[CTF]PWN--新人入门第一关--Ret2libc

已于 2024-02-29 21:22:28 修改
阅读量1.6k 收藏 21
点赞数 32
CC 4.0 BY-SA版权
文章标签: 数据结构
于 2024-02-29 19:31:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79880752/article/details/136379017

先说说什么是libc库吧

当一个程序(e)需要执行gets函数(某个函数),而e本身没有这个函数的具体代码,它就需要跳到libc动态链接库中去执行gets函数,在libc动态链接库中gets函数才能够真正的执行,e中的get只是一个指针,指向libc库中get函数的真实地址

即当一个程序中没有某个函数(gets)的时候,它就会连接libc动态链接库,执行其中的gets函数

libc库中包含了所有可执行的函数,你能在其中找到任何你需要的函数

当然了,有动态链接库,自然也有静态链接库,区别就在于,动态链接库与程序是俩个独立的个体,当程序需要libc时才会连接使用其中的函数,而静态链接库与程序是一个整体,会将程序与它放到一个附件中,这样无疑会占用更多的空间,造成空间浪费

因此,大多数情况下都是使用动态链接库,以达到节省空间的作用

libc库里的所有函数地址都是一个偏移后的地址(动态链接库每次生成的偏移后的某函数的地址是一样的,但不同的链接库的生成的偏移后的某地址是不一样的),而程序在运行的时候会随机产生一个libc库的基址libc_base,我们只需要用基址加上偏移后的函数的地址就可以得到函数的真实地址[这边实际上可以把偏移后的函数地址理解为函数的偏移,我们需要用libc基址加上偏移才能得到真实的函数地址,而不同函数的偏移是不一样的,但同一个libc库每次生成的同一个函数的偏移是一样的]

那做题的时候要怎么利用呢?

