄露的实际地,或最后12...
2021-10-13
weixin_42338542的博客
10-13 1728
babyheap_0ctf总体思路1.通过unsortbin 来leak main_arena进而可以得到malloc_hook的地2.通过fastbin attack来控制malloc_hook-0x23的地块新的改变 总体思路 1.通过unsortbin 来leak main_arena进而可以得到malloc_hook的地 2.通过fastbin attack来控制malloc_hook-0x23的地块 新的改变 add(0x80) #0 add(0x80) #1 add(0x80) #2 a
ctf】 关于确定靶机上的libc版本
qq_31808893的博客
02-07 390
记录一下经验,有时候通过泄露的单一地 如 puts printf 等用工具查或者手动查会查出很多libc版本,一个个试是一种办法,不过有一种方法可以更精确确定libc版本。
CTF中关于pwn题如何加载目标libc方法
weixin_30345577的博客
09-20 751
问题:在做pwn题的过程中,我们经常会遇到题目提供libc,但是本地调试的时候加载的是本地libc。 解决方法方法1: 可以用添加环境变量的方法,如下:    export LD_LIBRARY_PATH=`pwd` #当前目录为加载目录export LD_PRELOAD=你的libc #加载本地pwn题目下的libc 最后不用了在:unset LD_PRELOAD #调...
IO_FILE Exploitation
azraelxuemo的博客
04-11 1231
文章目录简介IO_FILE结构_IO_FILEIO_jump_t图示利用原理exit函数vtable checkexit函数的广泛性exit函数exit调用__run_exit_handlersRUN_HOOK__run_exit_handlers调用_IO_cleanup_IO_cleanup调用_IO_unbuffer_all例题hctf2018_the_end题目分析伪造vtable修改vtable地为我们伪造的区域attackdlfini 简介 IO_FILE Exploitation也是ctf
linux软件崩溃日志,打败Linux系统中的Bug
weixin_42298164的博客
05-09 439
调试zSeries上的Linux应用程序类似于调试其他体系结构上的Linux应用程序。对于有经验的Linux开发人员,最大的挑战是理解新的系统体系结构。对于刚接触Linux的大型机开发人员,掌握新的调试工具似乎是一项令人畏惧的任务。不要害怕。本文将提供一些有用的提示来帮助您入门。学问来自实践,但是对于调试工具,在没有出现问题而迫使您去修复它们之前,“实践”是不会发生的。考虑到这点,下面将提供让您入...
r0pbaby——ret2libc
qq_41560595的博客
10-09 436
解题思路 使用libc.so.6获取里面的system和/bin/sh地 先查看libc.so.6: libc.so.6是libc-2.27.so的软链接,需要把libc-2.27.so拷出来。 把libc-2.27.so拖到IDA中,在左侧窗口中任意单击一个函数,快捷键ctrl+f,输入system,查看其地。 快捷键shift+f12调出字符串窗口,单击任意处按快捷键ctrl+f,输入/bin/sh,获得地。 栈图 如图,当rsp指向pop rax;pop rdi;call rax时,ri
FSB和I/O总线的关系
06-12
FSB和I/O总线都是计算机内部的总线,但是它们的作用不同。FSB连接的是处理器和内存,而I/O总线则连接的是处理器和其他外部设备,例如硬盘、显卡、网卡等。 在一些旧的计算机系统中,FSB和I/O总线是通过一个公共的总线来传输数据的,这个总线被称为系统总线。而在现代计算机系统中,FSB和I/O总线通常会分离,以提高计算机的性能。 总的来说,FSB和I/O总线是计算机内部的两个重要总线,它们各自承担不同的任务,但是它们的协同工作对于计算机的正常运行和性能提升都非常重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值