PWN基础16:Ret2Libc 32位实例

最新推荐文章于 2024-08-18 19:52:12 发布
最新推荐文章于 2024-08-18 19:52:12 发布
阅读量1.1k 收藏 8
点赞数 2
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/prettyX/article/details/107460321
版权
本文详细介绍了Ret2Libc攻击的基础知识,包括Linux的延迟绑定机制、GOT和PLT表的作用,以及如何利用它们进行攻击。重点讨论了在32位环境中,如何泄漏Libc函数地址,理解内存布局,以及构造Payload来实现ret2libc攻击。通过实际的源码分析和Exp编写,最终成功获取Shell。
摘要由CSDN通过智能技术生成

预备知识

在上一节,我们学习了GOT、PLT表,Linux的延迟绑定机制。

1、那么,延迟绑定对我们的学习有什么不一样的启示呢

GOT表

  • 一个绝佳的攻击目标
  • 包含libc函数真实地址,用于泄漏地址
  • 覆盖新地址到GOT表,劫持函数流程

PLT表

  • 不用知道libc函数真实地址,使用PLT地址即可调用函数

2、Libc

  • Libc就是Linux下的C函数库,其中包含着各种常用的函数,在程序执行时才被加载到内存中
  • Libc一定可执行,跳转到Libc中的函数可以绕过NX保护

3、ret2libc的使用条件

  • 泄漏Libc函数地址的条件:程序有输出函数,如puts、printf、write;要输出函数的目的是要泄漏地址
  • 实现:设置好输出函数的参数为某函数GOT表地址;GOT表中保存已调用过的函数的真实地址

4、ret2libc的内存布局,这块要好好理解,理解好了下面才好写Exp

这里的内存布局,参数1、2、3都是write()函数的参数,刚接触的话,难理解的是这个预留返回地址,其余的布局我们都很熟悉了

这里通过一个例子来理解预留返回地址


                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  prettyX
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
PWN基础17:Ret2Libc 64位实例

				
			

			

				

					prettyX的博客
				

				

					07-24
					
					4475
					
				

			

		

		

			
				
复现一下Ret2Libc 32位下的内存布局

针对这张图,我们在上一节做了细致的分析



32位的调用方式

32位系统中调用函数的方式:栈传递参数
	构造函数调用将参数和返回地址放在栈上
	构造执行write(1,buf2,20)后,再返回main函数
64位的调用方式

64位系统中使用寄存器传递参数:rdi、rsi、rdx、rcx、r8、r9(1-6个参数)
这节课,我们研究的源码


#include <stdio.h>

char buf2[10]="ret2libc is goo

			
		

	



                

              
                



	

		

			

				
					
16ret2libc1_32 pwn 入门题

				
			

			

				

					02-11
				

			

		

		

			
				
pwn 入门题

			
		

	



                


  
              

                


	

		

			

				
					
pwn入门之32位ret2libc

				
			

			

				

					wangxunyu6的博客
				

				

					01-08
					
					1151
					
				

			

		

		

			
				
为什么第一个payload发送后能够得到puts_addr,上面说到write函数是关键,看下write函数原型write(1,buf,0x32)和read很像,这里涉及到一个格式化漏洞(这个也是pwn学习中的一大知识点,后续文章再讲),像puts,write,printf等类似函数在书写时不规范会导致多输出一些信息,正确写法应该是printf("%5d\n",1000)这种前面加上格式化的,懒的程序员在写代码时会直接printf(1000)导致泄露信息。的地址,这个地址就是libc文件的基址。

			
		

	





	

		

			

				
					
RET2LIC(32bit的PC)

					
最新发布

				
			

			

				

					m0_74406055的博客
				

				

					08-18
					
					597
					
				

			

		

		

			
				
儿子暂别父亲就去开垦自己的房地(子函数向下压栈来开辟自己的栈空间,其中子函数栈空间开始标志动作就是push ebp这个ebp是previous ebp即父函数的ebp值),然后继续向下开辟资源(存入子函数自己的局部变量)。1,return前,会进行leave指令操作即2步(1)callee的esp会移动到callee的ebp,(2)再弹出ebp即(pop ebp),此时ebp的值是caller的ebp,caller的ebp值又回到ebp寄存器 ,同时esp指向return address。

			
		

	



		

			
		



	

		

			

				
					
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)

				
			

			

				

					Bossfrank的博客
				

				

					12-08
					
					7400
					
				

			

		

		

			
				
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。

			
		

	





	

		

			

				
					
[PWN][高级篇]ROP-ret2libc-32/64位实例  (共四个)

				
			

			

				

					网络安全知识分享
				

				

					03-28
					
					4886
					
				

			

		

		

			
				
ROP-ret2libc-32实例
32位思路:
1、想办法调用execve("/bin/sh",null,null)
2、传入字符串/bin///sh
3、体统调用execve
eax  =   11
ebx  =  bin  sh_addr
ecx  =  0
edx  =  0
int   0x80
实例代码如下:
接下来我们检查保护

我们看到是有NX保护,没有canary和pie保护,我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。
objdump -d -j .plt 

			
		

	





	

		

			

				
					
PWN基础10:Ret2Shellcode 32位实例

				
			

			

				

					prettyX的博客
				

				

					07-14
					
					1074
					
				

			

		

		

			
				
0x01 Ret2Text的局限性




			
		

	





	

		

			

				
					
pwn技巧之ret to libc

				
			

			

				

					这里没人
				

				

					05-14
					
					2457
					
				

			

		

		

			
				
简介

在0day攻击当中有许多的技巧,这次介绍一种常用的攻击手段。ret to libc与栈溢出,堆溢出之类的漏洞利用技巧有所不同。ret to libc是一种在漏洞攻击中的常用的思路。目的是最大化利用所发现的漏洞,实现我们最终的目标get shell

首先,我们来认识一个c语言的库函数


  int system(const char * string);


这个函数的的功能很简单,执行...

