【pwn】orw&rop --泄露libc基址，orw

最新推荐文章于 2025-03-20 18:09:16 发布

原创

最新推荐文章于 2025-03-20 18:09:16 发布 · 899 阅读

9 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #c语言 #网络安全 #python #网络

本文详细描述了一个在程序中发现的格式化字符串漏洞，通过禁用execve函数并定位参数位置，构造ROP，最终利用read函数读取shellcode实现本地代码执行。作者使用pwn库展示了如何在沙箱环境中利用给定的gadgets获取flag。

我们先看看程序的保护的情况

因为题目提示了orw，我们可以沙箱检测一下

可以发现是禁用的execve函数的，接着看函数逻辑

这里格式化字符串漏洞可以泄露canary和puts函数地址

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

GGb0mb

关注关注

4
点赞
踩
9

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

[PWN] 泄露libc HarekazeCTF_2019_baby_rop2

LDX的博客

11-28

850

pwn 64位泄露libc版本

[pwn]ROP：信息泄露获取libc版本和地址

热门推荐

Breeze的博客

08-26

1万+

文章目录通过信息泄露获取libc版本和地址DynELF模块介绍pwn200 writeuppwn100 writeup 通过信息泄露获取libc版本和地址有一些pwn题目中我们可以找到很明显的溢出，但程序中并没有system函数，也没有给出libc版本。但我们可以通过反复的溢出打印一些内存的值来在内存中搜索system的地址，这里主要使用的工具是pwntools中的D以内ELF模块。 DynEL...

参与评论您还未登录，请先登录后发表或查看评论

2022强网拟态pwn wp

weixin_51480590的博客

11-18

693

这次比赛本人并没有参加，然后听说这次比赛比较简单，所以最近抽时间复现一波。由于本人web不太好，也并未涉及过webpwn，遂只复现mimic以及vm和两道堆题。

泄露libc

inquisiter

01-12

1691

pintf泄露libc 虽然存在格式化字符串漏洞，并且GOT表可写，但是程序使用的是printf_chk函数。会检测出形如&quot;%n&quot;和&quot;%12$p&quot;这种利用方式。考虑到main函数由libc_start_main调用，因此栈上的返回地址是一个libc中的地址，利用格式化字符串漏洞能泄露出libc的基址。 “%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印出l

泄漏libc基地址

yjh_fnu_ltn的博客

06-01

2102

这里可以利用vulnerable_function函数进行栈溢出，利用write函数泄漏write函数的地址，从而拿到libc，使用write函数泄漏write函数地址时（puts函数同理），即使程序在前面。利用write函数的got表和plt表，溢出得到write函数的地址，在计算得到libc_base基地址。先看汇编下调用write函数时参数的传递：（以32位为例）,泄漏 fun_name的got地址和。

ret2libc3地址泄露--pwn

weixin_44642009的博客

03-17

2942

练习三–ret2libc3地址泄露在此实验前，我们从简到难实验了ret2libc1，ret2libc2两个实验，对getshell有了一定了解，基本学会了如何在有无system及/bin/sh函数的情况下获取权限，在此以实验二的名为pwn的可执行文件为入手点，进行getshell。首先，对ret2libc3可执行文件进行检测， checksec ret2libc3 结果如图：发现其不存...

NewStarCTF 2023 公开赛道 orw&rop

qq_60209620的博客

04-12

572

程序mmap了一段地址，权限是7，也就是可读可写可执行，我们把orw布置到这里就行啦，然后控制程序执行流（也就是rip指针）到这里就行啦。第一次输入，有格式化字符串漏洞，利用他来泄露libc基址（通过libc_start_main），和canary，方便后面利用栈溢出漏洞。第二次输入存在栈溢出漏洞，我们需要把orw的shellcode写进mmap的地址，那么我们就需要一个read函数，所以栈溢出就是去执行我们写的read函数，把读orw写进target addr。

orw--libc

fuiifiuiii的博客

07-08

558

栈上的orw，十分易学，适合刚刚接触orw的小伙伴·

【CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3

arttnba3的博客

01-19

974

github pages address 【CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3[github pages address](https://arttnba3.cn/2020/11/23/CTF-0X01-ByteCTF2020-pwn/)0x00.绪论0x01.线上赛 - CTF -PWN0x00.easy_heap - null by any address + tcache poisoning漏洞：任意地址写00x01.gun

musl pwn

sky123博客

04-03

1639

调试环境搭建 debug_musl 可以源码调试。运行 setup.sh 将源码及相关动态链接库解压到根目录下 musl 文件夹下，用的时候只需要将对应版本的 libc.so 文件复制到目录下，然后利用 patchelf 运行如下命令修改可执行文件所依赖的 ld 为 libc.so 即可进行源码调试。 patchelf --set-interpreter ./libc.so ./pwn 另外该项目中的 build.sh 可以自动下载和编译 musl 到根目录下的 musl 文件夹中，建议在 ubuntu

