pwn栈溢出之dltest(DynELF和libcSearcher利用)

最新推荐文章于 2024-05-16 21:11:40 发布
最新推荐文章于 2024-05-16 21:11:40 发布
阅读量1.3k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: python pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44113469/article/details/87367342
本文介绍了如何通过分析一个没有system函数的栈溢出程序,利用DynELF泄露system地址,并借助write函数写入"/bin/sh",最终成功获取shell。解题过程中涉及checksec、ida反编译、gdb调试,以及利用read函数的技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

栈溢出dltest解题步骤

思路分析:观察源码,是个栈溢出。没有system函数,也没有给libc库,但有read函数和write函数。可以借助DynELF定位system地址,然后借助read函数写入“/bin/sh”,并调用执行system(“/bin/sh”)

0x01 查看题目信息

在这里插入图片描述
0x02 checksec检查可执行文件属性
在这里插入图片描述

没有开启各种保护,RELRO为” Partial”,对GOT表具有写权限。

0x03 ida反编译
首先F5键对main函数反编译 ,并查看到有write函数和
一个vuln函数。

在这里插入图片描述

查看vuln(),发现有read()函数,可向buf中写入0x100,查看buf大小,为0x6c+4,可知有栈溢出。

在这里插入图片描述

0x04 查找溢出点

gdb中执行以下命令,并copy刚生成的200个字符,run后paste

pattern create 200
r
最低0.47元/天 解锁文章

200万优质内容无限畅学
CTFshow-PWN-栈溢出pwn49)两种方法+动调分析
Welcome To Myon'Blog !
06-09 1330
执行后,可以看到 0x80da000 往后部分为可读可写可执行权限。看似开了 canary 保护,实际没有,是 checksec 版本太老了,检测到 __stack_chk_fail 函数就算开了。看似上一题一模一样,但是细心的小朋友应该注意到了,左边多出了很多函数,说明这个程序是静态链接的,静态链接就意味着没法去打 ret2libc了,还是无 system 无 /bin/sh,考虑打 ret2syscall。
CTFshow-PWN-栈溢出pwn65 详细版)
最新发布
Welcome To Myon'Blog !
07-14 1280
摘要:该64位程序存在PIE保护,包含RWX段,通过read读取用户输入作为shellcode执行。程序会对输入字符进行严格检查,仅允许大小写字母、数字及部分符号(ASCII 48-90)。利用alpha3工具将原始shellcode编码为符合要求的ASCII字符,通过rax寄存器执行。最终成功获取flag:ctfshow{944db499-0c4a-4894-a0a5-3f7aeccec7de}。关键点包括字符过滤机制分析alpha3编码技术的应用。
泄漏地址总结(Dynelf & LibcSearcher
weixin_44319142的博客
04-16 2742
Dynelf泄漏modeul 32位 p = process('./xxx') def leak(address): #address指要泄露的地址 #各种预处理 payload = "xxxxxxxx" + address + "xxxxxxxx" p.send(payload) #各种处理 data = p.recv(4) log.debug("%#x => %...
pwn学习--LibcSearcher
热门推荐
gclome的博客
04-11 1万+
以上一篇ret2libc绕过地址随机化的代码为例,一般在我们做题的时候没法查看 libc 的版本之类的,连上服务器后就是程序运行起来的情况,那这时候就需要新的知识来解决了 LibcSearcher,可以通过它来找出偏移,此时依旧开启ASLR LibcSearcher安装: git clone https://github.com/lieanu/LibcSearcher.git cd LibcSea...
pwntools中DynELF使用
weixin_41038905的博客
04-19 966
DynELFpwntools中专门用来应对没有libc情况的漏洞利用模块,在提供一个目标程序任意地址内存泄漏函数的情况下,可以解析任意加载库的任意符号地址。 libc是Linux下的ANSI C的函数库。ANSI C是基本的C语言函数库,包含了C语言最基本的库函数。 本文exp以攻防世界中的pwn-100为例 from pwn import * p = process('./pwn-100...
pwn脚本 LibcSearcher库的使用
Sakura给爷pwn全场
09-28 670
使用LibcSearcher解题
pwn篇:攻防世界进阶welpwnLibcSearcher使用
weixin_44644249的博客
