泄漏地址总结(Dynelf & LibcSearcher)

最新推荐文章于 2024-04-02 09:56:36 发布
最新推荐文章于 2024-04-02 09:56:36 发布
阅读量2.6k 收藏 9
点赞数
分类专栏: 任务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44319142/article/details/89329728
版权
本文介绍了 Dynelf 泄漏模块在32位和64位程序中的使用,重点讨论了利用write函数泄露system地址的过程,并通过LibcSearcher获取libc版本。32位条件下,需要目标程序有信息泄露漏洞且能反复触发。64位部分,提供了一个实用模板。通过示例和链接到的论坛讨论,读者可以更深入理解地址泄漏技术。
摘要由CSDN通过智能技术生成

Dynelf泄漏modeul

32位

p = process('./xxx')

def leak(address): #address指要泄露的地址
  #各种预处理
  payload = "xxxxxxxx" + address + "xxxxxxxx"
  p.send(payload)
  #各种处理
  data = p.recv(4)
  log.debug("%#x => %s" % (address, (data or '').encode('hex')))
  #print "%#x => %s" % (address, (data or '').encode('hex'))
  return data
  
d = DynELF(leak, elf=ELF("./xxx"))     
 #初始化DynELF模块 
systemAddress = d.lookup('system', 'libc')  
#在libc文件中搜索system函数的地址

主要使用条件:

1)目标程序存在可以泄露libc空间信息的漏洞,如read@got就指向libc地址空间内;

