华科信息系统安全作业: 利用ret2libc实现控制流劫持

已于 2023-05-09 14:57:16 修改
阅读量658 收藏 9
点赞数 8
文章标签: 安全 c语言 网络安全 python
于 2023-04-21 19:12:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/finelaoy/article/details/130263862
版权

一、目标程序分析

        main()函数分析

        要进行劫持的目标程序如下

#define _GNU_SOURCE
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>
#include <dlfcn.h>

void start() {
  printf("IOLI Crackme Level 0x00\n");
  printf("Password:");

  char buf[64];
  memset(buf, 0, sizeof(buf));
  read(0, buf, 256);

  if (!strcmp(buf, "250382"))
    printf("Password OK :)\n");
  else
    printf("Invalid Password!\n");
}

int main(int argc, char *argv[]) {

  setreuid(geteuid(), geteuid());
  setvbuf(stdout, NULL, _IONBF, 0);
  setvbuf(stdin, NULL, _IONBF,0);

  start();

  return 0;
}

         主程序这里三段代码的功能都是进行简单的安全防护

setreuid(geteuid(), geteuid());
setvbuf(stdout, NULL, _IONBF, 0);
setvbuf(stdin, NULL, _IONBF,0);

        我们可以找到geteuid()setreuid()函数的相关解释,简单来说,euid(有效用户)是创建程序的用户id,uid(真实用户)是运行程序过程中的用户id,一般情况下来说两者是相等的,但由于程序运行过程中某些操作可能需要更高的特权级来进行,于是这时的uid就会临时变为更高权限的用户id,比如root

        所以这里的setreuid()将程序执行中的uid也设置为euid,为了避免特权级被非法的提升

getuid() :  函数返回一个调用程序的真实用户ID。表明当前运行位置程序的执行者。

geteuid(): 函数返回返回一个有效用户的ID。(EUID)是你最初执行程序时所用的ID,该ID

是程序的所有者。   

setreuid(uid_t ruid, uid_t euid)用来将参数ruid 设为目前进程的真实用户识别码, 将参数euid 设置为目前进程的有效用户识别码. 如果参数ruid 或euid 值为-1, 则对应的识别码不会改变。

        setvbuf()函数的定义如下

int setvbuf(
   FILE *stream,
   char *buffer,
   int mode,
   size_t size
);

        是对stream流的缓冲区进行设置,在这里我们只需要关心其中的mode参数的含义,可以看到程序中使用的_IONBF是将缓冲区设置为无,这样的目的是可以部分防止缓冲区溢出漏洞

