Ret2Libc 攻击技术

最新推荐文章于 2024-05-23 18:42:46 发布
最新推荐文章于 2024-05-23 18:42:46 发布
阅读量5.6k 收藏 9
点赞数 3
分类专栏: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guilanl/article/details/61921481
版权

1. DEP 技术对stack overflow 的保护:


Data Execution Prevention:  去掉 stack 上的执行权限,可以阻止一部分基于 stack 的攻击。


 2. Ret2Libc 攻击原理


 Return-to-library technique
      简称“Ret2Lib”,这种技术可以绕过DEP的保护,其核心思想是把返回地址直接指向系统某个已存在的函数(一般是system,因为其使用简单,参数只有一个),这样同样可以达到攻击的目的。再来看刚才的例子,如果在badfile构造一些数据,使其被bof函数读取后,达到如下堆栈分布:


        这样当程序执行完bof后,马上就跳转到system函数了,然后去获取其第一个函数,即&"/bin/sh",这样就让程序直接跑起了一个sh进程了。 试想一下,如果这个程序是一个具备suid的程序,那就意味着我们轻易就获得了root权限了。


3. Ret2Libc 的预防


  Borrowed Code Chunks
     "Ret2Lib"一直工作得很好,直接x64体系的出现。x64相比于x86,最后的区别是函数参数的传递不再完全依赖堆栈,其规定函数的第一个参数必须保存到第一个寄存器即EAX,这导致单纯的把参数地址放在堆栈并不能很好的工作,除非函数本身不需要参数。因此,在这种情况下,Borrowed Code Chunks技术就诞生了。这种技术是Ret2Lib技术的一个思维突破,它不再单纯把返回地址指向整个函数入口,而且还包括函数中任意的指令片断。还是回到刚才的DEMO,如果要实现先把&"/bin/sh"的地址赋值给EAX,那么我们可以尝试寻找下列指令:

POP %EAX
ret
或者
POP %EAX
POP %EBX
JMP %EBX
等等
      假如我们找到前者的指令,这样我们在badfile写入如下数据:[POP_address][&/bin/sh][system_address][fake_ebp][fake_retaddress],同样可以达到攻击目标。


4. 补充:


