PWN-无libc泄露

最新推荐文章于 2024-02-29 19:31:35 发布
最新推荐文章于 2024-02-29 19:31:35 发布
阅读量3.8k 收藏 7
点赞数 2
CC 4.0 BY-SA版权
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zszcr/article/details/79659071
这篇博客介绍了在没有libc泄露的情况下,如何利用pwntools的DynELF模块结合write函数泄露libc信息,找到system函数地址。通过构造payload写入'/bin/sh'到bss段,最终调用system执行shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

pwn题的无libc泄露用到的pwntools的DynELF模块

实现条件是:

有指向libc空间的 能泄露libc空间信息的函数 (write和puts函数)

能重复触发漏洞


DynELF模块的基本框架:

p=process('./xxx')

def leak(address):

    payload='xxx'+address+'xxx'  #address就是你要泄露的地址 ,payload是你控制程序泄露出address处的信息的攻击代码

    p.send(payload)

    leaked=p.recv(4)#接受的字节要看程序是32位还是64位来决定 ,32位接受4个字节的数据 而64位接受8个字节的数据

    print "[%s] ->[%s]=[%s]" % (hex(address),hex(u32(leaked)),repr(leaked))#输出泄露的信息

    return leaked

最低0.47元/天 解锁文章

200万优质内容无限畅学
pwn-ret2libc基础
admin的博客
10-04 1213
题源:基本 ROP - CTF Wiki (ctf-wiki.org)ret2libc的例三 这题的特点是:没有system,没有bin/sh。但是有puts,和gets函数。碰到gets函数基本上又是栈溢出大类中的题目。 ①先检查保护 ②:计算system和bin/sh的实际地址。 核心公式就是:函数真实地址=基地址+偏移量 那么我们如何得到 system 函数的地址呢?这里就主要利用了两个知识点 ①system 函数属于 libc,而 libc.so 动态链接...
pwn学习-ret2libc3
Sa1nZen的博客
06-30 680
pwn学习-ret2libc3
日行一PWN之ciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 922
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
pwn学习-jarvisoj-level4-libc的漏洞利用
qq_45653588的博客
12-20 353
这题下载文件下来,文件与level3反编译后伪代码基本一样,只是相比level3少了一个libc文件。level3 vulnerable_function()中存在明显的栈溢出,分配了0x88的空间,能输入0x100的内容。 ssize_t vulnerable_function() { char buf; // [esp+0h] [ebp-88h] return read(0, &buf, 0x100u); } 同样以payload payload = 'a' * 0x8c + p32
PWN题[强网先锋]no_output
am_03的博客
09-02 664
知识点 strcpy(dest, src) strcpy 函数用于将指定长度的字符串复制到字符数组里 语法形式为:char *strcpy(char *dest, const char *src, int n), 表示把src所指向的字符串里以src地址开始的前n个字节复制到dest所指的数组里,并返回被复制后的dest。 strcpy:strcpy只用于字符串复制,并且它不仅复制字符串内容之外,还会复制字符串的结束符 例:strcpy(a,b) b为源字符串,a为复制b的字符串 read(unk_804C
pwn】2022 羊城杯 fakeNoOutput
woodwhale的博客
09-05 488
2022 羊城杯 fakeNoOutput
linux函数没有返回值导致溢出,pwn的艺术浅谈(一):linux栈溢出
weixin_30621429的博客
05-03 473
这个系列主要介绍linux pwn的基础知识,包括堆栈漏洞的一些利用方法。这篇文章是这个系列的第一篇文章。这里我们以jarvisoj上的一些pwn题为例来对linux下栈溢出利用和栈的基本知识做一个简单的介绍。题目地址:https://www.jarvisoj.com/challenges。0. Level0,栈的基本结构及nx绕过首先查看一下题目的保护措施(如下图所示),可以看到是一个只开启了N...
[CTF]PWN--新人入门第一关--Ret2libc
2301_79880752的博客
02-29 1659