模式 描述
_IOFBF 全缓冲:对于输出,数据在缓冲填满时被一次性写入。对于输入,缓冲会在请求输入且缓冲为空时被填充。
_IOLBF 行缓冲
最低0.47元/天 解锁文章
gigawizard
关注
linux pwn栈溢出漏洞原理
weixin_45948183的博客
03-24 551
学习栈溢出首先了解一下linux pwn常见的保护 》RELRO 部分RELRO: 将.got段映射为只读(但.got.plt还是可以写) 重新排列各个段来减少全局变量溢出导致覆盖代码段的可能性. 完全RELRO: 执行部分RELRO的所有操作. 让链接器在链接期间(执行程序之前)解析所有的符号, 然后去除.got的写权限. 将.got.plt合并到.got段中, 所以.got.plt将不复存在....
华科2022信息系统安全实验2任务一AppArmor
06-01
华科2022信息系统安全实验任务一AppArmor
华科信息系统安全作业2:ROP与Return2Libc攻击
weixin_46237311的博客
04-14 800
华科信息系统安全作业2:ROP与Return2Libc攻击作业要求1. ROP1.1 安装ROPgadget1.2 环境1.3 EIP与buffer的距离1.4 badfile & Attack2. Return2libc环境配置Task A :查找system()的地址Task B :查找 “/bin/sh” 字符串的地址Task C : 为system()构造参数,在堆栈中查找位置以放置“/bin/sh” 地址(system()的参数) 作业要求 homework2.c有缓冲区溢出漏洞,利用re
华中科技大学网安学院信息系统安全实验 系统安全 APPARMOR
Bourne的博客
06-24 2874
2.1 APPARMOR实验 2.1.1 实验目的 AppArmor是linux系统中提供的一种强制访问控制方法,与SELinux类似,AppArmor 通过提供强制访问控制(MAC) 来补充传统的Linux自主访问控制(DAC) 。AppArmor允许系统管理员通过为每个程序进行权限配置,来限制程序的功能。配置文件可以允许诸如网络访问、原始套接字访问以及在匹配路径上读取、写入或执行文件的权限等功能。本实验的学习目标是让学生根据不同程序的访问控制需求,使用AppArmor进行访问控制配置,理解最小特权原则,
华中科技大学信息系统安全实验报告
08-10
华中科技大学信息系统安全实验报告2020 本实验的目的是让学生将从书本中学到的有关缓冲区溢出漏洞的 知识应用到实践中。 程序向预分配的固定长度缓冲区写入数据时,如果写入的数据的长度大于缓冲区的固定长
从零开始学逆向:理解ret2libc-1
weixin_44626085的博客
02-19 1532
ret2libc劫持程序的控制流,使其执行libc中的函数,一般是返回到某个函数的plt处,或者某个函数的具体位置(函数对应got表的内容),大多情况下是执行system('/bin/sh')。
从零开始学逆向:理解ret2libc-3
最新发布
weixin_44626085的博客
02-20 1507
题目下载链接:https://pan.baidu.com/s/1wk3JFQBHgVZ0vjfnQk60Ug 提取码:0000。
64位linux系统:栈溢出+ret2libc ROP attack
Zhangmii的博客
06-03 2391
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,主要通过...
linux 64位 内存泄漏,64位linux系统:栈溢出+ret2libc ROP attack
weixin_34185033的博客
05-01 685
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
【HUST】信息系统安全:Ret2libc多函数调用,ASLR两种情况(1)
weixin_45695828的博客
04-20 5572
Ret2libc:Return to libc,顾名思义,就是通过劫持控制流使控制流指向libc中的系统函数,从而实现打开shell等其他工作。 在本次作业中,我们的目标是通过运行stack.c程序来访问系统上的/tmp/flag程序的内容,其中,可以看到stack.c的程序的源代码如下: #define _GNU_SOURCE #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include &
【HUST】信息系统安全:Ret2libc多函数调用,ASLR两种情况(2)
weixin_45695828的博客
04-26 2169
Ret2libc:Return to libc,顾名思义,就是通过劫持控制流使控制流指向libc中的系统函数,从而实现打开shell等其他工作。 在本次作业中,目标是通过运行stack.c程序来访问系统上的/tmp/flag程序的内容,其中,可以看到stack.c的程序的源代码如下 #define _GNU_SOURCE #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include &lt.
栈溢出原理
qq_52126646的博客
08-07 6985
栈溢出原理 文章目录栈溢出原理前言:栈一、栈溢出原理二、栈保护技术三、常发生栈溢出的危险函数四、可利用的栈溢出覆盖位置总结 前言:栈 栈是一种LIFO的数据结构。 应用程序有一到多个用户态栈。 栈自底向上增长,由指令PUSH和POP引起其动态变化。 局部变量布局在栈中。 调用函数时参数由栈传递,返回地址也存储于栈中。 函数调用上下文与局部变量共同组成了栈帧——Stack Frame. 栈帧 = 局部变量 + 函数调用上下文 栈帧实际上只是一个通俗的说法,关于栈帧的上下界历来有两种说法,一曰以EBP和E
从getuid()&+geteuid()谈文件特殊权限
ISPCFS的专栏
10-13 1784
本文多处参考以下文章,向作者致谢。勉为其难算作原创~~~ http://www.groad.net/bbs/read.php?tid-868.html http://www.groad.net/bbs/read.php?tid=749 http://www.groad.ne
geteuid()和getuid()的区别
行者无疆
03-01 1万+
<br />geteuid():返回有效用户的ID。<br />getuid():返回实际用户的ID。<br />有效用户ID(EUID)是你最初执行程序时所用的ID   <br />  表示该ID是程序的所有者   <br />  真实用户ID(UID)是程序执行过程中采用的ID   <br />  该ID表明当前运行位置程序的执行者   <br />  举个例子   <br />  程序myprogram的所有者为501/anna   <br />  以501运行该程序此时UID和EUID都是501  
ODOO12开启超级用户账号
r_nznf的博客
09-10 991
在此前的 Odoo 版本中,admin 用户是一个特权用户可以不受权限控制。Odoo 12就此做了调整,admin 用户属于所有用户安全组,但只是个普通用户。还是存在一个超级用户不受权限控制,但它无法直接登录。 我们还是能以超级用户进行操作,当一个用户以系统管理/设置用户组登录时,在激活开发者模式后,开发者工具菜单中有一个成为超级用户选项, 或者在登录页面开启开发者模式,则会出一个以超级用户身份登录的隐藏按钮。 在激活了超级用户后,右上角的当前用户显示为 OdooBot,该处背景也会变成黄黑间隔的条状,
getuid() 与 geteuid() -- 获得 UID 以及 有效 UID 值
热门推荐
dedlous的专栏
01-09 1万+
函数声明: #include #include uid_t getuid(void); uid_t geteuid(void); 说明: 两个函数分别获得用户 UID 值( getuid() ) 与 用户有效 UID 值 ( geteuid() )。 测试程序(用 root 用户创建编译并创建可执行文件): #include #inclu
gdb | 简单的控制流劫持
JacobTsang的博客
09-16 1707
root@localhost:~/Desktop# cat 1.c #include <stdio.h> #include <string.h> void function2(){ printf("Execution flow changed\n"); } void function1(char *str){ char buffer[5]; strcpy(bu...
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值