从0ctf2018 babystack学习return to dl-resolve

最新推荐文章于 2024-05-16 14:52:00 发布
最新推荐文章于 2024-05-16 14:52:00 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: 练习 ROP CTF-PWN-栈溢出 文章标签: return to dl-resolve
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40850881/article/details/80211762
版权

0x01程序分析

首先查看main函数,比较简单,调用了alarmsub_80483B,进入sub_80483B看看。


sub_80483B的作用是读取0x40个字节到ebp-40处,这里显然存在栈溢出漏洞。

发现只开了一个栈不可执行,于是想构造rop链。但是整个文件搜索下来也没有发现什么有价值的gadget。


0x02  return to dl-resolve知识学习

玩过pwn的赛棍都知道,pwn题一般都会提供一个libc文件用于泄露函数的地址,在这里介绍一个不依赖于libc的方法。

这里还是以我们的0ctf2018 babystack为例进行讲解。

我们知道,在ELF文件中,库函数的调用都是延迟绑定的,例如当第一次执行printf时,首先是将printf的地址解析出来填到printf的got表项中,第二次运行时,直接根据printf的got表里面的地址调用相应函数,称为延迟绑定。

查看ELF文件.dynamic section里面的运行时函数解析地址:


其中JMPREL保存的是.rel.plt 表的入口地址,该表用于运行时函数重定位

来看一下.rel.plt表中的内容。PLTRELSZ是.rel.plt表的大小为24字节,RELENT为每个.rel.plt表项的大小为8字节,所以.rel.plt中有3个表项。

