Ret2libc

最新推荐文章于 2024-05-23 18:42:46 发布
最新推荐文章于 2024-05-23 18:42:46 发布
阅读量654 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iextract/article/details/70620343
版权

昨晚同学问了关于ret2libc时参数布置的问题,今天在此记录
假设熟悉stack overflow
Ps:ret2libc是为了对抗DEP/NX产生

栈的布置

在说明ret2libc之前,栈的布置需要提前说明一下,以以下简单代码为例

#include <stdio.h>

int trap(int x)
{
    int y=0;
    y+=x;
    return y;
}

int main(int argc,char **argv)
{   
    int z=5;
    trap(5);
    return 0;
}

在执行trap(5)之后的栈布局就像是这样

ebp

注意5是在ebp+8这个位置的。

为了对抗DEP/NX,覆盖后的ret-addr必须是可以执行的内存位置,所以引入了ret2libc。

在libc.so中,有一个system()函数,如果我们能把ret-addr覆盖到这里就好了,system需要一个参数,常见的有”/bin/bash”,这个参数又该放在哪里?

假如我们现在成功的覆盖为system,考虑现在的esp和ebp位置
9

当下一步pop eip执行之后,我们就会进入到system()
而system()内执行的是

push ebp
mov ebp,esp
...

所以,ebp会指向上方的over flow,所以,在str-addr就是我们要放置”/bin/bash”的地方啦~(ebp+8)

