PWN计算libc偏移

已于 2024-07-18 23:39:29 修改
阅读量202 收藏
点赞数 3
文章标签: linux python 安全 网络
于 2024-07-18 12:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63451318/article/details/140498350
版权

利用gdb进行计算
以帕鲁杯2024Palu为例
首先程序进行一定的运行查看stack
找到libc地址
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

查看vmmap
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

用stack地址-vmmap地址得出偏移
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

exp计算偏移
还是帕鲁杯2024Palu为例
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

已知__libc_start_main+240
所以在libc.sym中要-240

libc_base = int(io.recv(14),16) - libc.sym['__libc_start_main'] - 240


libc_base = int(io.recv(14),16) - 20840
Sagice
关注
ret2libc中system的参数地址偏移量的找法
weixin_43085694的博客
03-31 861
如果已经拿到了libc文件,那么直接用 ROPgadget --binary ./libc.XXX --string /bin/sh 可以来找到/bin/sh字符的偏移
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
pwn 更改pwnlibc保姆级教程★
最新发布
YX-hueimie
09-21 1437
现在市面上有很多关于改libc的教程,但是基本有以下几个问题:没有符号表、错误、过时、繁琐、高版本不适用。于是我找了一种最简单并且全libc通用的方法。现分享如下。
PWN题型之Ret2Libc
swedsn
03-18 5036
文章目录前言0x1 :使用前提条件0x2 :为什么要这么使用0x3 :使用方法0x4 :实例二、使用步骤总结 前言 菜鸡总结,如有不对,请指点 0x1 :使用前提条件 查看保护:开启了NX保护,但是没有开启PLE保护,可以开启canary保护。但是这样就是两种题型结合了。 打开IDA查看源代码:存在溢出条件,但是没有system函数(/bin/sh)和 flag字样。 ` 0x2 :为什么要这么使用 由于缺少system函数,所以需要构造shellcode。但是开启了NX保护(可执行的不可修改,可修改不可执
探索Libc函数偏移LibcSearcher - 资深技术主编推荐
gitblog_00023的博客
05-18 610
探索Libc函数偏移LibcSearcher - 资深技术主编推荐 去发现同类优质开源项目:https://gitcode.com/ 在网络安全领域,尤其是参加CTF(Capture The Flag)比赛时,了解和利用Libc函数的地址是关键技能之一。当你手握一个Libc中特定函数的地址,但不清楚它是哪个操作系统或是哪个版本的Libc,怎么办?这时,LibcSearcher就成为了你的得力助手...
PWN入门之libc
weixin_44681716的博客
03-24 2773
这次的实验的前提的我们不知道system和bin/sh的函数,然后通过泄露某个函数在libc表中的地址,再加上这几个函数的偏移量来计算system和bin/sh的地址,最后将这个地址覆盖到ret上,以便能跳至我们想要的函数,最终获得shellcode 我们还是以pwn举例 1、 ...
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
libc-database:建立libc偏移量数据库以简化开发
04-01
建立一个libc偏移量数据库 如果您遇到错误,请检查下面的“要求”部分。 获取所需的libc类别并提取符号偏移量。 它不会下载任何东西两次,因此您也可以使用它来更新数据库: $ ./get # List categories $ ./get ...
pwn】未知libc版本利用的一个蠢方法
Nothing
08-17 1480
前几天看了一道题,题目本身还是比较常规的,这题的预期解法是通过_dl_runtime_resolve来做的。但我就是想用栈溢出+栈迁移碰一碰,整了半天就差onegadget地址了,查了一下libc search发现找不到对应的版本,可能出题人就是想用一个比较偏的libc版本把这条路封死,但我最后还是硬怼出来了。以后如果遇到了数据库中找不到对应的libc版本的时候可以尝试一下这种方法(当然ctf题中一般不会出个很偏的libc版本)。 条件:1.libc中的一个任意地址(通过泄露got表就可得到)。2.可以通过
pwn 获取函数/字符串相对偏移
weixin_44932880的博客
11-10 601
readelf -s file 获取程序的函数,变量相对偏移 readelf -s /lib/x86_64-linux-gnu/libc.so.6 |grep "system@@GLIBC_2.2.5" 查看system函数相对库的偏移 readelf -S file 程序段表 -s 程序符号表 -S 段表 -h 文件头显示ELF文件头 -l 程序标题显示程序标题 -e 相当于:-h-l-S -t 段表细节 --dyn-syms 显示动态符号表 -n 显示内核注释 -r 显示
