Return-to-libc Attack——Pre

最新推荐文章于 2023-05-08 15:40:59 发布
最新推荐文章于 2023-05-08 15:40:59 发布
阅读量211 收藏
点赞数
分类专栏: 漏洞分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43864567/article/details/115358227
版权

经过前面的学习我们可以知道,利用缓冲区溢出漏洞,攻击者可以将恶意代码放到栈中执。如果设置栈不可执行,那么及时攻击者能够成功修改返回地址,也无法运行恶意代码。

但是,攻击者可以跳转到栈以外的代码,而不是栈中的代码,从而完成攻击,这就是Return-to-libc Attack的主要思想。

Return-to-libc Attack的步骤

寻找system()的地址

使用system()的地址覆盖掉原函数的返回地址,使得函数跳转到system()函数处

可以使用gdb进行debug,并用p命令打印出system()exit()的地址

image-20210331184541975

寻找"/bin/sh"字符串的地址

找到"/bin/sh"字符串的地址后,配合system()执行system(""/bin/sh"),这样就可以产生一个root shell

  • 导出一个名为“ MYSHELL”的环境变量,其值为“ / bin / sh”。
  • MYSHELL作为环境变量传递到易受攻击的程序,该环境变量存储在堆栈中。
  • 找到该地址。
导出 “MYSHELL”环境变量:
image-20210331185225687
打印出环境变量的地址值:
image-20210331185302162

