2019.7.24 64位程序libc泄露 x64_3

最新推荐文章于 2022-11-28 17:31:30 发布
原创 最新推荐文章于 2022-11-28 17:31:30 发布 · 696 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何解决一个64位程序的libc泄露问题,通过LibcSearcher、gdb的vmmap指令、ldd指令等方法找到动态链接库的路径和偏移。讲解了64位程序参数传递的规则,并强调了选择本地gadget的重要性。同时,讨论了read函数参数传递的细节和接受地址的计算方法,提供了调试和构造exploit的实践过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.在这里插入图片描述这是程序,程序中没有system函数也没有/bin/sh字符串,但是函数中有read函数。我们有一下几种解法。①我们用LibcSearcher这个模块进行解题②打本地的时候,我们可以在gdb中,用vmmap指令来找到动态链接库的绝对路径,然后用elf = ELF(‘绝对路径’),来算偏移③我们也可以用ldd指令找到相对路径,然后拷贝到当前路径,然后用ipython,用elf = ELF(‘libc.so.6’)来手算偏移。
2. 这是一个64位程序,他和32位程序不同的就是他传递参数,会先用rdi,rsi,rdx,rcx,r8,r9顺序传递参数,我们在gdb中用,ropper或者ROPgadget来查找合适的gadget(需要自己装)。
在这里插入图片描述
在这里插入图片描述
我们找到这几个合适的,但在选rsi的时候,我们发现,这里有两个。乍一看第二个好像合适一些,但我们可以看到他们的地址有很大的区别一个是7f开头的,说明他是动态链接库中的。我们应该选程序本地的,所以我们应该选第一个。
3. 很多人有疑问,这里有一个多余的r15。其实这个不必担心,我们选gadget的初衷就是来传递参数,如果对应的寄存器自己已经满足传递参数的要求,那么我就不用考虑他了。这个题目要求rdx的值至少要大于8个字节,因为我们要泄露一个64位的地址。
在这里插入图片描述