这些表项为ELF32_Rel类型的数据结构。其中r_of

最低0.47元/天 解锁文章
_极目楚天舒
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0ctf2018-babystack_writeup
CabbageWind的博客
08-17 869
题目:0ctf2018-babystack 检查保护机制: 可以看到程序只提供了NX保护。 在IDA中进行反编译,发现一个可读的位置,存在栈溢出漏洞,可能可以利用: 使用peda计算read位置的偏移: 得到read位置距离返回地址的偏移为44,比read的长度0x40小,说明栈溢出漏洞可直接被利用。 查看文件ELF表 通过elf表中查看得知程序中不存在system函数,无法直接跳转;也不存在输出函数,无法打印got表地址。 查看vmmap 通过vmmap可以看到bss段可
ELF文件详解
热门推荐
PeakJin的博客
03-28 1万+
一、ELF概述 1、ELF的定义 ELF(Executable and Linkable Format)文件是一种目标文件格式,常见的ELF格式文件包括:可执行文件、可重定位文件(.o)、共享目标文件(.so)、核心转储文件等。 ELF主要用于Linux平台,Windows下是PE/COFF格式。 2、ELF文件的结构 一个完整的ELF文件一般会包括如下几个内容:ELF头、Section头、Segment头和Section。 其中由Section头组成的集合称为Section头表,...
H&NCTF ——baby_python
最新发布
Nike_name的博客
05-16 955
半成品——python反序列化
pwnabletw-babystack
qq_41667316的博客
12-25 1733
BabyStack 思路 危险函数,strcpy。 在copy的时候strcpy看似没有问题,但是由于src的内容并没有清空,还保存着被销毁栈的原有数据,而strcpy是根据"\x00"来判定的,所以造成了栈溢出。 login的限制可以用"\x00"绕过。 首先通过login函数中的strcmp,把canary值爆破出来。 然后利用copy函数栈上的垃圾数据中保存的一些libc的相关地址,将其拷贝到canary的地址,然后继续爆破,就可以得到libc的机制。 给了libc,一发one_gadget。 e
[HarekazeCTF2019]baby_rop2 wp (python3)
Kata_Jhin的博客
05-21 142
而我们用到的format,是很大依托的,所以需要用recvutil,64下的地址开头基本上都是"\x7f"所以就可以把它当做标识符,因为是小端序,所以我们从-6开始正序读取(-6标识符下的第一个数字是-1)比较明显的libc,因为是64位程序,所以需要‘’pop+参数数据add的‘’形式,不然不符合64的函数调用约定,这里泄露就直接使用主函数的那个存在%s的字符串。因为是全路径检索,后面的permission denied是没权限的意思,结果太多我一来没看见第一行的查询找到的结果(阿西....)
baby python
2301_79935671的博客
03-25 539
原题wp参考链接:https://www.cnblogs.com/karsa/p/13529769.html。伪造,直接jwt.io伪造不了,需要SECRET_KEY。ssh连上查文件/app/y0u_found_it/y0u_found_it_main.py。解题思路是软链接zip读取文件,然后伪造admin的session读取flag。所以用软连接读取/sys/class/net/eth0/address。首先下载secrets模块,secrets模块可以提供比较强的随机数。导入secrets模块。
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-All-In-One 2018.1.24
01-24
CTF-All-In-One 2018.1.24 CTF-All-In-One 2018.1.24 CTF-All-In-One 2018.1.24
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
ctf-all-in-one
01-30
ctf-all-in-one
[柏鹭杯 2021]baby_python
liaochonxiang的博客
03-19 308
可见核心代码在baby_core.pyc中,也就是在baby.exe_extracted\PYZ-00.pyz_extracted\baby_python中。pyinstxtractor解包,发现需要python3.7本版,不然解出来了,会发现PYZ-00.pyz_extracted文件夹中什么也没有。会有许多报错,也是正常的,因为PYZ-00.pyz_extracted目录下的文件被加密了。baby_python\baby_core.pyc.encrypted也是被加密的。接下来写个文件解密脚本。
[SHCTF 2023 校外赛道] pwn
weixin_52640415的博客
10-30 324
有19道题这么多,不过基本是入门题,都是在骗新生,看这么容易快来PWN吧!
关于buuctf[OGeek2019]babyrop 1的一些些小结
Probeginner的博客
11-25 662
首先对于题目分析: 正常的32位小端序,checksec一下发现开了NX…………算了直接进正题。1.open函数的返回值,如果执行成功,他将返回一个文件描述,如果失败,他将返回-1.这里显然是成功了 2.文件描述符:0,1,2:是标准I/O输入、输出、错误。这里open执行成功了会返回3。 3.此时read(fd,&buf,4u)的意思是把fd指向的那个随机数输入buf中。 这里需要注意的是:strcmp函数可用“\x00”来截断,进而覆盖下面的v5变量,随后让 第二个read函数读入的“a1”
2021 DASCTF八月挑战赛
weixin_43610673的博客
08-30 2785
babypython[国赛总决赛复现] 看着像是[HCTF 2018]Hide and seek 这题改的,和[CISCN2019 华东南赛区]Web4的加密SECRET_KEY的方式也一样 进去提示要变admin,想到session伪造,直接jwt.io伪造不了,需要SECRET_KEY。上传文件只能为zip ,软链接zip 读取文件。 ln -s /etc/passwd passwd zip --symlinks passwd.zip passwd 读取/proc/self/environ提示bad
pwnable tw BabyStack writeup
charlie_heng的专栏
03-02 1538
这题做得好难受….. 首先漏洞很明显是strcpy那里,可以strcpy超过0x3f个字符串 然后login,以\x00开头的话,就可以过login了 一开始我是想先泄漏程序的其中一个地址,然后利用stackOverflow 来rop一波的,然后发现,strcpy只能复制到\x00前,所以只能用one_gadget 来一发get shell 但是这里还有canary要过,这里很明显就是利用...
"CTF工具总结与故障解决2023-10-29
本篇文章将围绕CTF-工具相关的话题进行总结介绍。主要涵盖的内容有工具总结、各种工具的使用方法以及一些实用技巧。其中的主要工具包括.idea、VS code、Python、Flask、Node.js、Docker、PhpStorm、PIP、Node.js、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值