ret2libc续(一)——地址泄漏

最新推荐文章于 2023-12-04 00:44:57 发布
最新推荐文章于 2023-12-04 00:44:57 发布
阅读量1.6k 收藏 3
点赞数 4
文章标签: pwn python linux docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41560595/article/details/110184221
版权

原题文件

链接:https://pan.baidu.com/s/1XwbHEI2-HxOeXmu4vnGeGg
提取码:1111

拖入IDA并F5

在这里插入图片描述
fflush函数:等到stdout缓冲区读完输出内容后,一并输出缓冲区数据。
read函数:0代表标准输入,1代表标准输出,2代表标准错误。
此题要求输入数字,例如输入‘12’,是以ASCII码表示的,0x31代表数字‘1’,0x32代表数字‘2’。最后输入的回车表示为’0a’。
strtol函数:把字符串转化为长整型,存在v4里。
See_something函数:打印出指定地址的内容。
在这里插入图片描述
此程序的漏洞在strcpy函数中,dest只有0x38个长度,而src有0x100个长度,从src复制到dest会发生栈溢出。

思路

1.考虑ret2text->ret2shellcode->ret2syscall的解题思路,发现都不行。
2.此题既没有system函数,也没有/bin/sh。
3.已经执行过的函数,其真实地址一定是保存在got表里的,我们可以考虑泄漏这些函数的真实地址,再根据libc函数间的偏移关系算出system的真实地址。
在这里插入图片描述
从图中可以看到,puts函数已经执行过,got表中保存的是真实地址。(以0xf7打头的地址是libc中函数的地址,而以0x80打头的是elf文件本身的plt地址),因此我们可以泄漏puts函数地址。
(注:libc文件本来存在于磁盘上,当程序执行时会被载入到虚拟内存中,由于ASLR开着(远程主机),libc的地址会变动,但是libc中函数之间的偏移关系是不变的。)

解题

gdb调试,直接定位到第一个read处,要求输入一个地址,获得这个地址保存的内容。我们要输入got表项的地址,这个表项内存储的就是函数的真实地址。
找到puts的got表项地址:
在这里插入图片描述
转成10进制后在gdb里输入:
在这里插入图片描述
等执行到See_something时,puts的真实地址已经显露出来了:
在这里插入图片描述
可能你会问,前面got表不是已经找出puts真实地址吗?为什么还要特意把程序调试一遍通过See_something来显露地址呢?第一,远程是开着ASLR的,got表项的地址会变动,必须由程序本身得到。第二,前面的使用got一键获得函数地址是基于本地调试的,所以地址是本地libc的值。本地和远程的libc版本未必一样,因此不能直接拿来用。虽然本地调试有局限性,但是函数之间的偏移不变的。

