跟着CTF-wiki学pwn——ret2libc1

最新推荐文章于 2023-05-13 15:10:33 发布

大瑞大

最新推荐文章于 2023-05-13 15:10:33 发布

阅读量440

点赞数 2

分类专栏：跟着CTF-wiki学pwn 文章标签：安全 pwn 漏洞

本文链接：https://blog.csdn.net/qq_42882717/article/details/125616935

版权

本文详细介绍了CTF中ret2libc攻击的原理和步骤，包括检查程序安全保护、寻找/bin/sh和system函数地址，以及如何构造payload调用libc函数执行/bin/sh。虽然例子简单，但揭示了在没有直接地址时的挑战。

摘要由CSDN通过智能技术生成

ret2libc

原理

执行libc中的/bin/sh

步骤

首先，检查程序的安全保护
在这里插入图片描述

开启NX：no executable 
（不可执行内存数据页）
（不能利用ret2text与ret2shellcode）

其次，查看有无/bin/sh

查看有无system （segment是plt，不是extern）

在这里插入图片描述

/bin/sh，是一个字符串，需要知道地址。

system，是一个可调用函数，需要知道地址。

用 system 调用 /bin/sh即可

所以编写payload，寻址方式可以查看

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

大瑞大

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

ret2libc1做题历程分享(ctfwiki)

Rt1Text的博客

02-09

284

pwn 题 ret2libc1 system与bin/sh都给出

ret2libc类型题目思考-ret2libc1

qq_30528603的博客

05-29

206

一眼看到栈溢出，ret2libc这类型的题目就是要利用栈溢出将控制流转移到glibc库的函数中。这里我们一定是找的plt表而不是system字符串的地址，这是要分清楚的。关于plt表和got表参考我的其他博客，这个玩意我也理解了很久比较愚钝。但是我在IDA看到距离ebp是0x64h，就算换算成10进制在加4也是104，当时我就觉得很疑惑。打算复现CTFwiki中的三个ret2libc类型的实现。当函数要返回的时候，他将跳到system函数的地址去执行，此时他将把ebp+4的内容当做函数的第一个参数传递。

1 条评论您还未登录，请先登录后发表或查看评论

PWN学习，对CTF-wiki上的讲解进行一些补充

qq_33948522的博客

06-27

5699

`基本知识 ROP Return Oriented Programming,其主要思想是在栈缓冲区溢出的基础上，利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值，从而控制程序的执行流程。一般的栈结构：高地址 +-----------------+ ...

ret2libc1

m0_49959202的博客

08-06

304

文章目录ret2libc11.简单机制介绍2.程序分析3.exp编写 ret2libc1 1.简单机制介绍 ret2libc即控制程序执行libc中的函数，一般是返回至某个plt处或者函数的具体的位置（比如got表项的内容）。一般，我们选择跳转到system("/bin/sh")位置，从而获取shell。当程序调用某个函数时，程序会去plt表内查找，plt表再去got内查找，如果got内存在那么直接返回；如果不存在那么就调用查找函数搜寻需要用到的函数，然后存入got表内。当前的ret2libc1：有sy

ctf wiki ret2libc1

weixin_55885866的博客

05-13

寻找system函数使用gdb info function system。4.由于调用函数需要压入参数， push eip 模仿调用。填充字节为：71c-6ac = 112（十进制）大概明白最后一个函数是gets函数存在漏洞。3.查看v4距离返回地址存在多少字节。发现开始nx（栈段不可执行）寻找”/bin/sh“1.检查安全保护机制。

PWN —— ret2libc1

qq_41696518的博客

07-03

456

ret2libc1

Ret2libc 1

weixin_44864859的博客

05-19

733

Ret2libc 1 题目代码和之前一样，gets函数存在栈溢出。同时也存在system函数，但是不同之处是我们不能直接跳转到system(“shell!?”)。因为我们要执行的是system(“bin/sh”)。首先，我们可以在内存中搜索一下看有没有这个字符串我们可以看到在0x8049720存在我们需要的字符串那么，我们直接返回该处，即执行 system 函数。相应的 payload 如下 from pwn import * sh = process('./ret2libc1') binsh_

跟着CTF-Wiki学pwn|格式化字符串(1)

