puts函数泄露地址

最新推荐文章于 2025-03-15 21:15:46 发布
原创 最新推荐文章于 2025-03-15 21:15:46 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客介绍了CTF中PWN绕CANARY防护的方法,包括选择项、PUTS带出CANARY、泄露函数地址计算基地址,还给出了利用puts函数泄露libc内存信息的相关链接。
pwn刷题num47---off by one 修改size大小,造成堆块重叠,控制chunk内容指针,泄露函数真实地址,修改got表,调用system
tbsqigongzi的博客
05-04 598
BUUCTF-PWN-hitcontraining_heapcreator 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表仍可写 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE----函数地址为真实地址 动态链接 运行一下试试 功能基本上就是 1. 创建堆 2. 编辑堆 3.显示堆 4.删除堆 5.退出 ida看一下伪代码 主函数就是根据选择调用不
CTF中的PWN——绕canary防护3(puts带出canary 泄露函数地址计算基地址
壊壊的诱惑你的博客
10-14 2712
前言: 想要学好pwn,首先要看懂wp。此题断断续续占用了我两三天,原谅我太菜了。此题为攻防世界的babystack。金丝雀前文叙述过,此处不再阐述,绕过的首选办法就是想办法得到canary的值,因为程序每次load的时候canary都不同,但是一个进程中的所有方法的金丝雀的值都相同。得到canry的值后构造payload即可。 题目:babystack-攻防世界 file及...
利用puts函数泄露libc内存信息
zszcr的博客
03-22 3333
puts函数puts的原型是puts(addr),即将addr作为起始地址输出字符串,直到遇到“x00”字符为止。也就是说,puts函数输出的数据长度是不受控的,只要我们输出的信息中包含x00截断符,输出就会终止,且会自动将“n”追加到输出字符串的末尾,这是puts函数的缺点,而优点就是需要的参数少,只有1个,无论在x86还是x64环境下,都容易调用。为了克服输入不受控这一缺点,我们考虑利用put...
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2933
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
RCTF - Exploitation 200 welpwn - writeup
HiTaQini
12-02 3084
RCTF 2015 welpwn 200 linux 64位 栈溢出 ROP + leak libc
栈溢出总结之基础ROP
weixin_45097188的博客
02-28 727
ret2text 原理:ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 例子 仅开了NX栈不可执行保护...
pwn(无system函数下的栈溢出漏洞利用 | 【puts函数
weixin_43742794的博客
08-09 3860
pwn100及exp 首先用checksec看一下权限的情况 扔进ida64发现是一个栈溢出漏洞,但是并没有system函数和/bin/sh可以使用 这里需要用到一个DynELF类 具体细节可以参见这篇文章 https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&highlight=pwn 核心思路是通过DynELF泄...
ret2libc续(一)——地址泄漏
qq_41560595的博客
12-30 1956
思路 libc文件本来存在于磁盘上,当程序执行时会被载入到虚拟内存中,由于ASLR开着(远程主机),libc的地址会变动,但是libc中函数之间的偏移关系是不变的。
关于ret2libc 的泄露 puts(64位)+write(32位)
zhuo1358的博客
04-05 1616
这里提醒一下读者,一定要注意数据的接收顺序来编写recvuntil,笔者在这里卡了好久。这里还要注意栈对齐,要用寄存器多绕一步来维持栈平衡。开始找算偏移和构造system和binsh 的地址。同样还是找不到system 也没有flag等字符。也没有flag的字符,初步认为要泄露libc。很简单 read 函数存在明显的栈溢出。用ROR-gadget寻找合适的寄存器。这里要注意write函数要传入三个参数。接下来开始payload的构造。泄露地址之后开始寻找版本。泄露出read的真实地址
ret2shellcode 的泄露puts@got表
wing_7的博客
10-08 1318
现在rip在main+4处没执行puts,执行puts 后可以看到puts_got=> 0X601018里保存的是0X7FFDAA4E5430,可以使用ni si 进行调试看是否前后值有变化。手动设置栈上的值 发现 pop_rdi_ret设置的值 变换为0x4006f3 =》0x7fff004006f3(原因不明)发现read@got.pltb保存了read函数的blic中的地址。call read—> read的plt表 —>read的got表。jmp到的其实这是plt表对应函数的got表。
puts函数
命运只负责洗牌,但玩牌的是我们自己。
03-06 324
前面在输出字符串时都使用printf,通过“%s”输出字符串。其实还有更简单的方法,就是使用 puts() 函数。该函数的原型为: #include <stdio.h> int puts(const char *s); 这个函数也很简单,只有一个参数。s可以是字符指针变量名、字符数组名,或者直接是一个字符串常量。功能是将字符串输出到屏幕。输出时只有遇到 ‘\0’ 也就是字符串结束标志...
什么是代码重定位
weixin_46089486的博客
10-09 814
ARM体系结构-代码重定位 一、为什么会有重定位 1、程序的运行过程就是CPU不断的从内存中取出指令,然后执行指令的过程。 2、那么CPU是如何从内存中去去这些指令的呢?当然是通过内存地址来获取。 3、以前使用单片机时,没有仔细思考过这个问题,都是认为程序是烧写到芯片内部的flash中的,也没有仔细思考过,程序是怎么跳转到flash取指令并执行的。 4、对于嵌入式系统来说,它的程序可能会比较大,超出它内部的flash大小,我们的程序无法整个放入到芯片内部的flash中;甚至有些SoC芯片内部根本就没有fla
pwn-内存泄漏one_gadget
leeham的博客
08-22 6028
pwn-内存泄漏/one_gadget 题目描述 题目可以下载到本地 https://github.com/LeeHaming/CTF-learn/blob/master/Caniso/Casino 解题思路 1.IDA分析函数逻辑 F5; 热键F5可以看到反汇编之后的程序逻辑;结合函数实际运行情况,可以得到这样的函数流程图: 此外我们可以找到修改mone...