2)目标程序中存在的信息泄露漏洞能够反复触发,从而可以不断泄露libc地址空间内的信息。

这里利用write函数泄露system地址

①从内存中dump出4字节数据(system地址),函数执行结束后返回main函数重新执行
②补充知识点,write函数原

最低0.47元/天 解锁文章
Xuan~
关注
专栏目录
pwn栈溢出之dltest(DynELFlibcSearcher利用)
weixin_44113469的博客
02-15 1270
栈溢出dltest解题步骤 思路分析:观察源码,是个栈溢出。没有system函数,也没有给libc库,但有read函数和write函数。可以借助DynELF泄露函数地址,定为system地址,然后借助read函数写入“/bin/sh”,并调用执行system(“/bin/sh”) 0x01 ...
CTF泄漏libc基址的方法
liucc09的博客
01-05 4086
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
Jarvis OJ-pwn level4(利用DynElf泄漏system地址
hanqdi_的博客
02-07 241
pwn level4 借助DynELF实现无libc的漏洞:这篇讲的挺好 检查保护机制 ida打开文件,发现read函数栈溢出漏洞,想要用ret2libc解决,但是在漏洞函数前没有其他函数执行,所以不能进行泄漏函数得到libc版本。 在无libc情况下,通过DynELF进行泄漏system函数。有了system地址,但是没有binsh字符串,这里可以通过read函数,从标准输入,写到bss...
什么是代码重定位
weixin_46089486的博客
10-09 704
ARM体系结构-代码重定位 一、为什么会有重定位 1、程序的运行过程就是CPU不断的从内存中取出指令,然后执行指令的过程。 2、那么CPU是如何从内存中去去这些指令的呢?当然是通过内存地址来获取。 3、以前使用单片机时,没有仔细思考过这个问题,都是认为程序是烧写到芯片内部的flash中的,也没有仔细思考过,程序是怎么跳转到flash取指令并执行的。 4、对于嵌入式系统来说,它的程序可能会比较大,超出它内部的flash大小,我们的程序无法整个放入到芯片内部的flash中;甚至有些SoC芯片内部根本就没有fla
gyctf_2020_some_thing_interesting(fmt泄露libc,doublefree)
m0_51251108的博客
11-13 471
gyctf_2020_some_thing_interesting: 保护全开 漏洞分析: 字符串只比较到第14个,还有5个我们可以任意填 这里有个格式化字符串漏洞 指针未清零 漏洞利用: gbd调试可以看到偏移的地址指向啥,例如偏移17,指向__libc_start_main+240,我们靠此泄露libc 再利用doublefree,分配chunk到malloc_hook-0x23中,改malloc_hook为og 去getshell exp: 这题free时会释放两个堆,甚至帮我们绕过doubl
pwn libcDynelf工具
清霂的博客
04-02 551
目录pwn-100pwn-200welpwn Dynelf工具可以根据泄露出的地址找到相应libc版本的其他函数地址,但缺点时不能查找字符串也就是"/bin/sh"的地址,所以找到system函数后,往往还需要找到一个可写的地方用read函数读取"/bin/sh" pwn-100 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="amd64", log_level="debug") contentt = 1 #elf e
pwn篇:攻防世界进阶welpwn,LibcSearcher使用
weixin_44644249的博客
02-10 933
攻防世界welpwn 这题主要是考无Libc泄露地址,在没有Libc的情况下,可以使用LibcSearcher进行动态匹配,匹配完成后会给出选项,选择libc的版本即可。如果不知道版本可以一个个试。 安装LibcSearcher git clone https://github.com/lieanu/LibcSearcher.git 文件有点大,100多Mb 配置LibcSearcher,可以直接install,会自动build cd LibcSearcher python setup.py instal
XCTF pwn-100(使用DynELF)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-14 344
from pwn import * #p = process("./pwn-100") p = remote("111.198.29.45",37259) elf = ELF("./pwn-100") read_got = elf.got['read'] puts_plt = elf.plt['puts'] start = 0x400550 pop_rdi = 0x400763 #ROPgad...
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 700
pwn 64位 泄露libc版本
LibcSearcher
01-18
github上的LibSearcher经常下载失败,手动上传一个
LibcSearcher.zip
06-09
项目地址:https://github.com/lieanu/LibcSearcher,因为依赖于庞大的https://github.com/lieanu/libc-database,大概有490M左右
pwn学习--LibcSearcher
热门推荐
gclome的博客
04-11 1万+
以上一篇ret2libc绕过地址随机化的代码为例,一般在我们做题的时候没法查看 libc 的版本之类的,连上服务器后就是程序运行起来的情况,那这时候就需要新的知识来解决了 LibcSearcher,可以通过它来找出偏移,此时依旧开启ASLR LibcSearcher安装: git clone https://github.com/lieanu/LibcSearcher.git cd LibcSea...
探索LibcSearcher:C语言库搜索利器
最新发布
gitblog_00057的博客
04-02 514
探索LibcSearcher:C语言库搜索利器 去发现同类优质开源项目:https://gitcode.com/ 是一个强大的开源工具,专为C语言开发者设计,用于快速、准确地查找和比较各种libc库中的函数实现。它旨在简化调试过程,提高开发效率,让开发者能够更深入地理解和利用标准库。 技术分析 LibcSearcher 使用现代软件工程原则构建,采用Python编程语言编写。其核心功能是通过爬取互...
LibcSearcher的使用
Sakura给爷pwn全场
12-03 1456
BUUCTF ciscn_2019_c_1 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvline() sla=lambda x,y:io.sendlineafter(x,y) io=remote('xxx',xxx) elf=ELF('
LibcSearcher--匹配libc版本的神器
Assassin
04-06 9511
文章目录**一、简介****二、安装****版本一:本地判断libc的方法****版本二:在线使用webAPI的方式****三、关于本地libc文件的更新问题****四、使用方法** 一、简介 LibcSearcher是python的一个库,用于解决pwn中不明libc版本的情况,可以根据泄露的某函数地址,推测服务端使用的libc版本,是做题必备的神器。 根据网上的版本,我总结两个可以利用的方法 二、安装 版本一:本地判断libc的方法 使用原作者的版本即可,安装指令如下 git clone https
LibcSearcher报错:no matched libc,please add more libc or try others
qq_40889704的博客
05-09 3693
今天在CTF-wiki上学习缓冲区溢出攻击中的ret2libc 在编写攻击代码时,用到了一个名为LibcSearcher的库,来确定libc中某个函数的地址。 这里先给出库的链接:https://github.com/lieanu/LibcSearcher 但是按照wiki上给出的例子编写好攻击代码,在运行时报错了: no matched libc,please add more libc or try others 大概意思是找不到匹配的libc版本库。 进到LibcSearcherlibc-data
堆溢出
weixin_44319142的博客
04-23 3208
原理 堆溢出是指程序向某个堆块中写入的字节数超过了堆块本身可使用的字节数(之所以是可使用而不是用户申请的字节数,是因为堆管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),因而导致了数据溢出,并覆盖到物理相邻的高地址的下一个堆块。 不难发现,堆溢出漏洞发生的基本前提是 1、程序向堆上写入数据。 2、写入的数据大小没有被良好地控制。 思路主要是 1、覆盖与其物...
攻防世界——pwn(1)
weixin_44319142的博客
04-08 2879
get_shell
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值