如何从libc地址得到栈地址

最新推荐文章于 2024-10-04 22:28:53 发布
最新推荐文章于 2024-10-04 22:28:53 发布
阅读量2.4k 收藏 9
点赞数 6
分类专栏: CTF pwn 文章标签: 安全漏洞 pwn2own
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chennbnbnb/article/details/104035261
版权

  1. 在libc中保存了一个函数叫_environ,存的是当前进程的环境变量
    在这里插入图片描述
    在这里插入图片描述

  2. 得到libc地址后,libc基址+_environ的偏移量=_environ的地址
    在内存布局中,他们同属于一个段,开启ASLR之后相对位置不变,偏移量之和libc库有关

  3. 通过_environ的地址得到_environ的值,从而得到环境变量地址,环境变量保存在栈中,所以通过栈内的偏移量,可以访问栈中任意变量

例子:
2018网鼎杯-pwn-GUESS

深入程序编译链接和装载过程
ZY-JIMMY
12-06 4976
目录 预编译 编译 汇编 链接 深入编译链接和运行 CPU、内存 与 I/O 32位4GLinux虚拟地址空间布局 指令和数据 分析二进制可重定位目标文件main.o 的组成 强符号与弱符号 符号表 链接过程分析 可执行文件分析 run可执行文件的组成格式分析 程序的运行——进程 VP与PP 在Linux下使用GCC来编译Hello World程序时,...
CTF泄漏libc基址的方法
liucc09的博客
01-05 4314
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
PWN学习】如何获取libc基址
Morphy_Amo的博客
12-09 9932
在解pwn题的时候,如果程序中没有可以获得shell的函数,通常会通过got表中调用函数来获取libc基址,然后通过libc获取要用的system函数和binsh字符。
泄漏libc地址
yjh_fnu_ltn的博客
06-01 1647
这里可以利用vulnerable_function函数进行溢出,利用write函数泄漏write函数的地址,从而拿到libc,使用write函数泄漏write函数地址时(puts函数同理),即使程序在前面。利用write函数的got表和plt表,溢出得到write函数的地址,在计算得到libc_base基地址。先看汇编下调用write函数时参数的传递:(以32位为例),泄漏 fun_name的got地址和。
environ泄露栈地址+orw+uaf
FUCKING12的博客
10-08 779
这个题开了沙箱,有uaf。利用思路:借助environ泄露栈地址,利用uaf将orw写到栈地址上。首先enviro泄露的栈地址在edi函数里面是rsp所指向的地址。然后,在edit执行leave前已经是我们想要的结构了。正如我们所看到了payload3那样。然后接下来就是ret到orw处。
linux定位so快捷方式_Linux下.so动态库被调用时,会被加载到内存的哪个位置?
weixin_39576751的博客
12-20 477
如果题主问的是物理内存的话,回答是不确定。物理内存哪里有空就加载到哪里。如果题主问的是虚拟内存的话,可以用ldd或者readelf这类命令查询。比如我随手写了一个测试程序,就用printf输出一行Hello world$ readelf -r testRelocation section '.rela.dyn' at offset 0x480 contains 8 entries:Offset ...
CTF权威指南 笔记 -第四章Linux安全机制-4.1-Linux基础
m0_64180167的博客
05-08 731
这里给出linux常用命令。
认知——溢出实例(ret2libc)_溢出举例
2301_76348171的博客
04-06 947
我们可在溢出的时候,再让其执行gets函数,给其输入一个“/bin/sh”就好啦,值得注意的是:我们输入的“/bin/sh”需要放到bss段中的一个地址上去,因为这个不会随着函数的被覆盖或回收等机制导致我们找不到“/bin/sh”的地址了。注意:在泄露的时候我们需要通过gets函数的got表地址加偏移来泄露got表中的system函数地址,具体含义可百度一下,这里不过过深的说明。到此时我们就到了gets函数的libc中的地址,那么接下来我们就要获取system函数在libc中的地址
