# Return to libc

最新推荐文章于 2021-06-18 14:20:35 发布
最新推荐文章于 2021-06-18 14:20:35 发布
阅读量288 收藏
点赞数
分类专栏: 计算机安全导论 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43674956/article/details/113528507
版权

Return to libc

在典型的栈溢出攻击中,需要把shellcode放在栈内,这样遇到不可执行栈防护的时候就无法成功。

这起源于我们对恶意代码有着自己的想法,想要自己编写一个恶意代码,然后将返回函数地址修改,但是能拿到rootshell,其实应该就大差不错的够了,而这样的功能的实现在动态链接库里有,如system函数这种老生常谈的不安全函数。如果我们能把返回地址修改为system函数所在地址,并且设法把参数成功传递,那我们就不需要自我编写恶意代码且担心栈的不可执行

这是对不可执行栈的绕过,当然我们也可以选用将不可执行栈修改为可执行栈,在编程中,这往往就是一个标志位的值的改变

想要实现return to libc

首先要知道****system****函数的地址在没有开启地址随机化的前提下

对于同一个程序,函数库总是加载到同一个位置

所以可以通过调试有漏洞的特权程序来确定libc函数的位置

其次是知道要传入命令所在的地址

可以通过直接存在缓冲区中,或者通过存储在环境变量中,使用export指令指明该环境变量会被传递给子进程。

关闭了地址随机化后。一个环境变量在一个进程的不同子进程中是一样的

需要注意的是环境变量的地址在不同程序名下是不一样的,在环境变量被压入栈中首先被压入栈的就是程序的名字,所以程序名字会影响地址

再者是知道system函数调取参数的地址

使用return to libc 攻击,我们只是将返回地址填成了system函数吗,系统没有做好加载它的准备,并没有将它要的参数预加载到栈里。所以我们要自己加载,要猜测地址,而根据栈结构,

ebp+8是放置第一个参数的位置。所以我们要把参数放在这个地方。而ebp的值在函数的开头和末尾有着变化,一个函数的开头末尾称之为函数的序言和后记,为了能准确预测ebp的地址。

我们应该充分了解二者。

ebp+4的地方放上exit()函数的地址是比较好的处理,这样程序可以完美结束

返回导向编程(ROP)

