如何从libc地址得到栈地址

最新推荐文章于 2025-01-21 18:16:14 发布
原创 最新推荐文章于 2025-01-21 18:16:14 发布 · 2.5k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#栈 #安全漏洞 #pwn2own

本文介绍了在libc中如何通过_environ函数找到当前进程的环境变量。解释了_environ的地址计算方法,即libc基址加上_environ的偏移量。在ASLR环境下,尽管基址会变化,但_environ的相对位置不变。通过访问_environ,可以得到环境变量的地址,由于环境变量保存在栈中,因此可以通过栈内偏移量访问栈中任意变量。

  1. 在libc中保存了一个函数叫_environ,存的是当前进程的环境变量
    在这里插入图片描述
    在这里插入图片描述

  2. 得到libc地址后,libc基址+_environ的偏移量=_environ的地址
    在内存布局中,他们同属于一个段,开启ASLR之后相对位置不变,偏移量之和libc库有关

  3. 通过_environ的地址得到_environ的值,从而得到环境变量地址,环境变量保存在栈中,所以通过栈内的偏移量,可以访问栈中任意变量

例子:
2018网鼎杯-pwn-GUESS

深入程序编译链接和装载过程
ZY-JIMMY
12-06 5187
目录 预编译 编译 汇编 链接 深入编译链接和运行 CPU、内存 与 I/O 32位4GLinux虚拟地址空间布局 指令和数据 分析二进制可重定位目标文件main.o 的组成 强符号与弱符号 符号表 链接过程分析 可执行文件分析 run可执行文件的组成格式分析 程序的运行——进程 VP与PP 在Linux下使用GCC来编译Hello World程序时,...
_environ与ssp攻击
N1rvana的博客
02-21 1563
_environ 在Linux C中,environ是一个全局变量,它储存着系统的环境变量。 它储存在libc中 因此environ是沟通libc地址栈地址的桥梁。 如图:即为一个程序中environ的具体信息: environ利用 通过libc找到environ地址后,泄露environ地址处的值,可以得到环境变量地址,环境变量保存在中,通过偏移可以得到上任意变量的地址。 ssp攻击 canary的各种利用方式中,有一种是通过 __stack_chk_fail函数打印报错信息来实现。 __stac
PWN学习】如何获取libc基址
Morphy_Amo的博客
12-09 1万+
在解pwn题的时候,如果程序中没有可以获得shell的函数,通常会通过got表中调用函数来获取libc基址,然后通过libc获取要用的system函数和binsh字符。
泄漏libc地址
yjh_fnu_ltn的博客
06-01 2066
这里可以利用vulnerable_function函数进行溢出,利用write函数泄漏write函数的地址,从而拿到libc,使用write函数泄漏write函数地址时(puts函数同理),即使程序在前面。利用write函数的got表和plt表,溢出得到write函数的地址,在计算得到libc_base基地址。先看汇编下调用write函数时参数的传递:(以32位为例),泄漏 fun_name的got地址和。
CTF权威指南 笔记 -第四章Linux安全机制-4.1-Linux基础
m0_64180167的博客
05-08 777
这里给出linux常用命令。
environ泄露栈地址+orw+uaf
FUCKING12的博客
10-08 860
这个题开了沙箱,有uaf。利用思路:借助environ泄露栈地址,利用uaf将orw写到栈地址上。首先enviro泄露的栈地址在edi函数里面是rsp所指向的地址。然后,在edit执行leave前已经是我们想要的结构了。正如我们所看到了payload3那样。然后接下来就是ret到orw处。
linux定位so快捷方式_Linux下.so动态库被调用时,会被加载到内存的哪个位置?
weixin_39576751的博客
12-20 515
如果题主问的是物理内存的话,回答是不确定。物理内存哪里有空就加载到哪里。如果题主问的是虚拟内存的话,可以用ldd或者readelf这类命令查询。比如我随手写了一个测试程序,就用printf输出一行Hello world$ readelf -r testRelocation section '.rela.dyn' at offset 0x480 contains 8 entries:Offset ...
溢出实例--笔记三(ret2libc
一只青木呀
08-07 1777
溢出实例--笔记三(ret2libc)1、溢出含义及结构2、ret2libc基本思路3、实战3.1、二进制程序如下3.2、查看结构3.3、第一次溢出3.4、第二次溢出 1、溢出含义及结构 请参考溢出实例–笔记一(ret2text) 溢出实例–笔记二(ret2shellcode) 2、ret2libc基本思路 在当一个程序开启了NX(不可执行)的时候,我们没办法去写shellcode,而且程序中也没有system函数供我们调用的时候,那此时我们该如何做呢? 首先,程序本身没有system
pwn刷题num24----ret2libc + 平衡
tbsqigongzi的博客
04-26 1487
BUUCTF-PWN-ciscn_2019_c_1 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----可能存在溢出 开启NX保护-----堆不可执行 未开启PIE-----程序地址为真实地址 动态链接 运行程序后,有三个选择, 欢迎来到这台加密机 1.加密 2.解密 3.退出 选加密1写入三个aaa,被加密成lll,选解密2,出了一句我认为你能自己解密。。。 ida看一
认知——溢出实例(ret2libc)_溢出举例
2301_76348171的博客
04-06 1031