通过给的libc泄露函数地址
zszcr的博客
03-22 5569
libc中的函数相对于libc的基地址的偏移都是确定的,如果有一道题给你了libc的文件,就可以通过libc文件泄露出system函数和binsh的地址,然后再构造payload。一般通过write()函数泄露 ,通过ELF获得write函数在got表和plt表中的地址同时获得程序start地址 构造payload payload 一般是填充字符(的大小)+ ‘aaaa’(覆盖EBP)+  p3...
溢出入门0x07 ret2libc3&Hijack GOT
砖家
10-04 1082
使用patchelf保证ret2libc3的实验结果一致性,先泄露函数地址后得到libc版本和加载基地址之后计算出system和/bin/sh的真实加载地址,从而getshell
ret2libc续(一)——地址泄漏
qq_41560595的博客
12-30 1914
思路 libc文件本来存在于磁盘上,当程序执行时会被载入到虚拟内存中,由于ASLR开着(远程主机),libc地址会变动,但是libc中函数之间的偏移关系是不变的。
[pwn]ROP:信息泄露获取libc版本和地址
Breeze的博客
08-26 1万+
文章目录通过信息泄露获取libc版本和地址DynELF模块介绍pwn200 writeuppwn100 writeup 通过信息泄露获取libc版本和地址 有一些pwn题目中我们可以找到很明显的溢出,但程序中并没有system函数,也没有给出libc版本。但我们可以通过反复的溢出打印一些内存的值来在内存中搜索system的地址,这里主要使用的工具是pwntools中的D以内ELF模块。 DynEL...
溢出实例--笔记三(ret2libc
一只青木呀
08-07 1560
溢出实例--笔记三(ret2libc)1、溢出含义及结构2、ret2libc基本思路3、实战3.1、二进制程序如下3.2、查看结构3.3、第一次溢出3.4、第二次溢出 1、溢出含义及结构 请参考溢出实例–笔记一(ret2text) 溢出实例–笔记二(ret2shellcode) 2、ret2libc基本思路 在当一个程序开启了NX(不可执行)的时候,我们没办法去写shellcode,而且程序中也没有system函数供我们调用的时候,那此时我们该如何做呢? 首先,程序本身没有system
_environ与ssp攻击
N1rvana的博客
02-21 1417
_environ 在Linux C中,environ是一个全局变量,它储存着系统的环境变量。 它储存在libc中 因此environ是沟通libc地址栈地址的桥梁。 如图:即为一个程序中environ的具体信息: environ利用 通过libc找到environ地址后,泄露environ地址处的值,可以得到环境变量地址,环境变量保存在中,通过偏移可以得到上任意变量的地址。 ssp攻击 canary的各种利用方式中,有一种是通过 __stack_chk_fail函数打印报错信息来实现。 __stac
ciscn 2022 华东北分区赛pwn blue
z1r0的博客
07-02 977
开了沙盒 最简单的解法还是借助environ来控制ret地址,然后将ret改成orw链即可。这一题的关键点在于怎么泄露出environ里面的栈地址,因为show功能只能使用一次。 这一题的漏洞点是一次性的uaf漏洞,在666功能下 我们首先先借助这一次性的uaf泄露出libc。还是填满tcache,只不过下一个进unsorted bin的时候利用666这个uaf功能。 接下来思考一下如何泄露出environ里面的值,show是一次性的已经用不了。仔细思考一下不难想出利用stdout来泄露,将flags
一次segfault错误的排查过程
热门推荐
zhaohaijie600的专栏
04-24 6万+
一次segfault错误的排查过程 正常运行了几年的程序忽然崩溃了,由于机器没有设置CORE文件,无法从CORE中取得错误信息,程序运行在centOS 7上, 本来对centOS用的也是不熟,只能边查资料边查问题。 首先、我需要确认程序是否真的崩溃了,还是别人误操作关闭了。如果程序真的崩溃了,会在系统中留下痕迹,我查了一下,在messages文件中发现了一条信息: xxxxx.o[2374]
C语言标准库函数getenv的实现
aweii的专栏
09-10 5812