将一些小的指令,这些指令的末尾都是return。通过正确的设置返回地址,可以将这些指令串联起来,借此达到自己的目的

醉悒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【无标题】
weixin_49521763的博客
12-12 196
2021-2022-1 20212825《Linux内核原理与分析》第十二周作业 一.实验描述 缓冲区溢出的常用攻击方法是用 shellcode 的地址来覆盖漏洞程序的返回地址,使得漏洞程序去执行存放在栈中 shellcode。为了阻止这种类型的攻击,一些操作系统使得系统管理员具有使栈不可执行的能力。这样的话,一旦程序执行存放在栈中的 shellcode 就会崩溃,从而阻止了攻击。 不幸的是上面的保护方式并不是完全有效的,现在存在一种缓冲区溢出的变体攻击,叫做 return-to-libc 攻击。这种攻击不
Return to Libc 3
weixin_43467772的博客
03-26 235
Return to Libc 3 1、IDA分析程序,审计源码,查找漏洞。 IDA分析程序,没有system函数和‘/bin/sh’这个字符串,需要我们自己找到。(通过libc的固定偏移) 发现漏洞gets,可以利用栈溢出,使函数跳转到system,最后getshell。 我们的思路就是构造payload泄漏libc的版本通过加载这个版本的libc来获取程序中system函数和”/bin/sh”字...
return-to-libc攻击
qq_39249347的博客
07-07 2857
栈的主要目的用来存储数据,很少需要在栈中运行代码,因此,大多数程序不需要可执行的程序栈,在一些体系架构中(包括x86),可以在硬件程序面上将一段内存区域标记为不可执行。 在Ubuntu系统中,如果使用gcc编译程序,可以让gcc生成一个特殊的二进制文件,这个二进制文件头部有一个比特位,表示是否将栈设置为不可执行,当程序被加载执行时,操作系统首先为程序分配内存,然后检查该比特位,如果它被置位,那么栈的内存区域将被标记为不可执行。#include <string.h> const char cod.
seed-labs(return-to-libc)
u011632676的博客
06-18 979
软件安全-return-to-libc概要 概要 缓冲区溢出漏洞是把恶意代码注入到目标程序栈中发动攻击。为了抵御这种攻击,操作系统采用一个称为不可执行栈 的防御措施。这种防御措施能被另一种无须在栈中运行代码的攻击方法绕过,这种方法叫return-to-libc攻击。 shellcode.c #include <string.h> const char code[] = "\x31\xc0" "\x50" "\x68""//sh" "\x68""/bin"
seedlab:return-to-libc
pang241的专栏
06-20 3150
声明:该教程是根据Seed Lab: return-to-libc的实验要求所写的,该教程只是演示了一下return-to-libc的一些基本的攻击原理,由于关了编译器及系统的一些保护措施,所以并不能在实际的情况下实现攻击(′▽`〃)一:背景介绍DEP数据执行保护溢出攻击的根源在于现代计算机对数据和代码没有明确区分这一先天缺陷,就目前来看重新去设计计算机体系结构基本上是不可能的,我们只能靠向前兼容的
linux进程栈溢出,Linux(x86)栈溢出exploit开发技巧“return-to-libc
weixin_32864391的博客
05-10 230
原标题:Linux(x86)栈溢出exploit开发技巧“return-to-libc”序言:早期的栈溢出是利用溢出点将shellcode(一段实现特定功能的二进制代码)写入栈内,再将函数的返回地址修改为jmpesp的指令地址上去,进而控制eip寄存器执行我们的shellcode。后来linux系统使用不可执行位(NX bit)的加固技术(Windows操作系统与之对应的就是DEP(Data Ex...
Lab 2: Return-to-libc
11-26 1928
课程主页: http://staff.ustc.edu.cn/~bjhua/courses/security/2014/labs/lab2/index.html Lab Overview 从这个实验开始, 你将接触linux的一些默认保护机制. 但是实验的实验目的明显不是教你来熟悉这些保护机制,那目的是什么呢?==>突破这些保护机制. 如: 栈不可执行, 地址随机化,金丝雀这三种着
Lab2-Return-To-Libc
11-10
Return-to-libc攻击技术详解》 在网络安全领域,Return-to-libc攻击是一种常见的利用技术,主要用于绕过数据执行防止(DEP)和地址空间布局随机化(ASLR)等安全防护机制。本资料包“Lab2-Return-To-Libc”提供了...
复旦大学_软件安全_SEED labs_2-Return_to_libc.zip
06-27
《复旦大学_软件安全_SEED labs_2-Return_to_libc》实验是针对软件安全领域的一个重要教学实践,源自雪城大学的SEED Labs。这个实验主要关注的是"Return-to-libc"攻击技术,这是一种经典的缓冲区溢出攻击方式,用于...
Return-to-libc攻击实验-内含源码以及设计说明书(可以自己运行复现).zip
最新发布
05-08