02-10 1070
攻防世界welpwn 这题主要是考无Libc泄露地址,在没有Libc的情况下,可以使用LibcSearcher进行动态匹配,匹配完成后会给出选项,选择libc的版本即可。如果不知道版本可以一个个试。 安装LibcSearcher git clone https://github.com/lieanu/LibcSearcher.git 文件有点大,100多Mb 配置LibcSearcher,可以直接install,会自动build cd LibcSearcher python setup.py instal
pwn(基础的栈溢出-上)
2302_80935968的博客
05-16 1340
编译器使用堆栈传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量栈的特点:后进先出的数据结构,栈的结构是从进程高地址向进程低地址生长这里说一下寄存器:寄存器是处理器加工数据或运行程序的重要载体,用于存放程序执行中用到的数据指令。因此函数调用栈的实现与处理器寄存器组密切相关。最初的8086中寄存器是16位,每个都有特殊用途,寄存器名城反映其不同用途。由于IA32平台采用平面寻址模式,对特殊寄存器的需求大大降低,但由于历史原因,这些寄存器名称被保留下来。
pwn栈溢出10道练习题有writeup
01-04
在网络安全领域,"pwn" 是一个常见的术语,通常用于指代与系统漏洞利用控制权获取相关的挑战。CTF(Capture The Flag)是网络安全竞赛的一种形式,参赛者需要通过解决各种安全问题来获取“旗帜”或证明,以赢得...
pwntools库DynELF函数使用小结
PLpa的博客
09-01 1816
DynELF函数 0x00.前言 当我们在使用ROP做题目的时候,发现题目并没有给出libc.so文件(或者libc.so直接给错),这就让一部分人犯了难,这个问题怎么解决嘞?这里,我们介绍一种不需要给出libc.so实体文件,我们直接从库里匹配libc.so的方法——pwntools中的DynELF函数。 0x01.使用条件 既然我们要使用这个函数,我们就必须知道这个函数使用起来要什么条件。 要...
DynELF
ATFWUS的博客
03-03 522
0x01.概述 DynELFpwntools中专门用来应对没有libc情况的漏洞利用模块,在提供一个目标程序任意地址内存泄漏函数的情况下,可以解析任意加载库的任意符号地址。 对于不同版本的libc,函数首地址相对于文件开头的偏移函数间的偏移不一定一致;如果题目不提供libc,我们通过泄露任意一个库函数地址计算出system函数地址的方法可能就不太方便了,所以这就要求我们想办法获取目标系统的...
HITCTF PWN300--dynelf
Vccxx的博客
04-08 1124
第一次用Dynelf,脚本调了一下午。。hitctf pwn300题目链接:http://pan.baidu.com/s/1eSCCOE2漏洞分析:三个write之前的一个函数调用了read来读入字符,而这里存在明显的缓冲区溢出,可以覆盖main函数的栈地址,这个题没给libc,got表里没有system之类的函数,于是考虑用dynelf。攻击脚本:from pwn import * io = pr
DynELFpwn200
weixin_44464829的博客
11-15 254
在做漏洞利用时,由于 ASLR 的影响,我们在获取某些函数地址的时候,需要一些特殊的操作。一种方法是先泄露出 libc.so 中的某个函数,然后根据函数之间的偏移,计算得到我们需要的函数地址,这种方法的局限性在于我们需要能找到目标服务器上一样的 libc.so,而有些特殊情况下往往并不能找到。而另一种方法,利用pwntools 的 DynELF 模块,对内存进行搜索,直接得到我们需要的函数地址。 DynELFpwntools中专门用来应对无libc情况的漏洞利用模块,其基本代码框架如下。 p.
LibcSearcher--匹配libc版本的神器
Assassin
04-06 1万+
文章目录**一、简介****二、安装****版本一:本地判断libc的方法****版本二:在线使用webAPI的方式****三、关于本地libc文件的更新问题****四、使用方法** 一、简介 LibcSearcher是python的一个库,用于解决pwn中不明libc版本的情况,可以根据泄露的某函数地址,推测服务端使用的libc版本,是做题必备的神器。 根据网上的版本,我总结两个可以利用的方法 二、安装 版本一:本地判断libc的方法 使用原作者的版本即可,安装指令如下 git clone https
pwn 练习笔记 暑假第八天 DynELF模块
SsMing的博客
07-20 1982
继续昨天的未解之谜,leve4 在第二次感受火狐崩溃带来的绝望之后,在此立誓,再也不用火狐写博客 IDA打开查看一下伪代码: 图没截全,罢啦罢啦!那vul函数就看汇编吧 可看出,我们输入的字符串与ebp距离为0x88 checksec查看,开了nx保护 ROPgadget查看,没有‘/bin/sh’ DynELFpwntools中专门用来应对无libc情况的漏洞利用模块...
CTF(Pwn) Rop + ret2libc 题型 常规解法思路 (初级)
半岛铁盒的博客
03-22 1281
