CTF|HITCON-Training-master lab4 writeup (ret2libc题型)

最新推荐文章于 2021-04-08 20:05:05 发布
最新推荐文章于 2021-04-08 20:05:05 发布
阅读量379 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skyattractive/article/details/106723277
版权
这篇博客详细介绍了如何利用ret2libc技术解决CTF比赛中的HITCON-Training-master lab4题目。作者首先阐述了ret2libc的基本原理,即控制程序执行libc中的特定函数,如system("/bin/sh")。接着,讨论了在缺少system和"/bin/sh"的情况下,如何通过获取libc中已执行函数的地址,利用延迟绑定和地址偏移计算system函数地址。博客还提到了利用got表泄露和‘see something’函数来获取地址信息,并给出了查看libc库路径的命令。
摘要由CSDN通过智能技术生成

CTF|HITCON-Training-master lab4 writeup (ret2libc题型)

在这里插入图片描述
在这里插入图片描述
做题做题前先看看ctfwiki上对ret2libc的原理描述

原理

ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置(即函数对应的 got表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址。

思路

总体思路就是我们遇到没有system没有"/bin/sh"的文件
我们考虑用以下方法获取system函数的位置

  • system 函数属于 libc,而 libc.so 动态链接库中的函数之间相对偏移是固定的。
  • 即使程序有 ASLR 保护,也只是针对于地址中间位进行随机,最低的12位并不会发生改变。所以如果

所以我们只要知道了libc中某一个函数的真实地址,我们就可以通过system函数和这个函数之间的地址偏移来得到system函数的真是地址。
而对于如何知道某一个函数的真实地址,我们一般常用的方法是采用 got 表泄露,即输出某个函数对应的 got 表项的内容。当然,由于 libc 的延迟绑定机制,我们需要泄漏已经执行过的函数的地址。

延迟绑定

所谓延迟绑定,就是当函数第一次被调用的时候才进行绑定(包括符号查找、重定位等),如果函数从来没有用到过就不进行绑定。基于延迟绑定可以大大加快程序的启动速度,特别有利于一些引用了大量函数的程序.