     Ret2libc 攻击除了使用 system() 函数以外,还会使用 exec(), mprotect() 函数。

    mprotect() 函数可以改变 页表的属性,从而使 DEP 攻击失效。



guilanl
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ret2libc
huzai9527的博客
02-03 459
1. buooj - ciscn_2019_c_1(64 位) from pwn import * #p = remote('node3.buuoj.cn',28190) p = process('./ciscn_2019_c_1') context.log_level = 'debug' puts_plt = 0x4006e0 puts_got = 0x602020 gets_got = 0x602050 pop_rdi = 0x0000000000400c83 main = 0x4009a0 #ste
PWN基础16:Ret2Libc 32位实例
prettyX的博客
07-21 1102
这节我们研究的源码 //L16.c #include <stdio.h> char buf2[10]="ret2libc is good"; void vul() { char buf[10]; gets(buf); } void main() { write(1,"hello",5); vul(); }
ret2libc攻击原理+实例分析
yajuanpi4899的博客
11-09 4029
ret2libc攻击方式针对动态链接(Dynamic linking) 编译的程序,静态链接一般利用ROP能简单构造出payload进行攻击(详见ROP博客)。一般情况下无法在程序中直接找到system、execve这一类系统函数,动态链接 ...
Ret2libc
iextract的博客
04-24 661
昨晚同学问了关于ret2libc时参数布置的问题,今天在此记录 假设熟悉stack overflow Ps:ret2libc是为了对抗DEP/NX产生 栈的布置在说明ret2libc之前,栈的布置需要提前说明一下,以以下简单代码为例#include <stdio.h>int trap(int x) { int y=0; y+=x; return y; }int m
实现ret2libc攻击
weixin_33810302的博客
05-01 369
  在protostar的stack6练习中,提到了ret2libc,所以这里先对这种攻击手段做一个介绍,学习来源https://www.shellblade.net/docs/ret2libc.pdf,仍旧是在protostar的虚拟机上进行的实验。 背景   在stack4的练习中,我们用程序中存在的win函数起始地址覆盖了main函数的返回地址。在实际的攻击中,攻击者往往会把自己的she...
使用ret2libc攻击方法绕过数据执行保护
热门推荐
海枫的专栏
02-08 2万+
本文介绍ret2libc攻击方法,可以绕过栈执行保护安全机制
Ret2libc攻击的防御策略有哪些
06-11
1. 栈溢出漏洞修复:修复栈溢出漏洞是防止Ret2libc攻击的最根本方法,可以使用编译器选项、堆栈保护技术、ASLR等方法来修复栈溢出漏洞。 2. ASLR技术:ASLR(Address Space Layout Randomization)技术可以随机化...
Performing a ret2libc Attack-InVoLuNTaRy
04-24
虽然ret2libc攻击是一种强大的技术,但是有几种方法可以帮助减轻此类攻击的影响: - **启用ASLR:** 地址空间布局随机化使得攻击者很难预测到特定库函数的确切位置。 - **使用Canary值:** Canary值可以检测到堆栈...
ret2libc exploit
07-07
ret2libc攻击的核心思想在于利用库函数(通常来自libc库)而不是自定义的shellcode。这是因为libc库中的函数本身是可执行的,并且通常拥有足够的权限来执行危险的操作。通过将返回地址指向libc中的某个函数,攻击者...
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2783
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
ret2libc 泄露libc后构造system(‘/bin/sh‘)进行攻击(pwn入门)
最新发布
2402_83422357的博客
05-23 1315
上面提到了一个措施,ASLR,它在开启后会对共享libc,堆,和栈的地址进行随机化,所谓的随机化呢,就是偏移。接下来以star函数作为返回地址,以star函数作为返回地址可以使我们第二次栈溢出的时候不需要再按照程序逻辑输入2次yes而且star函数是唯一有栈溢出的函数,所以返回地址的正确选取很重要,之前有一次做题返回地址没选好,给自己增加了很多不必要的麻烦.......这个是最基础的32位的ret2libc,还有64位程序的也差不多,就是传参的方式变了,攻击的payload构造的思路是一样的。
Return-into-libc 攻击及其防御
朝歌
09-09 1375
Return-into-libc 攻击及其防御 本文首先分析了 return-into-libc攻击原理,分别介绍了在不同平台进行传统 return-into-libc 攻击的实验过程和结果。然后,本文进一步引入并解释了返回导向编程的攻击方式,这种攻击可以弥补传统 return-into-libc 攻击的不足,使得攻击更灵活、更有效。最后,本文给出了针对这些攻击方法的防御手段
NX机制及绕过策略-ret2libc
qq_41683305的博客
03-24 588
程序: 1.c #include <stdio.h> void exploit() { system("/bin/sh"); } void func() { char str[0x20]; read(0,str,0x50); } int main() { func(); return 0; } 0x01 NX介绍 溢出攻击的本质在于冯·诺依曼计算机模型对数据和代码没有...
9.2 Ret2Libc实战之利用ZwSetInformationProcess
qq_55202378的博客
11-05 1311
DEP ZwSetInformationProcess
浅谈rop-ret2libc原理以及解答-以攻防世界level3为例
pointerr的博客
08-05 548
栈溢出-rop-libc 0x01、got表和plt表与动态链接、绑定延迟(重点理解) GOT概述 1、当在程序中引用某个共享库中的符号时,编译链接阶段并不知道这个符号的具体位置,只有等到动态链接器将所需要的共享库加载进内存后,也就是在运行阶段,符号的地址才会最终确定。因此,需要有一个数据结构来保存符号的绝对地址,这就是GOT表的作用,GOT表中每项保存程序中引用其他符号的绝对地址。这样,程序就可以通过引用GOT表来获得某个符号的地址 2、在X86结构中,GOT表的前三项保留,用于保存特殊的数据结构地址,其
好好说话之ret2libc1
hollk’s blog
06-22 1472
题目路径: /ctf-challenges/pwn/stackoverflow/ret2libc/ret2libc1 一、原理 ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址 看C代码...
ret2libc1
m0_49959202的博客
08-06 297
文章目录ret2libc11.简单机制介绍2.程序分析3.exp编写 ret2libc1 1.简单机制介绍 ret2libc即控制程序执行libc中的函数,一般是返回至某个plt处或者函数的具体的位置(比如got表项的内容)。一般,我们选择跳转到system("/bin/sh")位置,从而获取shell。当程序调用某个函数时,程序会去plt表内查找,plt表再去got内查找,如果got内存在那么直接返回;如果不存在那么就调用查找函数搜寻需要用到的函数,然后存入got表内。 当前的ret2libc1:有sy
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值