ret2libc攻击原理+实例分析

最新推荐文章于 2024-05-23 18:42:46 发布
最新推荐文章于 2024-05-23 18:42:46 发布
阅读量3.9k 收藏 16
点赞数 1
分类专栏: PWN 文章标签: c语言 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yajuanpi4899/article/details/121192302
版权

        ret2libc攻击方式:针对动态链接(Dynamic linking) 编译的程序,静态链接一般利用简单ROP能构造出payload进行攻击(详见ROP博客)。一般情况下无法在程序中直接找到system、execve这一类系统函数,动态链接过程中动态连接器会将程序所有需要的链接库加载到内存进程空间,而libc.so是最基本的一个。

        libc.so 是 linux 下 C 语言库中的运行库glibc 动态链接版,里面包含了大量可利用的函数,ret2libc的原理便是将 libc.so在内存中我们所需要的函数返回地址获取,进而取得控制权。通常是利用system("/bin/sh")打开shell,简单可以判定为两个步骤:

        1.system地址获取

        2."/bin/sh"字符串地址获取

现在需要了解动态链接的过程:

1) 重点理解PLT以及got (Global offset Table)表:

【pwn】CTF学习:4、PLT表与GOT表 | 延迟绑定机制_哔哩哔哩_bilibili

调用动态链接函数时,如printf函数时,先去plt表和got表寻找printf函数的真实地址。plt表指向got表中的地址,got表指向glibc中的地址。

即第一次调用:plt->got->plt->公共plt->动态连接器_dl_runtime_resolve->锁定函数地址

第二次:plt->got->直接锁定函数地址,此时got表已记录函数地址

got表:包含函数的真实地址,包含libc函数的基址,用于泄露地址

plt表:不用知道libc函数真实地址,使用plt地址就可以调用函数

libc就是linux下的c函数库:
libc中包含着各种常用的函数,在程序执行时才被加载到内存中
libc是一定可以执行的,跳转到libc中函数绕过NX保护

攻击步骤:

1、泄露任意一个函数的真实地址:只有被执行过的函数才能获取地址
2、获取libc的版本
3、根据偏移获取shell和sh的位置:a、求libc的基地址(函数动态地址-函数偏移量)b、求其他函数地址(基地址+函数偏移量)
4、执行程序获取shell

实例代码:

 1)源码中不包含system及sh等敏感信息,推测是泄露libc基地址来进行exp

 2)当执行vuln函数后,会生成write的got表地址,通过got的地址可以寻址到write函数的真实地址(里面保存的数值就是write函数的真实地址),同时在第一次read时可构建payload获取write@got,同时将vuln地址写入read中进行二次调用,达到第二次payload机会。最后再利用第一次的got地址进行获取system和/bin/sh的地址进行二次payload构建

代码构建过程:

首先确认linux  调用的so文件(远程一般会给相应so文件,没有的话用libsearch寻址):

 构造第一次payload:

 发送后获取write_addr:

 此时write的真实地址已找出,便可以计算出libc的真实地址,基于此真实地址便可以进行第二次payload构造(忽视打错了):

