漏洞收集

你的名字 2023-10-10 10:11 86阅读 0赞

# 2019年8月6日： #

注意数组下标越界造成的漏洞

地址可以分批输入

system("sh")也可以执行

例题：攻防世界 pwn 高阶 stack2

js shell

例题：攻防世界 pwn 高阶 monkey

# 2019年8月9日： #

ret2\_runtime\_resolve

大致流程：

1.  修改 .plt 中的偏移使其指向伪造的 .rel.plt 节区中信息
2.  设计好伪造的 .rel.plt  节区信息使其指向伪造的  .dynsym
3.  伪造.dymsym 使其指向 .dynstr 。最后修改动态连接字符串为目标函数名

攻击条件：dl\_resolve不会检查对应的符号是否越界，只会根据我们给定的数据来执行，dl\_resolve最后的解析依赖于所给定的字符串

注意事项：把栈迁移到 .bss节区时应先检查是否可写，伪造 r\_info 时注意能否被 0x10 整除

参考文章：[https://wiki.x10sec.org/pwn/stackoverflow/advanced\_rop/][https_wiki.x10sec.org_pwn_stackoverflow_advanced_rop]

# 2019年8月15日： #

无 “/bin/sh” 可以去libc中找，也可以考虑向 .bss中写入(前提是 .bss 段可写)

注意 ：p.send 和 p.sendline适用条件

# 2019年9月14日： #

## 泄露libc函数地址的一些方法： ##

（一）LibcSearCher：使用前先泄露其中某个函数的地址，比如说：puts（），write（）等函数的地址。例如：

from LibcSearcher import \* \#第二个参数，为已泄露的实际地址,或最后12位(比如：d90)，int类型 obj = LibcSearcher("fgets", 0X7ff39014bd90) obj.dump("system") \#system 偏移 obj.dump("str\_bin\_sh") \#/bin/sh 偏移 obj.dump("\_\_libc\_start\_main\_ret")

具体安装和使用可以去github：[https://github.com/lieanu/LibcSearcher][https_github.com_lieanu_LibcSearcher]

（二）DynELF：pwntools中的DynELF模块是专门针对没有libc文件时泄露地址信息，从而获取shell。其代码模板如下：

p = process('./xxx')
    def leak(address):
      #各种预处理
      payload = "xxxxxxxx" + address + "xxxxxxxx"
      p.send(payload)
      #各种处理
      data = p.recv(4)
      log.debug("%#x => %s" % (address, (data or '').encode('hex')))
      return data
    d = DynELF(leak, elf=ELF("./xxx"))      #初始化DynELF模块 
    systemAddress = d.lookup('system', 'libc')  #在libc文件中搜索system函数的地址

参考文章：[https://www.anquanke.com/post/id/85129][https_www.anquanke.com_post_id_85129]

（三）OneGadget：没用过，有兴趣的可以参考：[https://github.com/david942j/one\_gadget][https_github.com_david942j_one_gadget]

转载于:https://www.cnblogs.com/countfatcode/p/11309247.html

[https_wiki.x10sec.org_pwn_stackoverflow_advanced_rop]: https://wiki.x10sec.org/pwn/stackoverflow/advanced_rop/
[https_github.com_lieanu_LibcSearcher]: https://github.com/lieanu/LibcSearcher
[https_www.anquanke.com_post_id_85129]: https://www.anquanke.com/post/id/85129
[https_github.com_david942j_one_gadget]: https://github.com/david942j/one_gadget