引子 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。 之所以称之为 ROP,是因为核心在于利用了指令
LibcSearcher安装的心路历程坑____Python2,setuptools,libcsearcher其他版本
OrientalGlass的博客
01-04 3159
2.下载python2后,提示没有setuptools,这个setuptools应该指的是Python2版本的,因为之前使用其他命令时提示已经有了setuptools(推测这个是python3版本)在这篇文章得到解决方案。,我的ubuntu默认没有python2,只有python3,所以又下载了一个python2。只能试试手动安装了,就是在手动安装的过程中解决了2的setuptools问题。没有办法初始化,写脚本也无法成功导入模块,所以就下了另一个。然后就是下载数据库了,非常漫长,写完文章还没下好。
LibcSearch报错 LibcSearcher找不到合适libc 最新解决方案
csdn546229768的博客
11-06 4268
如果大家在执行Libcsearch 的pyload时发生报错信息翻译过来时找不到适合的libc,这是因为极大可能你使用的环境是python3而你参照网上的pwn环境搭建时,你下载的LibcSearch它不支持py3!! 解决方式:用pip3下载另一个大佬更新的版本 命令如下: pip3 install LibcSearcher 安装完成后用py3运行payload,由原来的本地libc查找改为了云端,也就是说需要联网才可以执行这个库,但是不影响平时练习,除非你进入了CTF决赛。。 我安装新版后用py3执行
BUU-pwn()
Blazing-Angel的博客
09-10 385
BUU-pn()
pwn栈溢出
03-08
### PWN 栈溢出漏洞利用教程 #### 概述 栈溢出是一种常见的软件安全漏洞,通常发生在程序试图将过多的数据放入堆栈上的缓冲区时。当这种情况发生时,额外的数据会覆盖相邻内存区域的内容,可能导致程序行为异常甚至允许攻击者执行恶意代码。 #### 原理分析 在 C 或其他低级编程语言中,如果开发者使用了像 `read`、`gets` 这样的危险函数来处理用户输入而未做适当长度验证,则可能引发此类问题[^2]。具体来说: - **栈帧结构**:每当调用一个新的子程序(即函数),都会创建一个新层——称为“栈帧”。这包含了局部变量以及返回地址等重要信息。 - **溢出机制**:一旦超出分配给某个数组或其他类型的存储空间范围之外写入数据就会触发溢出事件。此时不仅会影响该对象本身还会影响到其后的元素直至最终篡改到当前活动线程的指令指针寄存器EIP/RIP (Extended Instruction Pointer/Register),进而改变应用程序正常逻辑走向。 #### 利用方法 为了成功实施基于栈溢出的安全攻击并获取远程shell访问权限或者其他形式的有效载荷投放能力,可以采取如下策略之一或组合应用多个技术要点: ##### 1. 覆盖 Return Address 通过精心设计输入串使其恰好能够填充目标缓冲区直到触及ret addr位置处,并随后附加一条指向所需操作序列开头部分的新路径指示符完成转向控制转移过程[^4]。 ##### 2. ROP(Return-Oriented Programming) 考虑到现代操作系统普遍启用了诸如NX(non-executable stack)之类防御措施阻止直接注入可执机器码片段的做法变得不再可行;因此引入了一种间接方式—ROP链表构建法。此办法依赖于收集现有合法二进制映像内部已存在短小精悍的功能模块(gadgets),再按照一定顺序串联起来形成连贯完整的命令集达成预期目的[^3]。 ##### 3. 使用工具辅助开发 对于初学者而言掌握上述理论固然重要但也存在一定难度门槛,在实践中往往借助专门为此类场景定制化打造出来的框架库简化工作量提高效率。比如Python下的[pwntools](https://github.com/Gallopsled/pwntools/)就是一个非常流行的选择,它支持连接远端服务发送自定义payload并与之交互等功能特性[^5]。 ```python from pwn import * r = remote('example.com', port_number) # 构造Payload buffer_size = 0x80 padding = b'a' * buffer_size fake_rbp = b'b' * 8 return_address = p64(target_function_addr) payload = padding + fake_rbp + return_address # 发送Payload r.sendline(payload) # 开始交互模式等待响应 r.interactive() ``` #### 安全建议 为了避免成为潜在受害方,请务必遵循最佳实践编码指南以减少风险暴露面: - 尽量选用高级别的抽象层次编写业务逻辑; - 对所有外部接口传来的参数严格校验合法性边界; - 启用编译期优化选项如-fstack-protector-strong增强防护等级; - 及时更新补丁修复官方发布的各类已知缺陷报告。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值