PWN基础17:Ret2Libc 64位实例

最新推荐文章于 2023-12-08 19:59:16 发布
最新推荐文章于 2023-12-08 19:59:16 发布
阅读量4.3k 收藏 20
点赞数 4
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/prettyX/article/details/107507184
版权

基础知识

1、复现一下Ret2Libc 32位下的内存布局

针对这张图,我们在上一节做了细致的分析

32位的调用方式

  • 32位系统中调用函数的方式:栈传递参数
  • 构造函数调用将参数和返回地址放在栈上
  • 构造执行write(1,buf2,20)后,再返回main函数

64位的调用方式

  • 64位系统中使用寄存器传递参数:rdi、rsi、rdx、rcx、r8、r9(1-6个参数)
  • http://abcdxyzk.github.io/blog/2012/11/23/assembly-args/
  • 要构造write(1,buf2,20),需要控制3个参数:rdi、rsi、rdx,第3个参数代表输出的size,如果没有rdx的gadget可以暂时不管,输出多少无所谓,在下面我们构造payload的时候,我们不写第3个参数

<

最低0.47元/天 解锁文章
prettyX
关注
  • 4
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8113
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
关于ret2libc 的泄露 puts(64位)+write(32位)
最新发布
zhuo1358的博客
04-05 764
这里提醒一下读者,一定要注意数据的接收顺序来编写recvuntil,笔者在这里卡了好久。这里还要注意栈对齐,要用寄存器多绕一步来维持栈平衡。开始找算偏移和构造system和binsh 的地址。同样还是找不到system 也没有flag等字符。也没有flag的字符,初步认为要泄露libc。很简单 read 函数存在明显的栈溢出。用ROR-gadget寻找合适的寄存器。这里要注意write函数要传入三个参数。接下来开始payload的构造。泄露出地址之后开始寻找版本。泄露出read的真实地址。
64位linux系统:栈溢出+ret2libc ROP attack
weixin_34232363的博客
06-03 902
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
Bossfrank的博客
12-08 5459
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。
CTFShow pwn07 (ret2libc-64bit
Mintind的博客
12-03 1103
CTFShow pwn07解题记录
Ret2libc
钞sir的博客
01-26 8800
三生三世十里桃花 她就像是一道疤 像风像雨像飞沙 像空气一样难抓 简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有sys...
PWN基础16:Ret2Libc 32位实例
prettyX的博客
07-21 1079
这节我们研究的源码 //L16.c #include <stdio.h> char buf2[10]="ret2libc is good"; void vul() { char buf[10]; gets(buf); } void main() { write(1,"hello",5); vul(); }
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
16ret2libc1_32 pwn 入门题
02-11
pwn 入门题
pwn07.ret2syscall例题
11-11
ret2syscall例题
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)
网络安全知识分享
03-28 4522
ROP-ret2libc-32实例 32位思路: 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下: 接下来我们检查保护 我们看到是有NX保护,没有canary和pie保护,我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。 objdump -d -j .plt
PWN学习】如何获取libc基址
Morphy_Amo的博客
12-09 7912
在解pwn题的时候,如果程序中没有可以获得shell的函数,通常会通过got表中调用函数来获取libc基址,然后通过libc获取要用的system函数和binsh字符。
【HUST】信息系统安全:系统调用介入作业,安全策略制定,编写简单的64位ret2libc攻击程序
weixin_45695828的博客
05-21 1290
本次实验内容: 针对第一次作业的代码,利用seccomp方法进行对程序进行约束,使得attacker只能将/tmp/flag的内容,向标准输出(STDOUT )进行输出,且只能输出 32 bytes的内容。 要求: 1. 实现上述约束方法; 2. 通过attack,验证上述约束方法的效果,attack包括:1)调用system函数创建shell(或直接调用execve,或调用其它系统调用);2)向其它目标输出内容(如:STDERR)、输出长度调整(超过32 bytes)。 虽然说...
ret2libc_x64一道经典例题全过程解释
Aiyflwoers的博客
03-27 783
i love pwn
PWN基础15:GOT表 和 PLT表
prettyX的博客
07-18 2521
今天来学习GOT表和PLT表 操作系统通常使用动态链接的方法来提高程序运行的效率。在动态链接的情况下,程序加载的时候并不会把链接库中所有函数都一起加载进来,而是程序执行的时候按需加载,如果有函数并没有被调用,那么就不会再程序中被加载进来。 现代操作系统不允许修改代码段,只能修改数据段,那么GOT表与PLT表就应运而生。 参考 https://zhuanlan.zhihu.com/p/130271689 ...
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值