Linux栈溢出获取shell之Return to libc

最新推荐文章于 2023-04-18 17:40:12 发布
最新推荐文章于 2023-04-18 17:40:12 发布
阅读量735 收藏 2
点赞数
分类专栏: 渗透 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdihvai/article/details/105415477
版权

文章目录

一、简介

本次实验将通过hackthebox的Enterprise的靶机来学习利用Return-to-libc实现Linux栈溢出并获取shell。在实验的过程中,遇到了很多的理论问题,百度后关于Return to libc的理论比较少,基本都是这种操作:system+exit+sh,却没有讲为什么system后面要跟exit,谷歌后答案也不是很满意。最后自己动手试验后,终于顿悟。

二、参考资料

  1. 0day安全:软件漏洞分析技术》第二版
  2. exploit-db上的一篇论文Return-to-libc
  3. Python的pwntools工具官方说明
  4. ippsec的Enterprise靶机 渗透视频讲解(Youtube,1:16:00左右开始的二进制漏洞提权)
  5. SEED缓冲区溢出实验笔记

三、环境

Enterprise靶机的环境为32位Linux系统,且关闭ALSR。

四、知识铺垫

1.栈帧的结构及调用函数时栈的操作

以下基础知识来自 参考资料:1(第一章、第二章)
ESP(Extended Stack Pointer)扩展栈指针寄存器,永远指向栈的最上面一个帧的栈顶。
EBP (Extended Base Pointer)扩展基址指针寄存器,永远指向栈的最上面一个帧的栈底。

假如 A函数现在要调用 B函数,先将B函数所需要的参数压入栈(图中的方法参数),再将A函数下一条指令地址压入栈(图中的返回地址),最后保存最上面帧的 ESP地址(图中的前帧 EBP地址),并再次开辟新的帧空间。

当时我有一个疑惑,既然现在 B函数的参数被压入了第二个帧中,那在执行过程中如何取到B函数的参数?栈的特性就是先入后出,这样搞那不就取不到参数值了吗?
答:可以通过EBP地址- 偏移量得出参数地址。比如此图偏移量是0x08。从图中可以很容易的看出。