Pwn 中 write、read、puts 函数的利用详解
a12sj_的博客
02-08 810
调用者负责清理栈空间(如。需预留32字节"影子空间"(Shadow Space):前6个参数通过寄存器传递,后续参数压栈。在关键函数/系统调用处设置断点。调用时需对齐栈到16字节边界。修改寄存器值测试漏洞利用(如。结合反汇编分析参数传递路径。单步跟踪观察寄存器变化。
记一次赛题--保护全开
qq_73149934的博客
01-17 489
记一次赛题--保护全开
ctfpwn ret2系列总结
2301_79882409的博客
03-15 1015
自己平时记录的,可能有点乱,不过尽量整理条理清晰,供各位师傅方便食用,内容有点长,干,各位师傅自备水哈。废话不多说,直接上干货ret2总结简介获取shell的方式序源码自带系统命令函数 -简单溢出可以找到system函数的plt的绝对地址 -ret2text利用输入函数,将shellcode写入到程序中 -ret2shellcode利用ROPGadget配合int 0x80调用execve -ret2Syscall利用Libc获取system函数的相对位置. -ret2Libc。
De1CTF weapon 经验总结
qq_43189757的博客
10-04 854
第一次接触通过利用_IO_2_1_stdout_ 来泄露libc地址的题目,中间碰到不少问题,在这里记录一下 1.泄露libc 由于程序限制了创建的堆块大小为0x60 以内,所以无法同通过创建一个大小能放入unsortedbin中的堆块,但是可以通过伪造一个大小符合unsortedbin中的堆块来泄露libc地址 具体步骤: 1.创建五个大小为0x20堆块 编号依次为0-5, 之后一次释放chun...
2016 HCTF fheap writeup
SkYe's Blog
09-13 414
基本情况 Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 基本功能 阉割版堆管理器,有增删功能。 // 管理堆的结构体 struct { int inuse; String *str; } Strings[0x10]; // 堆结构体 typedef struct String { union {
通过给的libc泄露函数地址
zszcr的博客
03-22 5636
libc中的函数相对于libc的基地址的偏移都是确定的,如果有一道题给你了libc的文件,就可以通过libc文件泄露出system函数和binsh的地址,然后再构造payload。一般通过write()函数泄露 ,通过ELF获得write函数在got表和plt表中的地址同时获得程序start地址 构造payload payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+  p3...
怎么判断程序中存在可以泄露 libc 函数地址的漏洞,我需要哪些前置基础
最新发布
12-10
### 判断程序中存在可泄露 libc 函数地址漏洞的方法 #### 格式化字符串漏洞 格式化字符串漏洞是一种常见的可用于泄露 libc 函数地址的漏洞。当程序中使用了 `printf`、`sprintf` 等格式化函数,并且直接将用户输入作为格式化字符串参数时,就可能存在该漏洞。例如: ```c #include <stdio.h> int main() { char input[100]; scanf("%s", input); printf(input); // 存在格式化字符串漏洞 return 0; } ``` 利用格式化字符串漏洞,可以通过构造特殊的格式化字符串来泄露栈上的信息,包括 libc 函数地址。如通过 `%x` 格式说明符逐个打印栈上的内容,若栈上存在 libc 函数地址,就可以将其泄露出来。 #### 信息泄露函数调用 如果程序中存在一些可以输出内存中数据的函数调用,并且这些函数的参数可以被控制,也可能导致 libc 函数地址泄露。例如,程序中调用了 `puts` 函数,并且可以将 libc 函数的 GOT(Global Offset Table)表地址作为参数传递给 `puts` 函数,就可以泄露该 libc 函数的实际地址。如: ```python # 构造 payload 泄露 puts 函数地址 puts_got = 0xdeadbeef # 假设的 puts 函数的 GOT 表地址 payload = b'a'*28 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr) ``` ### 所需的前置基础 #### 对 ELF 文件格式的了解 需要了解 ELF(Executable and Linkable Format)文件的结构,包括 PLT(Procedure Linkage Table)、GOT 等。PLT 用于处理动态链接的函数调用,GOT 用于存储动态链接函数的实际地址。通过操作 PLT 和 GOT 表,可以实现对动态链接函数地址泄露和利用。 #### 对栈溢出原理的掌握 栈溢出是许多漏洞利用的基础,需要了解栈的结构和栈帧的工作原理。当程序存在栈溢出漏洞时,攻击者可以通过覆盖栈上的返回地址来改变程序的执行流程,从而实现对 libc 函数地址泄露和利用。 #### 对 Python 脚本编写的熟悉 在漏洞利用过程中,通常需要使用 Python 脚本来构造和发送 payload。需要熟悉 Python 的基本语法和一些常用的库,如 `pwntools` 库,它提供了许多用于漏洞利用的工具和函数,如 `p64` 用于将整数转换为 64 位的字节序列,`u64` 用于将 64 位的字节序列转换为整数等。例如: ```python from pwn import * p = process('./vulnerable_program') puts_got = 0xdeadbeef payload = b'A' * 100 + p64(puts_got) p.sendline(payload) ``` #### 对动态链接机制的理解 需要了解程序的动态链接机制,包括动态链接器(如 `ld-linux.so`)的工作原理,以及 `dl_resolve` 等机制。动态链接机制使得程序可以在运行时加载和调用共享库中的函数,了解这些机制有助于更好地利用漏洞来泄露和调用 libc 函数
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叶叶扁舟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值