pwn的一些技巧

已于 2022-09-05 19:42:18 修改
阅读量1k 收藏 2
点赞数 1
分类专栏: CTF训练 Linux PWN 文章标签: 安全 PWN linux
于 2022-09-02 21:28:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/126670670
版权
CTF训练 同时被 3 个专栏收录
46 篇文章 14 订阅
订阅专栏
Linux
37 篇文章 0 订阅
订阅专栏
PWN
37 篇文章 3 订阅
订阅专栏

目录

glibc-all-in-one:使用目标主机的libc进行调试

要使用目标主机的libc,要获得目标主机的libc文件和ld文件,这里使用glibc-all-in-one
glibc-all-in-one下载:

sudo git clone https://github.com/matrix1001/glibc-all-in-one.git #也可以自行去官网下载然后解压
cd glibc-all-in-one/

glibc-all-in-one安装

sudo python3 update_list
[+] Common list has been save to "list"
[+] Old-release list has been save to "old_list"

list 查看可以安装的glibc版本
在这里插入图片描述
下载所需要的glibc版本:

sudo ./download 2.34-0ubuntu3_amd64  #这个因人而异了 看你需要哪个版本

exp脚本使用:

libc_file = "/home/kali/Desktop/pycahrm_project/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so"
ld_file = '/home/kali/Desktop/pycahrm_project/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/ld-2.23.so'
ENV = {"LD_PRELOAD":libc_file}
io = process([ld_file,"./babyheap_0ctf_2017"],env=ENV)

recvuntil()获取6字节地址

虽然在64位计算机中,一个地址的长度是8字节,但是实际上的计算机内存只有16G内存以下,所以一般的地址空间只是用了不到 2^48 的地址空间。因此实际的操作系统中,一个地址的最高位的两个字节是00,而且实际栈地址一般是0x7fxxxx开头的,因此为了避免获取错误的地址值,只需要获取前面的6字节值,然后通过ljust函数把最高位的两字节填充成00。 我们可以用这种一般的写法:

u64(p.recv(6).ljust(8, "\x00"))
u64(io.recvuntil('\x7f')[-6:].ljust(0x8,b'\x00'))

ROPgadget的使用

ROPgadget --binary babyrop2 --only "pop|ret"
ROPgadget --binary babyrop2 --only "pop|ret" | grep rdi

one_gadget安装和使用

one_gadget是libc中存在的一些执行execve("/bin/sh", NULL, NULL)的片段,当可以泄露libc地址,并且可以知道libc版本的时候,可以使用此方法来快速控制指令寄存器开启shell。
安装
相比于system("/bin/sh"),这种方式更加方便,不用控制RDI、RSI、RDX等参数。运用于不利构造参数的情况。

sudo apt -y install ruby
sudo gem install one_gadget

使用
在这里插入图片描述

通过已给出的libc找相关地址

# 寻找libc基址:某函数真实地址-libc函数的偏移地址
libc_base = read_addr - libc.symbols["read"]
# 通过libc找字符串地址
str_bin_sh = libc_base + next(libc.search(b'bin/sh'))