首先,我们需要知道我们的这个程序在运行之后会产生一个libc基址(libc为一个动态链接库,当我们的程序需要执行一个函数的时候,会从li

最低0.47元/天 解锁文章

200万优质内容无限畅学
Pers1st.
关注
pwn-ret2libc基础
admin的博客
10-04 1211
题源:基本 ROP - CTF Wiki (ctf-wiki.org)ret2libc的例三 这题的特点是:没有system,没有bin/sh。但是有puts,和gets函数。碰到gets函数基本上又是栈溢出大类中的题目。 ①先检查保护 ②:计算system和bin/sh的实际地址。 核心公式就是:函数真实地址=基地址+偏移量 那么我们如何得到 system 函数的地址呢?这里就主要利用了两个知识点 ①system 函数属于 libc,而 libc.so 动态链接...
CTFshow-PWN-栈溢出(pwn49)两种方法+动调分析
Welcome To Myon'Blog !
06-09 1310
执行后,可以看到 0x80da000 往后部分为可读可写可执行权限。看似开了 canary 保护,实际没有,是 checksec 版本太老了,检测到 __stack_chk_fail 函数就算开了。看似和上一题一模一样,但是细心的小朋友应该注意到了,左边多出了很多函数,说明这个程序是静态链接的,静态链接就意味着没法去打 ret2libc了,还是无 system 无 /bin/sh,考虑打 ret2syscall。
pwn ret2libc
清霂的博客
02-04 602
目录1.攻防世界 level32.buu babyrop3.buu ciscn_2019_c_1 1.攻防世界 level3 把文件放到kali里面发现是一个压缩包(放入exeinfo里面也可以发现是压缩包),解压缩得到level3和libc.so文件 file checksec ida32 进入漏洞函数vunl(),发现有栈溢出漏洞 没有system函数和/bin/sh 题目提示了用libc。 libc.so是一个函数库(类似于C语言#include<iostream>的iostrea
CTFWIKI-PWN-ret2libc
m0_64180167的博客
04-20 1272
一遍我们只能找到got表的泄露 我们要写入的话就要重新执行一下 所以等等通过把start的地址存入返回地址 让程序执行两次。puts函数的真实地址 和 通过LibcSearcher工具得到的偏移量 就可以计算出每个函数的基地址。这里有一个问题 为什么我们需要找到开始的地址 _start表示程序开始的地址。如果我们无法找到system的plt地址 那我们就无法调用system函数。不是地址不会变 是函数和puts真实地址的之间的链接是不会变的。所以我们只要使用puts函数的真实地址 求出他们之间的链接。
保姆级教程:手把手通关BUUCTF ciscn_2019_c_1 (栈溢出 + ROP + 信息泄露 +ret2libc)
最新发布
2301_76794844的博客
06-27 1508
保姆级教程:手把手通关BUUCTF ciscn_2019_c_1 (栈溢出 + ROP + 信息泄露 +ret2libc)
PWN题型之Ret2Libc
swedsn
03-18 6104
文章目录前言0x1 :使用前提条件0x2 :为什么要这么使用0x3 :使用方法0x4 :实例二、使用步骤总结 前言 菜鸡总结,如有不对,请指点 0x1 :使用前提条件 查看保护:开启了NX保护,但是没有开启PLE保护,可以开启canary保护。但是这样就是两种题型结合了。 打开IDA查看源代码:存在溢出条件,但是没有system函数(/bin/sh)和 flag字样。 ` 0x2 :为什么要这么使用 由于缺少system函数,所以需要构造shellcode。但是开启了NX保护(可执行的不可修改,可修改不可执
ctfwiki开始的pwn之旅 4.ret2libc
2301_80361487的博客
12-05 1434
当一个函数被调用过后,got表里保存了他在内存中的地址,可以通过泄漏got表内存来泄漏函数地址,然后可以根据起泄漏的函数地址获得其libc版本,从而计算其他函数在内存空间中的地址。为什么不能直接跳到got表,通过前面的前置知识我们知道plt表中的地址对应的是指令,got表中的地址对应的是指令地址,而返回地址必须保存一段有效的汇编指令,所以必须要用plt表。可执行文件里保存的是plt表的地址,对应plt地址指向的是got的地址,got表指向的是glibc中的地址。经在 ida 中查找,确实也存在。
PWN篇:ret2libc
weixin_44644249的博客
01-28 561
PWN篇:ret2libc 源码 #include void vuln_func(){ char buf[128]; read(STDIN_FILENO,buf,256); } int main(int argc,char* argv[]){ vuln_func(); write(STDOUT_FILENO,"hello world!\n",13); } 很明显vuln为溢出函数 编译 gcc -m32 -fno-stack-protector -no-pie -z execstack tes
CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用
serfend's blog
04-15 2558
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码:2n64 答案:flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路 发现加密位置,判断其溢出点 通过设置第一个字符为\0以让strlen返回0,从而避免payload被破坏 构造执行,溢出获取puts的地址,从而得到libc版本 再次溢出,执行获取sh
ROP;Ret2libc应用详解;CTF-pwn writeup;pwntools,one_gadget应用
CHERRY_cong的博客
05-01 767
ROP;Ret2libc; CTF-pwn题writeup;pwntools,one_gadget解题 pwn1 逆向代码 // IDA 7.5 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[48]; // [rsp+0h] [rbp-30h] BYREF init(); puts("Show me your code :D"); gets(buf, argv); return 0
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
热门推荐
Bossfrank的博客
12-08 1万+
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。
ret2libc1pwn 入门
02-11
pwn 入门
ret2libc2pwn 入门
02-11
pwn 入门
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
pwn学习笔记(4)ret2libc
qq_66013948的博客
02-19 1565
​ 静态链接是由链接器在链接时将库的内容加入到可执行程序中的做法。链接器是一个独立程序,将一个或多个库或目标文件(先前由编译器或汇编器生成)链接到一块生成可执行程序。这里的库指的是静态链接库,Windows下以.lib为后缀,Linux下以.a为后缀。​ 也就是说将静态链接库中的所有的函数都写入这个ELF文件中,所以会造成该二进制文件极为庞大,因此也会存在很多的可供利用来ret2syscall的gadgets。但是,使用静态链接生成的可执行文件体积较大,包含相同的公共代码,造成浪费。
pwn基本ROP——ret2libc
turtlesd的博客
04-26 3126
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
pwn ret2libc系列
zip471642048的博客
05-30 307
文章目录ret2libc1 题目链接 :https://github.com/ctf-wiki/ctf-challenges ret2libc1 checksec一下只开了NX 和 部分RELRO main函数 secure函数 有溢出给了plt表里也有system函数的address 也有/bin/sh字符串,payload已经可以构造出来了 offset = 0x64 ...
PWN · ret2libc】[2021 鹤城杯]babyof
Mr_Fmnwon的博客
05-30 2859
64位Linux和32位Linux确乎有着关于参数传递上的不同,然而无论哪种,关于ret2libc这一题型。如果仅仅是wiki上的三道题目,那还是远远不够的。故尝试通过本题,总结ret2libc的一般过程。过程包括通过puts/write来泄露got表中的puts/write的真实地址->计算libc的基址->libc基址+任意库函数相对于libc的偏移量=任意函数真实地址->libc基址+libc中'/bin/sh'偏移量='/bin/sh'地址,如此构造system('/bin/sh')
pwn学习——ret2libc2
MrTreebook的博客
11-28 1267
pwn学习——ret2libc21.攻击原理2. ret2libc2的源代码3.checksec看一下保护4.exp 1.攻击原理 通过把函数返回地址直接指向系统库中的函数(如system函数),同时构造该函数的输入参数栈,就可以达到代码执行的目的。 正常堆栈布局: ret2libc执行system的堆栈布局: 本题和ret2libc1的区别就是程序中没有自带"/bin/sh",需要自己写进去 2. ret2libc2的源代码 #include <stdio.h> #include <
ctf wiki pwn ret2libc
03-01
### CTF PWN Ret2libc 攻击教程与实例 Ret2libc是一种利用栈溢出漏洞的技术,在这种技术下,攻击者通过覆盖返回地址来调用系统中的现有函数(通常是`system()`),从而执行任意命令。当面对静态链接的二进制文件时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值