我们可在溢出的时候,再让其执行gets函数,给其输入一个“/bin/sh”就好啦,值得注意的是:我们输入的“/bin/sh”需要放到bss段中的一个地址上去,因为这个不会随着函数的被覆盖或回收等机制导致我们找不到“/bin/sh”的地址了。注意:在泄露的时候我们需要通过gets函数的got表地址加偏移来泄露got表中的system函数地址,具体含义可百度一下,这里不过过深的说明。到此时我们就到了gets函数的libc中的地址,那么接下来我们就要获取system函数在libc中的地址
[pwn]ROP:信息泄露获取libc版本和地址
热门推荐
Breeze的博客
08-26 1万+
文章目录通过信息泄露获取libc版本和地址DynELF模块介绍pwn200 writeuppwn100 writeup 通过信息泄露获取libc版本和地址 有一些pwn题目中我们可以找到很明显的溢出,但程序中并没有system函数,也没有给出libc版本。但我们可以通过反复的溢出打印一些内存的值来在内存中搜索system的地址,这里主要使用的工具是pwntools中的D以内ELF模块。 DynEL...
CTF-PWN: 通过libc _environ 泄露栈地址的原理
weixin_59166557的博客
01-21 417
注意: 本文是基于的,我不能确保文章完全准确在libc中,_environ符号指向的是一个全局变量,通常用于存储程序的环境变量数组。具体来说,_environ是一个指向字符串数组的指针,每个字符串表示一个环境变量(如HOMEPATH等)。这个数组的结尾是一个NULL指针,表示环境变量的结束。
linux 进程映射空间 libc,Linux进程地址空间详解
weixin_32715349的博客
05-16 480
http://www.leewei.org/?p=1240之前写的一篇文章《a.out分段及运行时内存结构》简要介绍了Linux下的可执行文件格式和运行时的内存布局,这篇文章将更为详细得讨论Linux下进程的虚拟地址空间的布局。如下所述的内容都是基于32位系统的。Linux传统内存布局进程的线性地址空间分为两部分:1、从0×00000000到0xbfffffff的线性地址,无论进程运行在用户态还是...
BUUCTF(pwn)[HarekazeCTF2019]baby_rop2 泄露libc基址,rop,利用gadget
半岛铁盒的博客
08-12 778
64位,开了nx保护 运行了一下程序 buf的大小是0x20,但是读入的时候读入的是0x100,会造成溢出,我们要想办法覆盖返回地址为” system(‘/bin/sh’) 利用read函数,去泄露程序的libc基址,然后去获得system和/bin/sh字符串的地址 然后造成溢出,将返回地址覆盖为system(‘/bin/sh’) from pwn import * from LibcSearcher import * context.log_level='debug' p=remote('n
堆中获取地址和劫持执行流的方法
九层台
09-02 2098
栗子https://github.com/tower111/software.git 0x01获取栈地址 详细writeup:https://tower111.github.io/2018/08/30/ISG-babynote/ 原理:在fast bin是单链在内存中保存,在fd位置处会写入next chunk的地址,这个地址可以用来获取heap_base。 栗子:babynote 需要...
学习笔记pwn
weixin_73596352的博客
09-19 564
checksec,32位程序,NX保护放入32位的ida里,main函数这样进入到function函数,有88字节,read可以读入100字节的数据,存在溢出[外链图片转存中…(img-YAYZrmI8-1695114237612)]看字符串有没有system和bin_sh,都没有,可能是return to libc可以试试在libc里找system和bin_sh,肉眼可见左边有和函数,可以泄露write地址来得到libc版本。
C语言标准库函数getenv的实现
aweii的专栏
09-10 5908
C语言标准库函数getenv可获取环境参数(根据参数名称), 函数声明:char* getenv(char*name); 其实现如下: ---------------glibc-1.09.1/sysdeps/generic/getenv.c /* Return the value of the environment variable NAME. */ char * DE
BUUCTF刷题6
m0_51251108的博客
11-03 554
题目:gyctf_2020_some_thing_exceting:mrctf2020_shellcode_revenge:axb_2019_brop64:inndy_echo:wustctf2020_name_your_cat:wdb2018_guess:oneshot_tjctf_2016:zctf2016_note2:ciscn_2019_final_2:wustctf2020_number_game: gyctf_2020_some_thing_exceting: 这题存在uaf漏洞 程序开始时读入
库与运行库
taocr的博客
09-04 1970
一、内存关于程序的运行,不得不提到内存方面的内容,那么首先就对一个进程虚拟地址空间的布局用一张图来看清楚 这张图基于32位Linux系统,即起始地址为0x08048000,可以看到顺序为只读段(代码段等)、读写段(数据段、bss段等)、堆(向上即高地址扩展)、用于堆扩展的未使用空间、动态库的映射位置(0x40000000开始)、之后就是(向下即低地址扩展)以及用于扩展的未使用空间、最后是内
rop如何获取libc的基地址
最新发布
04-01
通常会泄露 GOT 表中的某些条目(如 `write@GOT` 或其他函数),从而间接获得 libc 的基地址。 具体实现如下: - 构造 payload 调用 `write` 函数。 - 计算目标地址相对于 libc 中符号的偏移量。 - 解析返回的结果...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值