最低0.47元/天 解锁文章

200万优质内容无限畅学
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 6045
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
linux 64 内存泄漏,64linux系统:栈溢出+ret2libc ROP attack
weixin_34185033的博客
05-01 797
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
什么是gadget,以及64libc如何泄露的问题
qq_43557177的博客
04-06 4040
最近开始学PWN,本以为栈溢出也就那些东西,看来是我少虑了… 在这里对这几天所学习的64栈溢出泄露Libc的相关知识做一个小总结,当然,如果可以帮助到在读文章的你就更好啦。如果文中有错误,也希望各大佬予以斧正。 什么是LIbc? 这个就是libc 这是一个动态链接文件 那么什么是动态链接和静态链接? 可以理解为: 静态链接:在程序编译的过程中,就预先把代码加载进程序中 //比如大家都经常写的...
android x86_64平台64libc.so
08-16
解决undefined reference to `__system_property_get'问题,这是android x86_64平台64libc.so
android arm平台64libc.so
06-18
解决undefined reference to `__system_property_get'问题,这是android arm平台64libc.so,来源路径:/system/lib64/libc.so,具体看文章:http://blog.csdn.net/luoyong123456/article/details/50587417
【BUUCTF】roarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战
Assassin
09-18 2239
realloc好题
[V&N2020 公开赛]easyTHeap + ciscn_2019_final_3 ——heap中tcache的一些简单利用方法
PLpa的博客
06-06 1158
libc2.26之后的libc版本中加入了新的存储结构tcache,这使得我们利用堆的时候要特别注意libc版本。 对tcache不是很了解建议看看CTFWiKi 1.[V&N2020 公开赛]easyTHeap 保护全开,libc2.27版本,进入IDA 看到程序有增删改查的功能。 我们一个个来看: add: 我们可以看到add中不能写入数据。 edit: add中不能读入的数据由edit来读入。 show: 没什么特殊的,就是输出数据,这里我们可以用其来查看我们泄露的地址。 dele
ret2libc实战
xia0ji233
05-17 485
title: ret2libc实战 date: 2021-05-13 22:00:00 tags: binary security study report ret2libc comments: true categories: ctf pwn ret2libc是一个pwner必备的基础知识。 ret2libc为return to libc的缩写,我们需要执行libc函数里面的system("/bin/sh") 下面为32程序并且带.so文件的题目:buuctf[OGeek2019]babyrop.
BUUCTF-PWN刷题记录-24 & libc-2.29学习(下)
weixin_44145820的博客
05-29 1187
目录[2020 新春红包题]3 [2020 新春红包题]3
一个关于rop泄露libc的问题
m0_64195960的博客
07-08 197
题干是这样的,题目就在buuctf上就是利用read函数栈溢出,rop泄露libc,需要注意以下64传参就可以了但是我有一个疑问就是,为什么红色箭头这里的recv必须要加,如果这里加的话,下一行的p.recv(6)不久没有东西接受了吗?有没有好心的师傅指导一下,谢谢!这是加了p.recv()这是没加......
关于libc泄露的有感而发---3264区别
wuyvle的博客
01-31 574
关于plt表与got表 可执行文件里面保存的是 PLT 表的地址,对应 PLT 地址指向的是 GOT 的地址,GOT 表指向的就是 glibc 中的地址 ![在这里插入图片描述](https://img-blog.csdnimg.cn/2021013122504026.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3d1eXZsZQ==,size_1
32/64程序 利用ROP泄露函数地址
qq_44768749的博客
08-23 741
利用ROP泄露函数地址0x01 320x02 64 0x01 32 addr = u32(p.recvuntil("\xf7")[-4:]) 0x02 64 addr = u64(p.recvuntil("\x7f")[-6:].ljust(8, "\x00")) 不能保证所有题试用,但绝大部分泄露函数地址的题可以用到
(pwn) C语言 write函数且使用write函数泄露 libc版本
半岛铁盒的博客
08-16 4255
ssize_t write(int fd,const void*buf,size_t count); 参数说明: fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数 payload=p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil("What is your name?") r.send(payload) ...
ret2libc-泄露和不需要泄露
qq_36918532的博客
04-18 319
ciscn_2019_c_1 —需要泄露got 题目可在buuctf下载 安全检查,发现只开了NX保护(DEP) 执行程序会发现,程序第二次原模原样输出了((这种菜单题,我还以为是堆)) IDA查看反汇编代码 加密函数 其中x在bss段定义,一直在增加,所以会导致上面的第二次执行的时候长度>s,从而不执行加密那块,这可以用来泄露地址 也就是后面会变的只有比上一次输入长的部分 操作如下图 由于get可以一直输入,达到一定长度报段错误,这应该是说明覆盖到返回地址了,所以猜想应该是只要覆盖了返回地
pwn-内存泄漏one_gadget
leeham的博客
08-22 5953
pwn-内存泄漏/one_gadget 题目描述 题目可以下载到本地 https://github.com/LeeHaming/CTF-learn/blob/master/Caniso/Casino 解题思路 1.IDA分析函数逻辑 F5; 热键F5可以看到反汇编之后的程序逻辑;结合函数实际运行情况,可以得到这样的函数流程图: 此外我们可以找到修改mone...
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 785
pwn 64 泄露libc版本
CTF泄漏libc基址的方法
liucc09的博客
01-05 4365
泄漏libc 重点: glibc 的后三是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
linux 64 栈溢出,栈溢出中64程序的处理方法
weixin_39717865的博客
05-13 1575
在做 pwn 题时,难免会遇到64的栈溢出程序,处理3264程序会有所不同。这里总结一下6432程序的差异,并结合两道例题给出解题方法0x00 差异1.64 函数调用需要使用寄存器传参,前三个参数存放在寄存器 rdi、rsi、rdx 中,32 函数调用使用栈传参(具体看下面的例子)2.64程序一个存储单元占8个字节,32占4个字节。所以在填充 ebp(rbp) 时会有差异,这是...
ctf中pwn题目总结
weixin_41038905的博客
11-16 4999
1.安装 pip install pwntools (python2) pip3 install pwntools (python3) 2.使用 Context设置 context是pwntools用来设置环境的功能。在很多时候,由于二进制文件的情况不同,我们可能需要进行一些环境设置才能够正常运行exp,比如有一些需要进行汇编,但是32的汇编和64的汇编不同,如果不设置context会导致一些问题。一般来说我们设置context只需要简单的一句话: context(os='linux', arch='amd
Android NDK环境中libc++_shared.so文件详解
32系统和64系统在性能和功能上有所不同,特别是在内存管理和处理能力方面。 - **android\android-ndk-r12b\sources\cxx-stl\llvm-libc++\libs路径**:这个路径指向的是Android NDK(Native Development Kit)的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值