至此完成payload提权

胡胡同志要加油
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8137
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
Performing a ret2libc Attack-InVoLuNTaRy
04-24
### 执行ret2libc攻击——InVoLuNTaRy #### 一、ret2libc攻击简介 **ret2libc**(返回到libc或返回到C库)是一种攻击技术,它允许攻击者在无需注入shellcode的情况下控制目标系统中的易受攻击进程。这种攻击方式...
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
Bossfrank的博客
12-08 5769
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。
ret2libc 泄露libc后构造system(‘/bin/sh‘)进行攻击(pwn入门)
最新发布
2402_83422357的博客
05-23 1262
上面提到了一个措施,ASLR,它在开启后会对共享libc,堆,和栈的地址进行随机化,所谓的随机化呢,就是偏移。接下来以star函数作为返回地址,以star函数作为返回地址可以使我们第二次栈溢出的时候不需要再按照程序逻辑输入2次yes而且star函数是唯一有栈溢出的函数,所以返回地址的正确选取很重要,之前有一次做题返回地址没选好,给自己增加了很多不必要的麻烦.......这个是最基础的32位的ret2libc,还有64位程序的也差不多,就是传参的方式变了,攻击的payload构造的思路是一样的。
使用ret2plt绕过libc安全区
海枫的专栏
08-11 8721
使用ret2plt绕过libc安全区
基本ROP之ret2libc3
至臻求学,胸怀云月
02-15 5072
ret2libc思路 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址。 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有s...
Ret2libc
钞sir的博客
01-26 8811
三生三世十里桃花 她就像是一道疤 像风像雨像飞沙 像空气一样难抓 简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有sys...
linux中ret2libc入门与实践
counsellor的专栏
08-23 6781
前言 本来想找一个windows下的栈溢出漏洞的poc作为漏洞分析路程的开篇,但是一路走来遇到了太多的问题,大大小小,什么都有。同时因为工作事情比较多,能拿出来调试和写文章的时间也是断断续续。昨天刚有一点心得,今天就忘了一大半,同时会推翻自己之前的结论。 经过漫长的求证过程,打算把NX利剑-ret2libc这种方法和其原理用简单直接的方式展示出来。 简介 DEP-数据执行保护(Data...
ret2libc exploit
07-07
虽然本文仅提供了ret2libc的基本概念及其应用实例,但在实际操作中还涉及更多的技术细节和技术挑战。对于想要深入了解该主题的人来说,建议进一步研究相关的技术和实践案例,以获得更全面的理解。
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
ROP-Ret2Libc概述和利用
fanghuapyk的博客
03-19 1491
ret2libc简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有system函数,但是没有"/bin/sh"字符串 程序中自身就没有system函数和"/bin/sh"字符串,但给
【PWN · ret2libc】ret2libc1
Mr_Fmnwon的博客
05-08 1067
当函数运行到调用库函数时,程序将访问对应函数的plt表项,plt表项存着代码,代码分为两部分:第一部分,跳转到对应的got表。第二部分,查找函数的真实地址,修改got表内容。 got表项存着一个地址。然而这个地址并不一开始就是libc中函数的真实地址。 一开始,got表项中地址指向plt代码的第二部分。后来,因运行plt第二部分代码段,got表内容被修改为真实函数地址。依据以上,我们可以......分享几个实用的干货小技巧,不用IDA解决此题
Ret2Libc 攻击技术
guilanl的专栏
03-13 5642
1. DEP 技术对stack overflow 的保护: Data Execution Prevention:  去掉 stack 上的执行权限,可以阻止一部分基于 stack 的攻击。  2. Ret2Libc 攻击原理  Return-to-library technique       简称“Ret2Lib”,这种技术可以绕过DEP的保护,其核心思想是把
ret2libc类型题目思考-ret2libc1
qq_30528603的博客
05-29 187
一眼看到栈溢出,ret2libc这类型的题目就是要利用栈溢出将控制流转移到glibc库的函数中。这里我们一定是找的plt表而不是system字符串的地址,这是要分清楚的。关于plt表和got表参考我的其他博客,这个玩意我也理解了很久比较愚钝。但是我在IDA看到距离ebp是0x64h,就算换算成10进制在加4也是104,当时我就觉得很疑惑。打算复现CTFwiki中的三个ret2libc类型的实现。当函数要返回的时候,他将跳到system函数的地址去执行,此时他将把ebp+4的内容当做函数的第一个参数传递。
ret2libc
2301_79863983的博客
04-07 673
以wiki中的libc的第三道例题为例,理解libc
pwn基本ROP——ret2libc
turtlesd的博客
04-26 2292
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
Ret2Libc(1) (有system、/bin/sh)绕过NX、ASLR
X丶 的博客
11-21 1110
Ret2Libc即控制程序执行libc库中的函数。 通常是返回到某个函数的plt处,或者函数运行时候的实际地址。 下面是一个例子: 可以看出程序gets有一个明显的溢出漏洞 gdb-peda$ checksec CANARY    : disabled FORTIFY   : disabled NX        : ENABLED PIE       : disabled RELRO...
Ret2libc攻击的防御策略有哪些
06-11
Ret2libc攻击是一种利用栈溢出漏洞来获取系统控制权的攻击方法,其中libc库函数被用于构造恶意代码。为了防止这种攻击,可以采取以下措施: 1. 栈溢出漏洞修复:修复栈溢出漏洞是防止Ret2libc攻击的最根本方法,可以使用编译器选项、堆栈保护技术、ASLR等方法来修复栈溢出漏洞。 2. ASLR技术:ASLR(Address Space Layout Randomization)技术可以随机化内存地址的空间布局,使得攻击者无法准确预测被攻击程序的地址空间布局,从而增加攻击难度。 3. 栈保护技术:栈保护技术可以在程序运行时监控栈的使用情况,检测到栈溢出行为时,立即终止程序运行,从而防止栈溢出漏洞的利用。 4. 内存隔离技术:内存隔离技术可以将程序的不同部分分配到不同的内存空间,从而防止攻击者通过溢出缓冲区来访问其他程序的内存空间。 5. 反调试技术:反调试技术可以防止攻击者使用调试器来分析程序的运行状态,从而增加攻击难度。 需要注意的是,以上措施并不能完全防止Ret2libc攻击,因此在编写程序时应该尽量避免栈溢出漏洞的产生,同时及时修复已知的漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值