溢出字符串长度

先生成200个字符

最低0.47元/天 解锁文章
「已注销」
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ret2libc3地址泄露
weixin_44271563的博客
03-24 1514
ret2libc3地址泄露 好难 好难₍₍ (̨̡ ‾᷄ᗣ‾᷅ )̧̢ ₎₎ 先进行代码分析 通过IDA反编译一下,分析代码; 发现本次实验不能直接运用我们之前system函数和bin/sh,所以我们要通过got表和plt表来找到system和bin/sh的准确位置,然后连接代码;最后进行getshell。 先看看别人的思路 先上个cdsn https://ctf-wiki.github.io...
什么是代码重定位
weixin_46089486的博客
10-09 662
ARM体系结构-代码重定位 一、为什么会有重定位 1、程序的运行过程就是CPU不断的从内存中取出指令,然后执行指令的过程。 2、那么CPU是如何从内存中去去这些指令的呢?当然是通过内存地址来获取。 3、以前使用单片机时,没有仔细思考过这个问题,都是认为程序是烧写到芯片内部的flash中的,也没有仔细思考过,程序是怎么跳转到flash取指令并执行的。 4、对于嵌入式系统来说,它的程序可能会比较大,超出它内部的flash大小,我们的程序无法整个放入到芯片内部的flash中;甚至有些SoC芯片内部根本就没有fla
代码重定位的理解
myselfzhangji的博客
05-20 2265
先给自己打个广告,本人的微信公众号正式上线了,搜索:张笑生的地盘,主要关注嵌入式软件开发,股票基金定投,足球等等,希望大家多多关注,有问题可以直接留言给我,一定尽心尽力回答大家的问题,二维码如下: 一 代码的组成 程序至少包含:代码段+数据段 代码段:.text 数据段:一般的全局变量,初值不为0的经过初始化的全局变量 如: char g_char ='A';...
通过给的libc泄露函数地址
zszcr的博客
03-22 5462
libc中的函数相对于libc的基地址的偏移都是确定的,如果有一道题给你了libc的文件,就可以通过libc文件泄露出system函数和binsh的地址,然后再构造payload。一般通过write()函数泄露 ,通过ELF获得write函数在got表和plt表中的地址同时获得程序start地址 构造payload payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+  p3...
pwn】orw&rop --泄露libc基址,orw
最新发布
question55的博客
12-04 172
我们先看看程序的保护的情况因为题目提示了orw,我们可以沙箱检测一下可以发现是禁用的execve函数的,接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用题目给的libc.so.6进行寻找,exp如下:from pwn import *context(os='linux',arch='amd64',log_level='debug
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
ret2libc exploit
07-07
exploit hack linux ret2libc
利用puts函数泄露libc内存信息
zszcr的博客
03-22 3038
puts函数puts的原型是puts(addr),即将addr作为起始地址输出字符串,直到遇到“x00”字符为止。也就是说,puts函数输出的数据长度是不受控的,只要我们输出的信息中包含x00截断符,输出就会终止,且会自动将“n”追加到输出字符串的末尾,这是puts函数的缺点,而优点就是需要的参数少,只有1个,无论在x86还是x64环境下,都容易调用。为了克服输入不受控这一缺点,我们考虑利用put...
实验三——ret2libc3地址泄露
wwh的博客
04-22 1945
用【checksec】查看:不存在必要的保护 查看got表信息:【readelf -r ret2libc3】 所以我决定用泄露 __libc_strart_main 的地址,来判定libc的版本 这里插入代码 from pwn import * from LibcSearcher import * context.log_level='debug' context.terminal=['gn...
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2676
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
程序运行代码动态重定位原理
biao2488890051的博客
06-29 1707
程序编译时候我们会指定一个链接地址(也就是程序定位的运行地址),编译后,cpu的pc指针指向这个地址开始执行,就时没为题的。 但是我们现在想把该段程序运行时(没法对该段程序进行再次指定地址的编译了)挪动到其它内存区域(程序动态加载功能),要想该段代码仍然能正常运行,就需要对该段代码进行重定位,而不是简单的拷贝该段代码到指定内存区域即可。 ...
10.代码重定位
广源的博客
01-08 1324
目录 1.为什么需要代码重定位? 2.Nand Flash 和Nor Flash 的区别  3. 程序段的组成 4.代码重定位思路: 5.链接脚本 6.初始化bss段数据 7.定位代码和链接脚本的改进 8.重定位全部代码 9.使用C语言编写重定位代码 源代码: 1.为什么需要代码重定位? 首先以SOC芯片S3C2440为例,他的内部结构图以及外接内存设备简图如下: C...
Ret2libc错误总结
qq_63528163的博客
08-12 285
平时做题目的错误总结
泄漏地址总结(Dynelf & LibcSearcher)
weixin_44319142的博客
04-16 2599
Dynelf泄漏modeul 32位 p = process('./xxx') def leak(address): #address指要泄露地址 #各种预处理 payload = "xxxxxxxx" + address + "xxxxxxxx" p.send(payload) #各种处理 data = p.recv(4) log.debug("%#x => %...
puts函数泄露地址
Sakura给爷pwn全场
12-17 952
CTF中的PWN——绕CANARY防护3(选择项+PUTS带出CANARY+泄露函数地址计算基地址): https://www.freesion.com/article/5901691025/ 利用puts函数泄露libc内存信息: https://www.it610.com/article/1296102748638486528.htm
泄漏libc获取shell的模板
九层台
05-15 2940
这里用一个例子来讲解文件名叫ret2libc3可以自行下载。 这里只开启了NX保护,但是这才典型。下面讲述一下正常pwn的思路。 代码很简单,漏洞也很清楚,栈溢出。 int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [esp+1Ch] [ebp-64h] setvbuf...
pwn ret2libc原理
08-22
总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址libc库中的一个函数地址,然后根据已知的函数地址libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值