对于lab4 我们看到文件里面一个叫“see something”的函数可以返回有一个函数的真实

最低0.47元/天 解锁文章
一个不融化的雪人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF|HITCON-Training-master lab5 writeup(ret2syscall题型
skyattractive的博客
06-12 387
CTF|HITCON-Training-master lab5 writeup 题目的文件名是“simplerop” 意思是对rop链的简单利用 shift+f12 查看后,题目既没有给system函数又没有‘/bin/sh’ 大致判断是CTFwiki上基本rop中的ret2syscall类型的题目 大致思路是, 在文件中需寻找有用的gadget 通过题目中存在的栈溢出 将‘/bin/sh’写入文件中的bss段(或者data段) 然后将执行流引导到bss上执行即可 因为文件是32位,‘/bin/sh’需
HITCON Training Lab4 Writeup
博客
06-30 147
首先查看文件的基本属性: 查看整个文件反编译出来的结果: int __cdecl main(int argc, const char **argv, const char **envp) { char **v3; // ST04_4@1 int v4; // ST08_4@1 __int16 v6; // [sp+12h] [bp-10Eh]@1 __int16 v7; // [sp+112h] [bp-Eh]@1 _DWORD *v8; // [sp+11Ch] [bp-
HITCON-Training-master 部分 Writeup(1月30更新)
weixin_30367873的博客
12-11 218
0x01.lab3 首先checksec一下,发现连NX保护都没开,结合题目提示ret2sc,确定可以使用shellcode得到权限。 IDA查看伪代码 大致分析: 将shellcode写入name数组,v4溢出之后定向至name所在地址从而运行shellcode。 代码如下: # -*- coding:utf-8 -*- __Author__ = 'L1B0' from pwn import...
ret2libc2pwn 入门题
02-11
pwn 入门题
Ret2libc
iextract的博客
04-24 659
昨晚同学问了关于ret2libc时参数布置的问题,今天在此记录 假设熟悉stack overflow Ps:ret2libc是为了对抗DEP/NX产生 栈的布置在说明ret2libc之前,栈的布置需要提前说明一下,以以下简单代码为例#include <stdio.h>int trap(int x) { int y=0; y+=x; return y; }int m
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env...返回图书馆实验4-ret2lib 面向返
CTF-misc工具2-CTF-Tools-masterV1.3.7
最新发布
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
CTF-RSA-tool-master.zip
01-19
针对CTF中CRYPTO的RSA工具
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
ret2libc1pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
CTF|HITCON-Training-master lab3 writeup (ret2shellcode题型
skyattractive的博客
06-12 297
CTF|HITCON-Training-master lab3 writeup (ret2shellcode题型) ret2shellcode题型 ret2shellcode,即控制程序执行 shellcode代码。 shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。 对于lab3 checksec显示所有保护都没有开启并且有可读可写可执行段(RWX) 显然read函数gets函数存在栈溢出 我们看到bss段中一个叫有name的部分即我们第一个输入的
ret2libc
我多么希望明天有太阳,来灼烧我腐烂的梦想
08-12 687
ret2libc root@a1station:~/pwn/got# cat got.c #include <stdio.h> static int a; extern int b; extern void test(); int func() { a = 1; b = 2; return 0; } int main() { func(); ...
HITCON-Training-master lab2 wp
zszcr的博客
04-03 679
查看了下防护机制发现开启了Canary,但是没关系,它没开启堆栈不可执行,说明 这是一道shell code题简单跑了一下程序,发现输出了一句话:give me you shellcodeida反编译查看了下代码代码逻辑也很简单,你输入一段shellcode,然后去执行它我随便去网上找了一段shellcode,输入后发现不行,说明它不是单纯的让我们输入shellcode查看了一下orw_secco...
Ret2Libc 练习(1) -- ZwSetInformationProcess
weixin_30699955的博客
09-21 120
  花了两个小半晚上的时间将0day安全这本书的绕过DEP的第一个实验做了,这里做些笔记。   Ret2libc 我现在自己的理解就是在开启DEP保护的情况下,在程序的其他的可执行位置找到可以满足我利用要求的指令,形成一个可执行的指令序列,达到成功执行shellcode的目的。   那么利用Ret2libc的第一个方法就是通过ZwSetInformationProcess函数,这个API可以直...
pwn200,一道不完全考察ret2libc的小小pwn题
shanwei274的博客
04-08 353
pwn200 —XDCTF-2015 每日一pwn,今天又做了一个pwn,那个pwn呢???攻防世界的进阶区里的一道小pwn题,虽然这个题考察的知识不多,rop链也比较好构建,但是还是让我又学到了一些东西,因为害怕忘记,写个博客记录记录。 1.获取pwn题 啪的一下就下载好了。 2.查看保护 拿到题我不做,哎,我干什么呢,我先查看保护! 裸奔题,开的东西不多,所以这里就看我们发挥了 3.ida看看 首先可以很明显的看到,给的7个变量,在栈中是连续排列的,一开始我还不知道给这里的七个数赋值到底有什么用,我
Ret2Libc 练习(2) -- VirtualProtect
weixin_30700977的博客
09-27 177
  这几天做了NSCTF和GCTF,耽误了几天,今天继续。   这次绕过DEP的方法是利用VirtualProtect函数将shellcode所在的内存属性改成可执行状态就可以绕过DEP了。   首先看一下VirtualProtect函数的参数说明:      lpAddress: 改变属性的内存起始起止   dwSize: 要改变属性的内存的起始地址   flNewProtect: ...
ret2libc pwn
qq_41560595的博客
09-27 803
查看栈保护 F5查看源代码 看见gets函数,立刻想到是栈溢出题型,但是此题并未提供system("/bin/sh")函数。而程序运行的时候会调用libc.so,它包含了system()等函数,因此可以根据这个特性构造system("/bin/sh")。 判断覆盖量 查找system()的地址 objdump -d -j .plt ./ret 查找/bin/sh的地址 编写脚本 from pwn import * p=process('./ret') system_addr=0x08048460
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值