			
		

	





	

		

			

				
					
利用ret2libc绕过DEP安全机制

				
			

			

				

					_wells的博客
				

				

					03-29
					
					1171
					
				

			

		

		

			
				
文中的例子是引用了别人的,计作转载吧,具体哪里引用的忘记了数据执行保护:
 
       
DEP就是将非代码段的地址空间设置成不可执行属性,一旦系统从这些地址空间进行取指令时,CPU就是报内存违例异常,进而杀死进程。栈空间也被操作系统设置了不可执行属性,因此注入的Shellcode就无法执行了
 
 
导向系统库函数执行(ret2libc)攻击方法:
      
系统函数库(

			
		

	





	

		

			

				
					
pwn小白入门06--ret2libc

				
			

			

				

					weixin_45943522的博客
				

				

					10-25
					
					8275
					
				

			

		

		

			
				
概述:
前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。
动态链接库:
说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这

			
		

	





	

		

			

				
					
pwn刷题num32----ret2text

				
			

			

				

					tbsqigongzi的博客
				

				

					04-27
					
					452
					
				

			

		

		

			
				
BUUCTF-PWN-jarvisoj_level2_x64

首先查保护–>看链接类型–>赋予程序可执行权限–>试运行
64位程序,小端序
未开启RELRO-----got表可写
未开启canary保护-----存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接

ida一下看一下主函数

看一下 vulnerable_function();函数

栈溢出,read函数读入0x200字节放在buf处,而buf只有0x80字节大小,可以覆盖返

			
		

	





	

		

			

				
					
mprotect,ret2libc

				
			

			

				

					2301_79879963的博客
				

				

					01-27
					
					785
					
				

			

		

		

			
				
果然是进入了mprotect函数,再ni就ni不动了,因为我们还没有填入返回地址,接下来再将返回地址修改为bss,但是到这我们只是修改了bss的权限,以及返回到bss并没有获取权限的操作,那么接下来需要再使用。然后来讲讲mprotect函数的使用规则:mprotect(起始地址(要把后三位地址换成000),长度,0-7(取决于你想把目标地址权限改成什么样儿,一般改成7:可读可写可执行))看到gets函数,那么就存在栈溢出了,shift+f12看了一下也是没有后门函数什么的。

			
		

	





	

		

			

				
					
linux调用接口带参数,系统调用之二:参数传递

				
			

			

				

					weixin_33873270的博客
				

				

					05-14
					
					615
					
				

			

		

		

			
				
1.参数传递在linux中,system_call和sysenter_entry是所有系统调用的公共入口,每个系统调用至少有一个参数,即系统调用号,如前所述,该参数通过eax寄存器传递。例如一个应用程序调用fork,那么在执行int 0x80或者sysenter之前,eax寄存器被设置为2。普通C函数通过将参数的值压入到进程的栈中进行参数的传递。由于系统调用是从用户态到内核态的一种特殊的函数调用,...

			
		

	





	

		

			

				
					
关于libc泄露的有感而发---32位与64位区别

				
			

			

				

					wuyvle的博客
				

				

					01-31
					
					503
					
				

			

		

		

			
				
关于plt表与got表
可执行文件里面保存的是 PLT 表的地址,对应 PLT 地址指向的是 GOT 的地址,GOT 表指向的就是 glibc 中的地址
![在这里插入图片描述](https://img-blog.csdnimg.cn/2021013122504026.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3d1eXZsZQ==,size_1

			
		

	





	

		

			

				
					
栈溢出学习(二)Return2Libc

				
			

			

				

					毒饺子的博客
				

				

					10-24
					
					1029
					
				

			

		

		

			
				
跟随教程https://sploitfun.wordpress.com/2015/
此次实验参考https://sploitfun.wordpress.com/2015/05/08/bypassing-nx-bit-using-return-to-libc/
又看到一个好的博客,也是栈溢出系列:https://www.ret2rop.com/2018/08/return-to-libc.html
NX保护机制
​	NX保护机制原则为可写与可执行互斥,这就导致我们之前在栈上的shellcode不可以被执行,因

			
		

	





	

		

			

				
					
return2libc学习笔记

				
			

			

				

					omnispace的博客
				

				

					03-29
					
					4719
					
				

			

		

		

			
				
0x00 背景介绍

author:万抽抽
r2libc技术是一种缓冲区溢出利用技术,主要用于克服常规缓冲区溢出漏洞利用技术中面临的no stack executable限制(所以后续实验还是需要关闭系统的ASLR,以及堆栈保护),比如PaX和ExecShield安全策略。该技术主要是通过覆盖栈帧中保存的函数返回地址(eip),让其定位到libc库中的某个库函数(如,system等),而不是

			
		

	





	

		

			

				
					
初级 Pwn Ret2Libc 较万用PoC

				
			

			

				

					红叶的博客
				

				

					10-28
					
					225
					
				

			

		

		

			
				
自己写的一个比较通用的PoC,用作备忘。建议先看看为什么要这么写再使用。

			
		

	





	

		

			

				
					
pwn ret2libc原理

				
			

			

				

					08-22
				

			

		

		

			
				
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。

在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。

具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。

总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
#### 引用[.reference_title]
-  *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"]
-  *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"]
[ .reference_list ]

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值