首先我们需要找到pop rdi|ret这个指令在程序中的位置(前面提到该指令为程序中自带的,只不过需要我们去寻找),然后让程序返回到pop rdi|ret这个指令上去执行它,通过ROPgadget --binary pwn --only 'pop|ret' 该指令来寻找pop |ret这个指令的地址,其中ROPgadget为一个插件,需要自己下载,binary意思为一个二进制文件,后面跟着的是文件名,only后面跟着的为要搜索的命令地址。
Ret2libc错误总结
qq_63528163的博客
08-12 460
平时做题目的错误总结
CTF(Pwn) 当题目为我们提供Libc版本.so文件, 与 不提供的区别
半岛铁盒的博客
03-25 5920
做了一道题目,它提供了 libc文件; 这道题 可以使用 libc-2.23.so文件 来 解出来, 也可以不使用; 当使用 libc2.23.so文件时 EXp为 from pwn import * p = remote("node3.buuoj.cn",29829) libc=ELF('libc-2.23.so') elf = ELF('./pwn1') write_plt = elf.plt['write'] write_got = elf.got['write'] main = 0x0804
[CTF]-PWN:更换libcpwn题(WSL ubuntu更换libc和ld的方法详解)
2301_79326813的博客
12-09 1391
如果是打远程的话,用的是远程机子的libc和ld,这就是为什么在python exp里用题目给的libc打远程打得通,打本地打不通的原因,题目里的libc只是用于计算地址,不会更改文件的libc,python exp计算地址是一个libc,程序运行又是一个libc,要文件的libc和python exp里计算地址的libc一致才能解题。然后更换题目libc和ld就完成了,可以用ldd查看是否更换完成,如果有not found那就是没更换完成,这样有可能程序无法启动。第五步,更改elf文件的libc和ld。
pwn脚本 LibcSearcher库的使用
Sakura给爷pwn全场
09-28 670
使用LibcSearcher解题
.balignl 16,0xdeadbeef浅析
Jalen_king
02-28 910
.balignl 16,0xdeadbeef浅析     最近在分析u-boot的源代码,看到这一行:         .balignl 16, 0xdeadbeef     不知道为什么要这样写,0xdeadbeef,明显是个单词组,写在这里有何意义呢?查阅了众多资料的时候才晃然大悟。     下面我一步步来说明:     首先要弄明白.balignl的意思,这其实应该算是一个伪操作符
Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR
X丶 的博客
11-21 2822
和Ret2Libc(1)一样,先把程序扔进IDA看看代码    和Ret2Libc(1)一样,gets存在溢出漏洞 gdb-peda$ checksec CANARY    : disabled FORTIFY   : disabled NX        : ENABLED PIE       : disabled RELRO     : Partial 可以看到程序开启了NX, 我的...
Pwn】BUUCTF ciscn_2019_s_4 wp 栈迁移
Lcw_linyx的博客
05-20 670
个人日记= =,记录pwn自己的自闭过程
BugkuCTF-PWNpwn6-printf超详细讲解(未提供Libc版本)
am_03的博客
08-31 1347
查看文件类型: 查看保护机制: IDA64位打开: 伪码: 查看子程序: case 2: case 3: case 1:
pwn入门之栈溢出练习
dfdhxb995397的博客
09-10 1003
本文原创作者:W1ngs,本文属i春秋原创奖励计划,未经许可禁止转载!前言:最近在入门pwn的栈溢出,做了一下jarvisoj里的一些ctf pwn题,感觉质量都很不错,难度循序渐进,把自己做题的思路和心得记录了一下,希望能给入门pwn的朋友带来点帮助和启发,大牛轻喷题目链接:https://www.jarvisoj.com/challenges1、level0(64位)代码<ig...
Pwn-最简单栈溢出(2018铁三云贵赛区)write函数泄露+用地址跳回重执行主函数
publicStr的博客
05-16 4713
开始前的例行叨叨:这大概是最简单的pwn题了吧,直接溢出的。主要是记录下write函数泄露动态地址的姿势,还有程序执行完一次就退出了,如何在溢出的末尾让它重执行,以及从lic中提取地址的姿势。...
pwn libc
最新发布
04-01
根据泄漏出来的某个libc符号的真实地址反推出整个libc映射区域的基础地址. 参数: leaked_libc_addr -- 泄露获得的具体某项libc特征数据的实际加载地址 返回值: 计算所得libc基础装载地址 """ return ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值