+------------------+   ======> ESP           ---+
|    ........      |                            | 
+------------------+                            |------> 栈最上面的帧 
|    前帧EBP地址    |   ======> EBP              |
+------------------+                         ---+
|     返回地址      |                            |
+------------------+                            |
|     方法参数
最低0.47元/天 解锁文章
d3f4ult
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn技巧之ret to libc
这里没人
05-14 2419
简介 在0day攻击当中有许多的技巧,这次介绍一种常用的攻击手段。ret to libc栈溢出,堆溢出之类的漏洞利用技巧有所不同。ret to libc是一种在漏洞攻击中的常用的思路。目的是最大化利用所发现的漏洞,实现我们最终的目标get shell 首先,我们来认识一个c语言的库函数 int system(const char * string); 这个函数的的功能很简单,执行...
Lab2-Return-To-Libc
11-10
通过这个实验,学习者不仅可以理解Return-to-libc攻击的工作机制,还能实际操作并增强对栈溢出攻击防御的理解。对于网络安全研究人员和软件开发者来说,掌握这类攻击技术是防范和应对安全威胁的重要一环。 在当前的...
exploit编写教程2:栈溢出,跳转至shellcode
xiaoeryu_的博客
03-18 1185
exploit编写教程2:栈溢出,跳转至shellcode 这篇blog是为了学习如何用各种方式去构造栈溢出类型漏洞的exp 执行shellcode的多种方法: jump/call 寄存器 pop return push return jmp[reg + offset] blind return jmp code SHE call 1. jmp/call 寄存器 在第一篇中已经详细分析过 2. pop pop ret 这个exp我们依然还使用上一篇分析的Easy RM to MP3的漏洞来编写,在上一
shell脚本中的return命令
qq_39677803的博客
04-24 1万+
1、return常用在shell脚本函数中,而非命令行。 2、return 也可作用在shell脚本,执行方式为: source xx.sh ,不然报错(不推荐用) return: can only `return' from a function or sourced script 3、return 的作用是退出当前函数,不退出整个脚本 4、exit代表退出整个脚本 return功能脚本栗子: #!/bin/bash test_return(){ release_file=/etc/redhat-rel
写在Linux栈溢出尝试的黎明前
singshinesong的博客
04-18 119
当然,希望还是要有的,总有那一小撮人,不愿随波逐流,不辞昼夜地做一些“无所谓”的试验,如与哪位过客有缘,愿意指点一二,仍旧十分感激!姑且当做一次小试牛刀吧,虽中途折戟,铩羽而归,但验证了一些什么,毫不后悔,“我来了,我看见,我没有征服”O(∩_∩)O哈哈~,只得总结下经验教训供大家借鉴吧。被攻击程序一般接受用户输入,理论上不接受输入的程序无法与用户交互,这种“一刀切”后果是用户只能使用它展示的内容,无法与其交互,体验效果不佳,当然相当安全了。就这还没有调试实现成功利用呢。”,提示找不到路径,“?
关于shell脚本使用函数返回整型产生范围溢出的问题
weixin_52558791的博客
08-18 452
但是return 返回整型数值有一个范围限定,在0-255之间。按照正常情况,返回值应该为300。
return-to-libc攻击
qq_39249347的博客
07-07 2822
栈的主要目的用来存储数据,很少需要在栈中运行代码,因此,大多数程序不需要可执行的程序栈,在一些体系架构中(包括x86),可以在硬件程序面上将一段内存区域标记为不可执行。 在Ubuntu系统中,如果使用gcc编译程序,可以让gcc生成一个特殊的二进制文件,这个二进制文件头部有一个比特位,表示是否将栈设置为不可执行,当程序被加载执行时,操作系统首先为程序分配内存,然后检查该比特位,如果它被置位,那么栈的内存区域将被标记为不可执行。#include <string.h> const char cod.
二进制漏洞挖掘-栈溢出-开启NX未开启ASLR1
08-04
总结来说,栈溢出漏洞的利用在开启NX的系统中更具挑战性,但通过ret2libc策略,攻击者仍然可以绕过这一防护。在没有ASLR的情况下,内存地址是可预测的,使得漏洞利用变得更加直接。然而,现代操作系统通常会同时启用...
Return-to-libc攻击实验-内含源码以及设计说明书(可以自己运行复现).zip
最新发布
05-08
在网络安全领域,Return-to-libc(Ret2libc)攻击是一种经典的栈溢出利用技术,常用于绕过数据执行防止(DEP)机制。本实验旨在通过源码分析和实际操作,帮助学习者理解并掌握这种攻击方式。 **一、Return-to-libc...
栈溢出入门到放弃_19_7_211
08-08
本篇将深入探讨栈溢出的三种主要利用方式,以及与之相关的系统机制和解决策略。 1. 修改返回地址:栈溢出中最基础的利用方法是修改返回地址,使其指向攻击者预设的指令序列,即shellcode。shellcode是一小段机器码...
BinExp:Linux二进制开发
02-03
在这个主题中,我们将探讨几个关键的知识点,包括但不限于Linux基础知识、二进制格式、缓冲区溢出攻击、堆溢出、格式字符串漏洞、ret2libc技术、shellcode注入以及全局偏移表(GOT)和程序数据的保护。 1. **Linux...
PWN简单栈溢出漏洞获取shell
SkYe's Blog
08-13 2759
PWN简单栈溢出漏洞获取shell 题目来源 下载链接(密码akcz) CTF的时候需要的是获取系统shell,然后通过shell去拿到flag。 条件所限,那我们就先将程序放本地。也就是本地机也充当远程服务器角色 1. 运行程序、查看文件类型、保护措施 程序输出一段应该是内存地址的16位字符串;接着要求我们输入,之后就结束运行程序。 程序为32位动态链接的ELF文件 可以看到NX保护关...
return-to-libc攻击实验
stonesharp的专栏
08-06 4978
第一部分 实验背景        缓冲区溢出的常用攻击方法是用shellcode的地址来覆盖漏洞程序的返回地址,使得漏洞程序去执行存放在栈中shellcode。于是为了阻止这种类型的攻击,一些操作系统(比如Fedora)使得系统管理员具有使栈不可执行的能力。这样的话,一旦程序执行存放在栈中的shellcode就会崩溃,从而阻止了攻击。        不幸的是上面的保护方式并不是完全有效
Ret2Libc 攻击技术
guilanl的专栏
03-13 5630
1. DEP 技术对stack overflow 的保护: Data Execution Prevention:  去掉 stack 上的执行权限,可以阻止一部分基于 stack 的攻击。  2. Ret2Libc 攻击原理  Return-to-library technique       简称“Ret2Lib”,这种技术可以绕过DEP的保护,其核心思想是把
linux中ret2libc入门与实践
counsellor的专栏
08-23 6775
前言 本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
使用ret2libc攻击方法绕过数据执行保护
海枫的专栏
02-08 1万+
本文介绍ret2libc攻击方法,可以绕过栈执行保护安全机制
救援模式
weixin_33721427的博客
12-16 165
在CentOS 6 和之前的版本中有“运行级别”的概念,分0-6 。0-关机。1-单用户模式。不需要做用户认证,即可更改密码。2、3、4-都是多用户模式。为命令行下面的多用户模式。正常在启动系统的情况下,没有安装图形界面的前提下,计入的级别就是3级别。5-图形操作界面。与3级别的差异只在于图形。6-root重启。 在 CentOS 7中没有以上的概念。我们打开 PuTTY ,登陆上去,输入命令:l...
CentOS7 单用户及救援模式修改root密码
Life Co.,Ltd.
12-07 1463
单用户模式修改密码 单用户模式修改密码 进入单用户模式 开机选择linux系统 按“e”进入GRUB界面编辑 按向下方向键找到linux16开头的行 从ro 开始修改  //read only 把ro 替换为rw init=/sysroot/bin/sh sysroot是原系统所在路径  Ctrl+ x 进入单用户模式(安全模式)  #chroot /sysro
关于shellreturn用法解释(转)
热门推荐
yuventus的专栏
07-28 2万+
1、return命令会使得一个函数返回.return命令会返回一个单一的数字参数, 而这个数字参数在调用这个函数的脚本中是可见的.如果没有指定返回参数,return在默认情况下会返回上一次命令的返回代码。 2、了解一个概念:return value ﹗ 我们在 shell 下跑的每一个 command 或 function ,在结束的时候都会传回父行程一个值,称为 return value 。 在 shell command line 中可用 $? 这个变量得到最"新"的一个 return value
二进制漏洞挖掘-栈溢出-开启RELRO1
08-04
所有测试均在 linux 环境下进行在前面描述的漏洞攻击中曾多次引入了 GOT 覆盖方法,GOT 覆盖之所以能成功是因为默认编译的应用程序的重定位表段对应数据区

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值