**Return-to-libc攻击实验详解** 在网络安全领域,Return-to-libc(Ret2libc)攻击是一种经典的栈溢出利用技术,常用于绕过数据执行防止(DEP)机制。本实验旨在通过源码分析和实际操作,帮助学习者理解并掌握这种...
Bypassing non-executable-stack during exploitation using return-to-libc.pdf
11-06
在IT安全领域,尤其是针对软件漏洞的利用与防御机制中,“绕过非执行堆栈进行利用,使用返回至libc技术”(Bypassing non-executable-stack during exploitation using return-to-libc)是一个高度专业且复杂的主题...
什么是return-to-libc攻击?
ailx10
12-13 997
黑客笔记 本期live互动、答疑相关问题归档:声卡有点问题,前面都没有声音,20分钟左右用手机重新把框架和重点内容讲了一遍,理解万岁。Return-to-libc Attack Lab实验目的:绕过栈保护机制,通过缓冲区溢出,获取ubuntu12的root权限为了对抗缓冲区溢出漏洞,一般linux操作系统允许管理员设置栈不可执行,这将直接导致将程序控制权直接跳转到shellcode无法运行,造成攻...
return2libc学习笔记
omnispace的博客
03-29 4712
0x00 背景介绍 author:万抽抽 r2libc技术是一种缓冲区溢出利用技术,主要用于克服常规缓冲区溢出漏洞利用技术中面临的no stack executable限制(所以后续实验还是需要关闭系统的ASLR,以及堆栈保护),比如PaX和ExecShield安全策略。该技术主要是通过覆盖栈帧中保存的函数返回地址(eip),让其定位到libc库中的某个库函数(如,system等),而不是
return-to-libc攻击实验
stonesharp的专栏
08-06 5002
第一部分 实验背景        缓冲区溢出的常用攻击方法是用shellcode的地址来覆盖漏洞程序的返回地址,使得漏洞程序去执行存放在栈中shellcode。于是为了阻止这种类型的攻击,一些操作系统(比如Fedora)使得系统管理员具有使栈不可执行的能力。这样的话,一旦程序执行存放在栈中的shellcode就会崩溃,从而阻止了攻击。        不幸的是上面的保护方式并不是完全有效
Return to Libc Attack
大草的博客
05-19 1624
我们利用缓冲区漏洞,将恶意代码shellcode附加在缓冲区的后面。通过覆盖返回地址,跳转到恶意代码,执行栈中的shellcode代码。但是,现在的操作系统已经作出防御,禁止栈中的数据作为代码执行。但是这个并没有关系,我们可以不在栈中执行程序,我们可以通过覆盖返回地址,执行已经在内存中存在的程序,比如说libc中的system函数。我们希望跳转之后,可以执行system("/bin/sh")。这个做法的难点是,在哪里放置"/bin/sh"的地址,作为system的参数。
Return-to-libc攻击实验
qq_29687403的博客
07-17 5498
Return-to-libc攻击实验 Return-to-libc攻击是一种特殊的缓冲区溢出攻击,通常用于攻击有“栈不可执行”保护措施的目标系统。本实验中我们将用system()地址替换返回地址,用它调用一个root shell。
漏洞挖掘——实验10 Return-to-libc Attack Lab
一半西瓜的博客
04-17 3815
题目 Lab Return-to-libc Attack Lab Pre 1、名词解释:ARP cache poisoning,ICMP Redirect Attack,SYN Flooding Attack,TCP Session Hijacking。如果想监听局域网内另外一台机器,一般先要进行什么步骤? 2、阅读下面这篇文章并且了解Netwox/Netwag的基本操作: Netwox...
Linux栈溢出获取shell之Return to libc
d3f4ult的博客
04-10 744
文章目录简介参考资料知识铺垫 简介 本次实验将通过hackthebox的Enterprise的靶机来学习利用Return-to-libc实现Linux栈溢出并获取shell。在实验的过程中,遇到了很多的理论问题,百度后发现国内关于Return to libc的理论比较少,基本都是这种操作:system+exit+sh,却没有讲为什么,尤其是system后面为什么一定要跟exit。 参考资料 《0...
弧注入 return to libc(返回C函数标准库攻击)
mylyylmy的博客
08-01 1620
最近看到的一个弧注入的题目,了解一下原理 首先弧注入就是在不写入任何可执行代码的情况下注入程序,调用原有的库函数,达到攻击的目的,在Linux下使用较多,这次以windows为例 源程序 #include &lt;stdio.h&gt; #include &lt;windows.h&gt; #include &lt;string&gt; #define PASSWORD "1234567"...
return-to-libc attac
09-04
return-to-libc攻击是一种典型的缓冲区溢出攻击方式,它绕过了内存的数据执行保护机制。在执行return-to-libc攻击时,攻击者通过精心构造的恶意输入,将栈溢出造成的缓冲区溢出利用到无法执行任意代码的情况下。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值