C语言标准库函数getenv可获取环境参数(根据参数名称), 函数声明:char* getenv(char*name); 其实现如下: ---------------glibc-1.09.1/sysdeps/generic/getenv.c /* Return the value of the environment variable NAME. */ char * DE
Mailbox(getshell) writeup —— ret2libc的利用
格物致知
05-01 2753
Hint: ret2libc √ 题目描述: mailbox libc-2.19.so 题目目录下面还有另外一个flag文件:)需要拿到shell才能看得到 Writeup: ret2libc即为return-to-libc,返回到系统库函数执行。 数据执行保护机制(Data Execution Prevention)将非代码区段设置为不可执行属性,使得系统无法执行
pwn学习--LibcSearcher
gclome的博客
04-11 1万+
以上一篇ret2libc绕过地址随机化的代码为例,一般在我们做题的时候没法查看 libc 的版本之类的,连上服务器后就是程序运行起来的情况,那这时候就需要新的知识来解决了 LibcSearcher,可以通过它来找出偏移,此时依旧开启ASLR LibcSearcher安装: git clone https://github.com/lieanu/LibcSearcher.git cd LibcSea...
rop如何获取libc的基地址
最新发布
04-01
### ROP 攻击中获取 libc地址的方法 在 Return-Oriented Programming (ROP) 攻击中,获取 libc 的基地址是一个重要的环节。以下是几种常见的方法及其技巧: #### 1. 利用 `write` 函数泄露地址 通过控制程序执行流,可以调用 `write` 函数将某个已知地址的内容写入标准输出。通常会泄露 GOT 表中的某些条目(如 `write@GOT` 或其他函数),从而间接获得 libc 的基地址。 具体实现如下: - 构造 payload 调用 `write` 函数。 - 计算目标地址相对于 libc 中符号的偏移量。 - 解析返回的结果并计算出 libc 的基地址。 示例代码片段: ```python from pwn import * # 连接远程服务或启动本地进程 p = process('./vulnerable_binary') # 发送第一个 payload 来触发 write 泄露 payload1 = b'A' * offset + p32(write_plt) + p32(vul_func_ret_address) + p32(1) + p32(got_write) + p32(4) p.sendlineafter(b'Input:', payload1) # 接收泄露的数据并解析 leaked_data = u32(p.recv(4)) libc_base = leaked_data - libc.symbols['write'] log.info(f"Libc base address: {hex(libc_base)}")[^1] ``` #### 2. 动态链接器辅助 如果程序启用了动态链接,则可以通过读取 `.dynamic` 段的信息找到加载的共享库地址范围。这种方法适用于无法直接访问特定函数的情况。 #### 3. 使用其他可预测的符号 除了 `write` 外,还可以尝试泄露其他常用符号(如 `_IOputs`, `printf`)。需要注意的是,并不是所有的符号都能被用来可靠地推导出完整的 libc 地址空间布局。例如,在某些情况下可能需要额外处理 ASLR 和 PIE 等保护机制的影响。 对于不能使用 `printf` 的情况,原因可能是其未绑定至外部定义或者是静态编译的一部分[^3]。 #### 4. 结合 Gadget 实现复杂操作 当上述方式受限时,考虑引入 gadgets 完成更复杂的内存读/写任务。比如查找能够调整指针位置或者修改寄存器状态的小工具链组合起来完成最终目的——即定位到实际运行时刻所处的具体版本号以及对应模块入口点等等信息以便后续进一步利用漏洞实施攻击行为。 总结来说,成功构建一次有效的 rop chain 不仅依赖于对现有条件充分理解掌握基础上精心设计每一步骤逻辑关系紧密相连形成闭环结构;同时也考验着选手们快速适应变化解决问题的能力水平高低差异明显体现出来。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值