通过给的libc泄露函数地址

zszcr的博客

03-22

5643

libc中的函数相对于libc的基地址的偏移都是确定的，如果有一道题给你了libc的文件，就可以通过libc文件泄露出system函数和binsh的地址，然后再构造payload。一般通过write（）函数泄露，通过ELF获得write函数在got表和plt表中的地址同时获得程序start地址构造payload payload 一般是填充字符（栈的大小）+ ‘aaaa’（覆盖EBP）+ p3...

BUUCTF-pwn学习 ciscn_2019_c_1/ libc泄露

2401_88083440的博客

03-20

1415

回顾一下我们学到的知识1.libc的泄露原理，libc的保护机制2.GOT表和PLT表之间的关系3.64位和32位在传参方面的区别4.gadget是什么。

CTF-pwn: orw

weixin_59166557的博客

10-27

1088

ORW（Open, Read, Write）是一种常见的利用技术，通常用于在攻破某个系统后读取文件（例如读出 flag 文件）的场景。

什么是代码重定位

weixin_46089486的博客

10-09

823

ARM体系结构-代码重定位一、为什么会有重定位 1、程序的运行过程就是CPU不断的从内存中取出指令，然后执行指令的过程。 2、那么CPU是如何从内存中去去这些指令的呢？当然是通过内存地址来获取。 3、以前使用单片机时，没有仔细思考过这个问题，都是认为程序是烧写到芯片内部的flash中的，也没有仔细思考过，程序是怎么跳转到flash取指令并执行的。 4、对于嵌入式系统来说，它的程序可能会比较大，超出它内部的flash大小，我们的程序无法整个放入到芯片内部的flash中；甚至有些SoC芯片内部根本就没有fla

[PWN] BUUCTF pwn2_sctf_2016(整数溢出+泄露libc)

空城惜梦的博客

06-05

1019

[PWN] BUUCTF pwn2_sctf_2016解题分析漏洞利用payload分析payload1payload2 解题分析按照惯例先checksec，开了nx保护和部分RELRO 接着运行文件，观察程序的运行逻辑，读入一个长度len然后把输入的字符，再打印输入的Len个字符 32位IDA打开文件，main函数调用了vuln（）发现对输入的长度len做出了限制，len不能大于32 当len>32后，程序将结束，这就导致无法直接溢出进入get_n函数，发现get_n会接收a2个长度

有无libc和函数的泄露

Sakura给爷pwn全场

12-05

208

CTF-pwn 地址泄露总结： https://blog.youkuaiyun.com/P01yH3dr0n/article/details/103729452

【pwn】orw

weixin_43960998的博客

06-19

2065

本文分为两部分，一部分是2.27及一下的 setcontext + orw，一部分是 2.29 及以上的 setcontext + orw。利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成，一般的套路是线泄漏 libc 和 heap_base，我们把某一个 chunk 填充为： frame = SigreturnFrame() frame.rsp = libc.sym['__fr

ret2libc 泄露libc后构造system(‘/bin/sh‘)进行攻击（pwn入门）

2402_83422357的博客

05-23

1884

上面提到了一个措施，ASLR，它在开启后会对共享libc，堆，和栈的地址进行随机化，所谓的随机化呢，就是偏移。接下来以star函数作为返回地址，以star函数作为返回地址可以使我们第二次栈溢出的时候不需要再按照程序逻辑输入2次yes而且star函数是唯一有栈溢出的函数，所以返回地址的正确选取很重要，之前有一次做题返回地址没选好，给自己增加了很多不必要的麻烦.......这个是最基础的32位的ret2libc，还有64位程序的也差不多，就是传参的方式变了，攻击的payload构造的思路是一样的。

ret2libc-泄露和不需要泄露

qq_36918532的博客

04-18

348

ciscn_2019_c_1 —需要泄露got 题目可在buuctf下载安全检查,发现只开了NX保护(DEP) 执行程序会发现,程序第二次原模原样输出了((这种菜单题,我还以为是堆)) IDA查看反汇编代码加密函数其中x在bss段定义，一直在增加，所以会导致上面的第二次执行的时候长度>s，从而不执行加密那块，这可以用来泄露地址也就是后面会变的只有比上一次输入长的部分操作如下图由于get可以一直输入，达到一定长度报段错误，这应该是说明覆盖到返回地址了，所以猜想应该是只要覆盖了返回地

ctf-pwn怎么用write+read求libc的基址