IDA快捷键

  • n:修改函数名
  • ctrl + s:查看各段地址
Mokapeng
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
one_gadget:在libc.so.6中找到一个小工具RCE的最佳工具
02-05
小工具 在进行ctf pwn挑战时,我们通常需要一个小工具RCE(远程代码执行),这会导致调用execve('/bin/sh', NULL, NULL) 。 这个宝石提供了这种小工具查找器,无需像傻瓜一样每次都使用objdump或IDA-pro :winking_face: 要使用此工具,请在命令行中键入one_gadget /path/to/libc并享受其中的魔力 :grinning_squinting_face: 安装 在RubyGems.org上可用! $ gem install one_gadget 注意:需要ruby版本> = 2.1.0,可以使用ruby --version进行检查。 支持的架构 i386 amd64(x86-64) a
pwntools之recv,send方法的理解
热门推荐
hanqdi_的博客
07-06 1万+
pwntools学习 一般在做pwn题,写利用脚本时,会用到recv,send等函数,之前我理解问什么send,不理解recv的作用,现在通过一道题目理解了。下面详细讲解下recv及send的作用。 remote(“一个域名或者ip地址”, 端口) 会连接到我们指定的地址及端口。 然后该函数会返回remote对象 (这里,我们将该对象保存到了变量 c)。remote对象主要用来进行对远程主机的输入输出。 主要方法有: 接收远端传回的数据 interactive() : 在取得shell之后使用,直接进行交
PWN PWN PWN !!! 技巧 (4)
Xzzzz911的博客
10-29 890
紧接上述技巧(1),技巧(2)和技巧(3),这次总结一些常用的命令,重定向和一些整数溢出需要了解的知识点,还有一些接收发送的命令多做多总结,慢慢的要开始进攻堆了,加油加油,冲冲冲!!!
[PWN][补充篇]pwntools的相关知识
网络安全知识分享
03-28 1766
@TOC 0x0 安装 sudo pip install pwntools 0x1 导入包 from pwn import* 0x2 链接远程服务器或者链接本地文件 远程 r = remote(‘目的IP或目标URL’,目标端口号) 本地 r = process('./文件名') 0x3 接收远端回传的数据 interactive() //在取得shell之后使用,直接进行交互,相当于回到shell的模式 recv(numb = 字节大小,timeout = default) //接收指定字节数
pwn到天亮之初阶知识汇总
m0_55906008的博客
04-10 1082
​面向返回编程ELF(Executable and Linkable Format)文件是Linux环境中的一种二进制可执行文件。elf的基本信息存在于elf的头部信息中,这些信息包括指令的运行框架、程序入口等,可以通过来查看头部信息。elf文件中包含许多节(section),各个节中存放不同的数据,这些节的信息存放在节头表中,可用readelf -S。
pwn的一些基础.pdf
04-02
pwn入门的一些基础
welpwn pwn 入门题
02-11
pwn 入门题
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
攻防世界pwn新手练习区通关教程
锋刃科技的博客
05-19 3693
when_did_you_born 我们通过溢出来覆盖v5为1926即可 代码块 from pwn import * r = remote("124.126.19.106",31534) payload = 'a'* (0x20-0x18) +p64(1926) r.recvuntil("What's Your Birth?\n") r.sendline("2000") r.recvuntil("What's Your Name?\n") r.sendline(payload) print r.re
PwnTool库 IO模块
SkYe's Blog
08-15 618
PwnTool库 IO模块 IN recv(numb=4096, timeout=default) : 给出接收字节数,timeout指定超时;也就是接收够字节数&到时间就停止 recvuntil(delims, drop=False) : 接收到delims的pattern (以下可以看作until的特例) recvline(keepends=True) : 接收到\n,keepen...
pwntools
ca1m4n的博客
08-09 379
pwntools学习笔记 from pwn import * 常用模块 asm : 汇编与反汇编,支持x86/x64/arm/mips/powerpc等基本上所有的主流平台 dynelf : 用于远程符号泄漏,需要提供leak方法 elf : 对elf文件进行操作 gdb : 配合gdb进行调试 memleak : 用于内存泄漏 shellcraft : shellcode的生成器 tubes : 包括tubes.sock, tubes.process, tubes.ssh, tubes.serial
【逆向学习记录】Pwntool常用的数据处理方式
卦星的专栏
05-26 4225
1 概述 偶尔在pwn的题目中,使用pwntool工具,由于不熟练,经常性遗忘,尤其是接收地址的时候,会卡在数据处理上,因此单独起一篇文章,用来记录日常用到的各种问题。 参考文章: PwnTools常见用法 Pwntool 官方文档 2 数据处理方式 2.1 发送数据 send(payload) 发送payload sendline(payload) 发送payload,并进行换行(末尾\n) s...
one_gadget的安装与使用
weixin_62675330的博客
03-04 4034
0x0 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 没有ROP_gadget的赶快了。 ROP_gadget 下载安装与使用 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 one_gadget 是libc中存在的一些执行execve(“bin/sh",NULL,NULL)的片段。当我们知道libc的版本,并且通过信息泄露得到libc的基址,就可以通过控制EIP/RIP( 覆盖.go
Pwn 相关工具使用
潜心习安全
07-12 2388
ctf pwn 中使用的简单工具
Ubuntu下pwn环境搭建
m0_52249553的博客
05-03 1930
首先使用一下指令查看下自己虚拟机上有没有安装系统的时候就装好的。这是一个师傅自己写的libc查找脚本,我们安装一下,方便以后找libc偏移,在tools目录下使用如下指令安装。,因为python2下的pwntools已经不更新了,所以这里用的是python3版本。为了使我们后续安装软件的时候会顺一些,先换一下软件源,可以选择清华的源。文件备份一下,然后将里面清空,将下面的地址复制进去。安装步骤没什么好说的,保持默认总不会错,不会的可以百度亿下。然后更换pip源,这里我使用的还是清华的源。
2021/10/18-如何调试pwn的exp或payload
个人笔记
10-19 1661
《2021年10月18日》 【连续第18天总结】 首先需要明白的是,你调试的exp.py是你输入的内容(即程序获取用户输入的信息)。 通过exp.py脚本与程序交互执行你的输入,跟手动一次次输入并无两样,所以想通过下断点调试查看你希望看到的具体位置数据的方法是一样的。 pwn调试小技巧 pwntool工具中一些好用的模块 context.log_level="debug" //输出显示调试信息,即用户输入与程序交互的信息 context.terminal = ["tmux","splitw","-h"]
5.pwn入门新手 简单练习gdb调试
qiudalaojiao的博客
02-17 1718
#gdb命令 (1)frame n: 查看第n桢的信息, frame可以用f缩写 (2)frame addr: 查看pc地址为addr的桢的相关信息 (3)up n: 查看当前桢上面第n桢的信息 (4)down n: 查看当前桢下面第n桢的信息 https://blog.csdn.net/wang_xya/article/details/46011019 这位大佬的命令更为详细 #include...
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术...BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值