需要特别注意的是,“ MYSHELL”环境变量的地址对程序名称的长度敏感。

从书上所举例子课知,如果程序名称从env55更改为env77,我们将获得一个不同的地址。

执行system()函数的参数

寻找字符串"/bin/sh"在栈中应该处于的位置,从而使它作为函数system()的参数

image-20210331190431520

郭同学如是说
关注
专栏目录
linux渗透测试常用命令
学-> 思->用
08-07 99
【代码】linux渗透测试常用命令。
The Blind Exploits To Rule Watchguard Firewalls Vulnerabilities
m0_65876116的博客
10-27 401
WatchGuard firewalls have been under attack multiple times, most notably by the Russian APT Sandworm and their malware, Cyclops Blink. Over the course of 4 months, the editor released three firmware updates, patching numerous critical vulnerabilities.
信息安全 SEED Lab5 Return-to-libc Attack Lab
crazyliu的博客
05-05 2352
首先在实验的最开始我们把对抗缓冲区溢出攻击的措施关闭,关闭地址随机化的代码如下 sudo sysctl -w kernel.randomize_va_space=0 使用如下命令去编译代码,可以禁用编译器的栈保护 gcc -fno-stack-protector example.c 使用如下命令去编译代码,可以指定是否可执行栈上代码 For executable stack: $ gcc -z execstack -o test test.c For non-executable stac
Return to Libc Attack
大草的博客
05-19 1691
我们利用缓冲区漏洞,将恶意代码shellcode附加在缓冲区的后面。通过覆盖返回地址,跳转到恶意代码,执行栈中的shellcode代码。但是,现在的操作系统已经作出防御,禁止栈中的数据作为代码执行。但是这个并没有关系,我们可以不在栈中执行程序,我们可以通过覆盖返回地址,执行已经在内存中存在的程序,比如说libc中的system函数。我们希望跳转之后,可以执行system("/bin/sh")。这个做法的难点是,在哪里放置"/bin/sh"的地址,作为system的参数。
return-to-libc攻击
qq_39249347的博客
07-07 3006
栈的主要目的用来存储数据,很少需要在栈中运行代码,因此,大多数程序不需要可执行的程序栈,在一些体系架构中(包括x86),可以在硬件程序面上将一段内存区域标记为不可执行。 在Ubuntu系统中,如果使用gcc编译程序,可以让gcc生成一个特殊的二进制文件,这个二进制文件头部有一个比特位,表示是否将栈设置为不可执行,当程序被加载执行时,操作系统首先为程序分配内存,然后检查该比特位,如果它被置位,那么栈的内存区域将被标记为不可执行。#include <string.h> const char cod.
【信息安全-科软课程】Lab6 Return-to-libc Attack
weixin_41950078的博客
05-03 1185
目录 1.0 前言 2.0实验任务 2.1关闭对策 2.2易受攻击程序 2.3 task1找出libc函数的地址 2.4 task2 将shell字符串放入内存 ​ 2.5 task3利用缓冲区溢出漏洞 2.6 task4打开地址随机化 2.7 task5 击败shell的对策 1.0 前言 本实验的学习目标是让学生获得一种有趣的缓冲区溢出攻击变体的第一手经验;这种攻击可以绕过目前在主要Linux操作系统中实施的现有保护方案。利用缓冲区溢出漏洞的一种常见方法是用恶意外壳代码溢出...
漏洞挖掘——实验10 Return-to-libc Attack Lab
一半西瓜的博客
04-17 3872
题目 Lab Return-to-libc Attack Lab Pre 1、名词解释:ARP cache poisoning,ICMP Redirect Attack,SYN Flooding Attack,TCP Session Hijacking。如果想监听局域网内另外一台机器,一般先要进行什么步骤? 2、阅读下面这篇文章并且了解Netwox/Netwag的基本操作: Netwox...
使用网络入侵检测系统防止地址空间布局随机化(ASLR)受到损害和返回libc攻击
02-24
为此,我们概述了如何对派生前的并发服务器进行基于网络的蛮力返回libc攻击,以便获得对Shell的远程访问。 我们将继续证明主流保护方法在预防攻击方面如何有效,然后再证明并证明部署NIDS来减轻攻击所带来的任何...
堆利用 TCache attacklibc2.26)
最新发布
c_z_y_c_z_x的博客
05-08 301
在TCache机制中,它为每个线程创建一个缓存,里面包含一些小堆块,无需对arena上锁即可使用,这种无锁分配算法能有不错的效率提升。在Glibc的2.26中 新增了Tcache机制 这是ptmalloc2的Tcache在glibc中是默认开启的,在Tcache被开启的时候会定义如下东西Tcache为每个线程都预留了这样一个特殊的bins, bin的数量是64个 每个bin中最多缓存7个chunk。在64位系统上以0x10的字节递增,。32位系统上则,所以Tcache缓存的是。
【学习札记NO.00003】基于libc-2.23版本的malloc源码简易分析 - Part-I - 堆内存的基本组织形式 by arttnba3
arttnba3的博客
01-19 1148
【学习札记NO.00003】基于libc-2.23版本的malloc源码简易分析 - Part-I - 堆内存的基本组织形式 by arttnba30x00.堆内存的组织形式一、malloc_chunk[The \_\_alignof\_\_ operator](https://www.ibm.com/support/knowledgecenter/ssw_ibm_i_71/rzarg/sc09785202.htm?view=kc#ToC_180)二、chunk相关宏1.chunk size相关宏宏:off
复旦大学_软件安全_SEED labs_2-Return_to_libc.zip
06-27
复旦大学_软件安全_SEED labs_2-Return_to_libc实验 是从雪城大学SEED labs上找的实验 资源包括:原始文件夹、攻击代码、实验报告详细版
libcpr:核心 C++11 标准库到 C 的公共领域向后移植
07-14
libcpr:C++11 向后移植到 C libcpr是从 C++11 标准库到 C 的核心数据结构和算法的公共领域libcpr移植。 特征 使用一致的命名实现从 C++ 到 C 的直接映射。 除了 C99 和系统的 C++ 标准库之外,没有运行时依赖项。 除了 Autotools 工具链和 C++11 编译器之外,没有构建先决条件。 兼容 Clang 和 GCC,或者任何标准的 C++11 实现。 与其他人一起cpr_很好:所有导出的符号都以cpr_为前缀。 100% 免费且不受阻碍的软件,可在任何情况下用于任何目的。 动机 C 标准库严重缺乏对现代编程实践至关重要的有用数据结构。 因此,大多数重要的 C 程序和共享库甚至包括最基本的数据结构(例如动态数组和哈希表)的一次性实现。 这会损害程序员的生产力,二进制文件的大小,浪费机器资源,并不可避免地引入不必要的错误——包括安
不可执行内存页保护攻击--return to libc attack
北方南方
10-24 1321
@1. 基本思路     控制eip使程序流程流向glibc函数,而不是shellcode所在的堆栈上。system(),exit()…… @2. 规划如下:                 缓冲区  --> 溢出                 ebp     --> 溢出                 eip     --> system()地址
return-to-libc攻击实验
stonesharp的专栏
08-06 5029
第一部分 实验背景        缓冲区溢出的常用攻击方法是用shellcode的地址来覆盖漏洞程序的返回地址,使得漏洞程序去执行存放在栈中shellcode。于是为了阻止这种类型的攻击,一些操作系统(比如Fedora)使得系统管理员具有使栈不可执行的能力。这样的话,一旦程序执行存放在栈中的shellcode就会崩溃,从而阻止了攻击。        不幸的是上面的保护方式并不是完全有效
seed-labs(return-to-libc)
u011632676的博客
06-18 1045
软件安全-return-to-libc概要 概要 缓冲区溢出漏洞是把恶意代码注入到目标程序栈中发动攻击。为了抵御这种攻击,操作系统采用一个称为不可执行栈 的防御措施。这种防御措施能被另一种无须在栈中运行代码的攻击方法绕过,这种方法叫return-to-libc攻击。 shellcode.c #include <string.h> const char code[] = "\x31\xc0" "\x50" "\x68""//sh" "\x68""/bin"
Return-into-libc 攻击及其防御
朝歌
09-09 1382
Return-into-libc 攻击及其防御 本文首先分析了 return-into-libc 的攻击原理,分别介绍了在不同平台进行传统 return-into-libc 攻击的实验过程和结果。然后,本文进一步引入并解释了返回导向编程的攻击方式,这种攻击可以弥补传统 return-into-libc 攻击的不足,使得攻击更灵活、更有效。最后,本文给出了针对这些攻击方法的防御手段
Return-to-libc攻击实验
qq_29687403的博客
07-17 5515
Return-to-libc攻击实验 Return-to-libc攻击是一种特殊的缓冲区溢出攻击,通常用于攻击有“栈不可执行”保护措施的目标系统。本实验中我们将用system()地址替换返回地址,用它调用一个root shell。
【SEED Labs 2.0】Return-to-libc Attack and ROP
Chenyang的博客
08-25 5234
本文为 SEED Labs 2.0 - Return-to-libc Attack Lab 的实验记录。 实验原理 Task 1: Finding out the Addresses of libc Functions 关闭地址随机化 $ sudo sysctl -w kernel.randomize_va_space=0 修改链接 $ sudo ln -sf /bin/zsh /bin/sh 使用 gdb调试 $ touch badfile $ make $ gdb -q retlib gdb-pe
Lab2 : Return to Libc
Lansing999的专栏
11-02 1138
Lab 2 : Return to LibcLab Environment Setup Ubuntu 12.04 ( 64 bits ) Brief introduction This is a experiment of Information Security, about 10 exercises and challenges in this blog. May be a lot m
return-to-libc attack lab
03-16
return-to-libc攻击实验是一种利用栈溢出漏洞的攻击方式,通过修改函数返回地址,使程序跳转到libc库中的函数,从而实现攻击目的。该实验旨在帮助学生深入理解栈溢出漏洞的原理和利用方式,提高对系统安全的认识和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值