而下方的overflow我们会放置exit()的地址,因为system()执行完毕后,下一个pop eip的就是这里了

既然都说到了ret2libc,那么ROP也不远啦~有空再来说说ROP

详细ret2libc资料,请参考此pdf

iextract
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8123
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
pwn入门系列-ret2libc2
小心信科理化声
12-10 3058
Ret2libc2 今天来做一下经典的retlibc系列的第二题 资源:ret2libc2 老样子先checksec [*] '/home/giantbranch/Desktop/pwn/ret2libc2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 可以看到
基本ROP之ret2libc2
至臻求学,胸怀云月
02-14 3634
原理 ret2libc即控制函数执行libc中的函数,通常是返回至某个函数plt表处或者函数的具体位置(即函数对应的got表项的内容),一般情况下我们选择执行system("/bin/sh"),故而我们需要知道system函数的地址 过程 下载地址:url checksec IDA分析 gets函数 system函数 经计算gets字符串和ebp的偏移为108,这里不进行赘述 查找bin/s...
ret2libc 泄露libc后构造system(‘/bin/sh‘)进行攻击(pwn入门)
最新发布
2402_83422357的博客
05-23 1251
上面提到了一个措施,ASLR,它在开启后会对共享libc,堆,和栈的地址进行随机化,所谓的随机化呢,就是偏移。接下来以star函数作为返回地址,以star函数作为返回地址可以使我们第二次栈溢出的时候不需要再按照程序逻辑输入2次yes而且star函数是唯一有栈溢出的函数,所以返回地址的正确选取很重要,之前有一次做题返回地址没选好,给自己增加了很多不必要的麻烦.......这个是最基础的32位的ret2libc,还有64位程序的也差不多,就是传参的方式变了,攻击的payload构造的思路是一样的。
ret2libc类型题目思考-ret2libc1
qq_30528603的博客
05-29 186
一眼看到栈溢出,ret2libc这类型的题目就是要利用栈溢出将控制流转移到glibc库的函数中。这里我们一定是找的plt表而不是system字符串的地址,这是要分清楚的。关于plt表和got表参考我的其他博客,这个玩意我也理解了很久比较愚钝。但是我在IDA看到距离ebp是0x64h,就算换算成10进制在加4也是104,当时我就觉得很疑惑。打算复现CTFwiki中的三个ret2libc类型的实现。当函数要返回的时候,他将跳到system函数的地址去执行,此时他将把ebp+4的内容当做函数的第一个参数传递。
【PWN · ret2libc】ret2libc1
Mr_Fmnwon的博客
05-08 1052
当函数运行到调用库函数时,程序将访问对应函数的plt表项,plt表项存着代码,代码分为两部分:第一部分,跳转到对应的got表。第二部分,查找函数的真实地址,修改got表内容。 got表项存着一个地址。然而这个地址并不一开始就是libc中函数的真实地址。 一开始,got表项中地址指向plt代码的第二部分。后来,因运行plt第二部分代码段,got表内容被修改为真实函数地址。依据以上,我们可以......分享几个实用的干货小技巧,不用IDA解决此题
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
ret2libc exploit
07-07
exploit hack linux ret2libc
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
好好说话之ret2libc2
hollk’s blog
06-22 1215
题目路径: /ctf-challenges/pwn/stackoverflow/ret2libc/ret2libc2 看C代码 #include <stdio.h> #include <stdlib.h> #include <time.h> char buf2[100]; void secure(void) { int secretcode, inpu...
使用ret2libc攻击方法绕过数据执行保护
热门推荐
海枫的专栏
02-08 1万+
本文介绍ret2libc攻击方法,可以绕过栈执行保护安全机制
PWN —— ret2libc1
qq_41696518的博客
07-03 427
ret2libc1
CTFWIKI-PWN-ret2libc
m0_64180167的博客
04-20 1061
一遍我们只能找到got表的泄露 我们要写入的话就要重新执行一下 所以等等通过把start的地址存入返回地址 让程序执行两次。puts函数的真实地址 和 通过LibcSearcher工具得到的偏移量 就可以计算出每个函数的基地址。这里有一个问题 为什么我们需要找到开始的地址 _start表示程序开始的地址。如果我们无法找到system的plt地址 那我们就无法调用system函数。不是地址不会变 是函数和puts真实地址的之间的链接是不会变的。所以我们只要使用puts函数的真实地址 求出他们之间的链接。
浅谈rop-ret2libc原理以及解答-以攻防世界level3为例
pointerr的博客
08-05 537
栈溢出-rop-libc 0x01、got表和plt表与动态链接、绑定延迟(重点理解) GOT概述 1、当在程序中引用某个共享库中的符号时,编译链接阶段并不知道这个符号的具体位置,只有等到动态链接器将所需要的共享库加载进内存后,也就是在运行阶段,符号的地址才会最终确定。因此,需要有一个数据结构来保存符号的绝对地址,这就是GOT表的作用,GOT表中每项保存程序中引用其他符号的绝对地址。这样,程序就可以通过引用GOT表来获得某个符号的地址 2、在X86结构中,GOT表的前三项保留,用于保存特殊的数据结构地址,其
【HUST】信息系统安全:系统调用介入作业,安全策略制定,编写简单的64位ret2libc攻击程序
weixin_45695828的博客
05-21 1292
本次实验内容: 针对第一次作业的代码,利用seccomp方法进行对程序进行约束,使得attacker只能将/tmp/flag的内容,向标准输出(STDOUT )进行输出,且只能输出 32 bytes的内容。 要求: 1. 实现上述约束方法; 2. 通过attack,验证上述约束方法的效果,attack包括:1)调用system函数创建shell(或直接调用execve,或调用其它系统调用);2)向其它目标输出内容(如:STDERR)、输出长度调整(超过32 bytes)。 虽然说...
ret2libc
qq_36963214的博客
08-30 235
retlibc ret2libc是返回导向编程(ROP)的一种,在开始数据执行保护的情况下,可以利用ROP执行shellcode 前置知识(栈空间与函数调用) 如果要调用一个函数,如system(const char *cmd),汇编中是这样的 0x56555571 <+36>: lea eax, cmd 0x56555577 <+42>: push eax 0x56555578 <+43>: call 0x565553e0 <system@plt&
pwn ret2libc原理
08-22
- *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值