pwn-ret2libc基础
admin的博客
10-04 1006
题源:基本 ROP - CTF Wiki (ctf-wiki.org)ret2libc的例三 这题的特点是:没有system,没有bin/sh。但是有puts,和gets函数。碰到gets函数基本上又是栈溢出大类中的题目。 ①先检查保护 ②:计算system和bin/sh的实际地址。 核心公式就是:函数真实地址=基地址+偏移量 那么我们如何得到 system 函数的地址呢?这里就主要利用了两个知识点 ①system 函数属于 libc,而 libc.so 动态链接...
3.pwn入门新手做无system泄露libc.so版本攻防世界pwn100 pwn200(dynelf 、libsearcher与got表plt表解)
qiudalaojiao的博客
02-12 2075
第一步:基地址 = 实际地址(泄露的got地址) – libc中对应函数的偏移 第二部:目的函数地址 = 基地址 + libc中对应函数的偏移 Dynelf 查找函数地址的典型方法是从泄漏的同一个库中的另一个函数的地址计算到所需函数的偏移量,然而,要使这种方法有效地工作,gLibc的远程服务器版本需要与我们的相同。我们还可以通过泄漏一些函数并在libcdb.com中搜索找到gLibc的远程版本,但...
PWN做题笔记9-dice_game(调用libc库方法)
qq_40923256的博客
04-26 635
本题与“4”没有本质区别,这里说一下数组在栈中的存放以及libc库方法直接调用 buf数组大小55,但是读了0x50即80个字节,存在溢出 栈中数组元素存放如下: 因此构造payload覆盖seed地址变为0 可以利用ctypes库直接调用libc库中的方法。 代码如下: from pwn import * from ctypes import * p=remote("111.200.241.244","55029") payload=b"a"*0x40+p64(0) p.s.
Linux PWN技巧之栈迁移
小小鱼的博客
02-16 1887
简介 栈迁移简单将就是控制EBP/RBP、ESP/RSP寄存器,让栈帧指向一段我们可以控制的内存,从而实现控制栈上执行内容、控制程序执行流程的目的。 栈迁移一般会将栈帧指向bss段(其他可读写内存段也可以),这种技巧是为了解决栈上空间太小,不够写入完整payload的情况。比如有个程序存在栈溢出的漏洞,但溢出的长度不够,只够覆盖到返回地址,不能读入完整的rop链,这种情况就可能要用到栈迁移的技巧了 利用介绍 以32位程序为例,描述一下栈迁移的核心思想。 首先要理解leave和ret汇编指令的作用: lea
[CTF]PWN--新人入门第一关--Ret2libc
2301_79880752的博客
02-29 1357
首先我们需要找到pop rdi|ret这个指令在程序中的位置(前面提到该指令为程序中自带的,只不过需要我们去寻找),然后让程序返回到pop rdi|ret这个指令上去执行它,通过ROPgadget --binary pwn --only 'pop|ret' 该指令来寻找pop |ret这个指令的地址,其中ROPgadget为一个插件,需要自己下载,binary意思为一个二进制文件,后面跟着的是文件名,only后面跟着的为要搜索的命令地址。
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 709
pwn 64位 泄露libc版本
pwn学习笔记(4)ret2libc
qq_66013948的博客
02-19 1327
​ 静态链接是由链接器在链接时将库的内容加入到可执行程序中的做法。链接器是一个独立程序,将一个或多个库或目标文件(先前由编译器或汇编器生成)链接到一块生成可执行程序。这里的库指的是静态链接库,Windows下以.lib为后缀,Linux下以.a为后缀。​ 也就是说将静态链接库中的所有的函数都写入这个ELF文件中,所以会造成该二进制文件极为庞大,因此也会存在很多的可供利用来ret2syscall的gadgets。但是,使用静态链接生成的可执行文件体积较大,包含相同的公共代码,造成浪费。
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
Bossfrank的博客
12-08 9232
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。
PWN 更换目标程序libc
yongbaoii的博客
12-29 4981
网上这方面我感觉还是比较少的,在这里把我的方法拿出来防止大家踩坑。 这一块知识不大懂的推荐去看《程序员的自我修养》第八章共享库那一章节。 我们换libc的原因是在调试程序的时候我们本地的libc可能跟远程计算机上的libc不一样,不是可能,基本上都不一样,那么我们程序加载libc之后里面的一些函数的偏移地址就会跟我们想的不一样,从而导致脚本不停出错。那么就需要我们去把程序所链接的libc从本地libc更换成远程服务器上的libc。 原理简单的说就是用patchelf把程序依赖libc的那个软连接改一下,或者
pwn ret2libc原理
08-22
总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sagice

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值