Kni9hT's Blog

05-19

2233

文章目录格式化字符串漏洞原理介绍格式化字符串函数介绍格式化字符串函数格式化字符串参数格式化字符串漏洞原理格式化字符串漏洞利用程序崩溃泄露内存泄露栈内存获取栈变量数值获取栈变量对应字符串泄露任意地址内存覆盖内存覆盖栈内存确定覆盖地址确定相对偏移进行覆盖覆盖任意地址内存覆盖小数字覆盖大数字格式化字符串漏洞原理介绍首先，对格式化字符串漏洞的原理进行简单介绍。格式化字符串函数介绍格式化字符串函数可以接受可变数量的参数，并将第一个参数作为格式化字符串，根据其来解析之后的参数。通俗来说，格式化字符串函数就是将计

ret2libc1pwn 入门题

02-11

pwn 入门题

pwn-ret2libc基础

admin的博客

10-04

947

题源：基本 ROP - CTF Wiki (ctf-wiki.org)ret2libc的例三这题的特点是：没有system，没有bin/sh。但是有puts，和gets函数。碰到gets函数基本上又是栈溢出大类中的题目。 ①先检查保护 ②：计算system和bin/sh的实际地址。核心公式就是：函数真实地址=基地址+偏移量那么我们如何得到 system 函数的地址呢？这里就主要利用了两个知识点 ①system 函数属于 libc，而 libc.so 动态链接...

CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用

serfend's blog

04-15

2444

CTF-PWN 来源：https://buuoj.cn/challenges 内容：附件：https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码：2n64 答案：flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路发现加密位置，判断其溢出点通过设置第一个字符为\0以让strlen返回0，从而避免payload被破坏构造执行，溢出获取puts的地址，从而得到libc版本再次溢出，执行获取sh

ROP-基础-ret2libc1

热门推荐

ATFWUS的博客

02-28

1万+

文件下载地址：链接：https://pan.baidu.com/s/1DN4q7Dl5J45rIysA0DvZ5A 提取码：0wn8 0x01.分析 checksec： Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enab...

【PWN · ret2libc】ret2libc1

Mr_Fmnwon的博客

05-08

1518

当函数运行到调用库函数时，程序将访问对应函数的plt表项，plt表项存着代码，代码分为两部分:第一部分，跳转到对应的got表。第二部分，查找函数的真实地址，修改got表内容。 got表项存着一个地址。然而这个地址并不一开始就是libc中函数的真实地址。一开始，got表项中地址指向plt代码的第二部分。后来，因运行plt第二部分代码段，got表内容被修改为真实函数地址。依据以上，我们可以......分享几个实用的干货小技巧，不用IDA解决此题

好好说话之ret2libc1

hollk’s blog

06-22

1514

题目路径： /ctf-challenges/pwn/stackoverflow/ret2libc/ret2libc1 一、原理 ret2libc 即控制函数的执行 libc 中的函数，通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下，我们会选择执行 system("/bin/sh")，故而此时我们需要知道 system 函数的地址看C代码...

pwn学习——ret2libc1

MrTreebook的博客

11-28

1315

pwn学习——ret2libc11.看一下程序的保护2.看一下main函数有没有溢出3.ROPgadget4.exp 1.看一下程序的保护 ➜ ret2libc1 checksec ret2libc1 Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 2.看一

CTFWiki-pwn

qq_55233040的博客

05-03

1499

stackoverflow ret2text 首先checksec一下，是32位可执行文件，没有开启保护放入ida，shift+f12查看字符串，发现secure函数中使用system函数调用了"/bin/sh"，记下地址0x804863a 查看偏移地址脚本如下： from pwn import * io = process("./ret2text") payload = b"a"*112 + p32(0x804863a) io.sendline(payload) io.interactive(

Ret2Libc(1) （有system、/bin/sh）绕过NX、ASLR

X丶的博客

11-21

1131

Ret2Libc即控制程序执行libc库中的函数。通常是返回到某个函数的plt处，或者函数运行时候的实际地址。下面是一个例子：可以看出程序gets有一个明显的溢出漏洞 gdb-peda$ checksec CANARY : disabled FORTIFY : disabled NX : ENABLED PIE : disabled RELRO...

https://ctf-wiki.org/