pwn-ret2libc基础

最新推荐文章于 2024-11-10 12:22:23 发布

ad_m1n

最新推荐文章于 2024-11-10 12:22:23 发布

阅读量1.1k

点赞数 1

CC 4.0 BY-SA版权

分类专栏： PWN 文章标签： pwn ctf

本文链接：https://blog.youkuaiyun.com/hacker_zrq/article/details/120605177

PWN 专栏收录该内容

10 篇文章 ¥9.90 ¥99.00

订阅专栏

超级会员免费看

本文介绍了在没有system和bin/sh的情况下，如何利用puts和gets函数进行ret2libc攻击。通过动态调试，揭示了plt表和got表的工作原理，以及如何计算函数的真实地址。在了解延迟绑定机制后，构建payload逐步触发栈溢出，最终实现system('/bin/sh')的执行。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

题源：基本 ROP - CTF Wiki (ctf-wiki.org) ret2libc的例三

这题的特点是：没有system，没有bin/sh。但是有puts，和gets函数。碰到gets函数基本上又是栈溢出大类中的题目。

①先检查保护

②：计算system和bin/sh的实际地址。

核心公式就是：函数真实地址=基地址+偏移量

 那么我们如何得到 system 函数的地址呢？这里就主要利用了两个知识点

①system 函数属于 libc，而 libc.so 动态链接库中的函数之间相对偏移是固定的。有的题目会直接告诉我们libc版本，有的就得自己找了。

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

ad_m1n

关注关注

1
点赞
踩
7

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

订阅专栏

[CTF]PWN--新人入门第一关--Ret2libc

2301_79880752的博客

02-29

1641

首先我们需要找到pop rdi|ret这个指令在程序中的位置（前面提到该指令为程序中自带的，只不过需要我们去寻找），然后让程序返回到pop rdi|ret这个指令上去执行它，通过ROPgadget --binary pwn --only 'pop|ret' 该指令来寻找pop |ret这个指令的地址，其中ROPgadget为一个插件，需要自己下载，binary意思为一个二进制文件，后面跟着的是文件名，only后面跟着的为要搜索的命令地址。

pwn学习-ret2libc1

Sa1nZen的博客

06-02

371

pwn学习-ret2libc1

参与评论您还未登录，请先登录后发表或查看评论

bugku pwn libc

09-03

bugku pwn3和pwn5用到的libc文件，原题目中没有给出libc文件，也不容易获取libc版本

PWN题型之Ret2Libc

swedsn

03-18

5987

文章目录前言0x1 ：使用前提条件0x2 ：为什么要这么使用0x3 ：使用方法0x4 ：实例二、使用步骤总结前言菜鸡总结，如有不对，请指点 0x1 ：使用前提条件查看保护：开启了NX保护，但是没有开启PLE保护，可以开启canary保护。但是这样就是两种题型结合了。打开IDA查看源代码：存在溢出条件，但是没有system函数（/bin/sh）和 flag字样。 ` 0x2 ：为什么要这么使用由于缺少system函数，所以需要构造shellcode。但是开启了NX保护（可执行的不可修改，可修改不可执

ret2libc2做题过程(ctfwiki)

Rt1Text的博客

02-10

3271

ctf pwn ret2libc2 有system无bin/sh

pwn学习之ret2libc

weixin_43800829的博客

02-16

1442

title: pwn学习之ret2libc date: 2020-01-29 18:07:07 tags: pwn学习在家无聊了的第二天，继续学习pwn的知识今天看了看wiki-ret2libc的内容，觉得受益匪浅。原理 ret2libc说白了就是让我们之前的ret不往shellcode或者vul上跳而是跳到了某个函数的plt或者got的位置从而实现控制程序的函数去执行li...

pwn学习——ret2libc2

MrTreebook的博客

11-28

1247

pwn学习——ret2libc21.攻击原理2. ret2libc2的源代码3.checksec看一下保护4.exp 1.攻击原理通过把函数返回地址直接指向系统库中的函数（如system函数），同时构造该函数的输入参数栈，就可以达到代码执行的目的。正常堆栈布局： ret2libc执行system的堆栈布局：本题和ret2libc1的区别就是程序中没有自带"/bin/sh"，需要自己写进去 2. ret2libc2的源代码 #include <stdio.h> #include <

pwn学习-ret2libc3

Sa1nZen的博客

06-30

648

pwn学习-ret2libc3

pwn学习-ret2libc2

Sa1nZen的博客

06-16

270

pwn学习-ret2libc2

跟着CTF-wiki学pwn——ret2libc1

qq_42882717的博客

07-05

503

CTF-wiki的注解：简单的ret2libc

pwn题目中的libc-2.27.so文件

04-11

做pwn题，有些时候题目不给这个文件，这里是这个库的文件。

PWN入门之libc表

weixin_44681716的博客

03-24

2877

这次的实验的前提的我们不知道system和bin/sh的函数，然后通过泄露某个函数在libc表中的地址，再加上这几个函数的偏移量来计算system和bin/sh的地址，最后将这个地址覆盖到ret上，以便能跳至我们想要的函数，最终获得shellcode 我们还是以pwn举例 1、 ...

PWN篇：ret2libc

weixin_44644249的博客

01-28

555

PWN篇：ret2libc 源码 #include void vuln_func(){ char buf[128]; read(STDIN_FILENO,buf,256); } int main(int argc,char* argv[]){ vuln_func(); write(STDOUT_FILENO,"hello world!\n",13); } 很明显vuln为溢出函数编译 gcc -m32 -fno-stack-protector -no-pie -z execstack tes

pwn入门系列-ret2libc2

小心信科理化声

12-10

3228

Ret2libc2 今天来做一下经典的retlibc系列的第二题资源：ret2libc2 老样子先checksec [*] '/home/giantbranch/Desktop/pwn/ret2libc2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 可以看到

pwn技巧之ret to libc

这里没人

05-14

2523

简介在0day攻击当中有许多的技巧，这次介绍一种常用的攻击手段。ret to libc与栈溢出，堆溢出之类的漏洞利用技巧有所不同。ret to libc是一种在漏洞攻击中的常用的思路。目的是最大化利用所发现的漏洞，实现我们最终的目标get shell 首先，我们来认识一个c语言的库函数 int system(const char * string); 这个函数的的功能很简单，执行...

PWN入门（三）——ret2text /ret2syscall /ret2shellcode