PWN——ret2libc

已于 2024-12-11 21:22:17 修改
阅读量454 收藏 1
点赞数 7
分类专栏: 学习笔记 文章标签: 安全 linux
于 2024-12-08 21:16:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_51701860/article/details/144332142
版权

ret2libc

在这里插入图片描述
libc是Linux下的ANSIC的函数库。

ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system(“/bin/sh”),故而此时我们需要知道 system 函数的地址。

非执行堆栈

非执行堆栈是为避免堆或者堆栈的内存区域被植入恶意代码执行,当然也可以直接防止一部分内存被写入恶意代码。换句话说,这是个防止缓冲区溢出的功能。

当checksec发现NX(No-eXecute)开启后,其实就已经是非执行堆栈了,这时候就需要用到libc库。

libc是怎么来的:不再用指令覆盖EIP,直接调用libc库中我们需要的函数覆盖

思路:

1.泄露 一个调用函数的 地址

2.获取 libc 版本

3.获取 system 地址与 /bin/sh 的地址

4.再次执行源程序

5.触发栈溢出执行 system(‘/bin/sh’)

shellcode结构:
在这里插入图片描述

正常堆栈布局:
在这里插入图片描述

ret2libc执行system的堆栈布局:
在这里插入图片描述

具体例题可以查看[OGeek2019]babyrop的writeup。

平常的shellcode在源程序里就能找到system函数和/bin/sh,而ret2libc类型的题差别就在这里,我们需要通过libc库查找到system函数和/bin/sh在源程序中的位置,然后才能构造shellcode进行夺权,最后拿下flag。

ret2libc
qq_36963214的博客
08-30 282
retlibc ret2libc是返回导向编程(ROP)的一种,在开始数据执行保护的情况下,可以利用ROP执行shellcode 前置知识(栈空间与函数调用) 如果要调用一个函数,如system(const char *cmd),汇编中是这样的 0x56555571 <+36>: lea eax, cmd 0x56555577 <+42>: push eax 0x56555578 <+43>: call 0x565553e0 <system@plt&
CTF-PWN-栈溢出-初级ROP-【ret2libc
llovewuzhengzi的博客
01-02 1579
当发生信号处理时,会调用func对于的函数。此时注意nptr是输入的内容的起始地址,而&savedregs顾名思义并查看IDA就知道其是栈上保存着rbp的位置,v7是输入的长度,此时存在溢出,当memcpy后可能使得复制的值到到返回地址。ret2libc即控制程序去执行libc库中的函数,通常是返回至某个函数的 plt 处或者某个函数的具体位置 (即某个函数对应的 got 表项的内容)1.dlopen将指定的动态库以特定的方式装载到当前进程实体,并返回一个可操作的句柄,用以后续获取函数地址等操作;
Ret2libc
最新发布
m0_68956519的博客
03-24 631
got表,即全局变量表它用来存放外部函数地址plt表,即程序链接表用来存放额为代码都知道写好的c源码是不能执行的,因为它还要经过编译,汇编,链接后才能生成可执行文件。而链接方式一般分为静态链接和动态链接两种方式,通过连接器链接。链接简单说就是把代码需要的库导入到内存地址中,把不同的函数链接起来并经行地址和空间的分配,符号绑定和重定位。而静态链接是对于每个独立的函数,都导入一份库。这样如果多个函数都同时用到一个函数库时,就会重复的将这个函数库复制很多次,造成空间的浪费。
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8671
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
Ret2libc 1
weixin_44864859的博客
05-19 782
Ret2libc 1 题目代码和之前一样,gets函数存在栈溢出。同时也存在system函数,但是不同之处是我们不能直接跳转到system(“shell!?”)。因为我们要执行的是system(“bin/sh”)。 首先,我们可以在内存中搜索一下看有没有这个字符串 我们可以看到在0x8049720存在我们需要的字符串 那么,我们直接返回该处,即执行 system 函数。相应的 payload 如下 from pwn import * sh = process('./ret2libc1') binsh_
pwn基本ROP——ret2libc
turtlesd的博客
04-26 3050
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
pwn学习之ret2libc
weixin_43800829的博客
02-16 1437
title: pwn学习之ret2libc date: 2020-01-29 18:07:07 tags: pwn学习 在家无聊了的第二天,继续学习pwn的知识 ​ 今天看了看wiki-ret2libc的内容,觉得受益匪浅。 原理 ​ ret2libc说白了就是让我们之前的ret不往shellcode或者vul上跳 而是跳到了某个函数的plt或者got的位置 从而实现控制程序的函数去执行li...
初探 ret2libc
akdelt的博客
01-23 1100
可执行二进制程序调用函数A时,会先找到函数A对应的PLT表,PLT表中第一行指令则是找到函数A对应的GOT表。此时由于是程序第一次调用A,GOT表还未更新,会先去公共PLT进行一番操作查找函数A的位置,找到A的位置后再更新A的GOT表,并调用函数A。简单来说就是程序第一次调用某个函数 got 表里放的还不是 这个函数的真实地址,但是第二次调用 got 表放的是 这个函数的真实地址了。我们可以发现 puts 函数运行过了,所以就用 puts 了,分别拿 puts 的 plt 表和 got 表的对应地址。
基本ROP之ret2libc2
至臻求学,胸怀云月
02-14 3808
原理 ret2libc即控制函数执行libc中的函数,通常是返回至某个函数plt表处或者函数的具体位置(即函数对应的got表项的内容),一般情况下我们选择执行system("/bin/sh"),故而我们需要知道system函数的地址 过程 下载地址:url checksec IDA分析 gets函数 system函数 经计算gets字符串和ebp的偏移为108,这里不进行赘述 查找bin/s...
ret2libc | by AriSan
AriSan_XD的博客
05-02 379
ret2libc | by AriSan 基本特征:程序开启了NX不可执行保护,无法执行我们注入的 shellcode 漏洞原理:在栈溢出的基础上,控制 libc 中的参数。通常是改变返回地址到某个函数的 plt 处,或者某个函数的具体位置(函数对应 got 表项的内容),改变寄存器的参数,达到执行system('/bin/sh')的目的 若程序提供了system()函数,我们可以直接选择返回到 ...
字符串溢出(pwn溢出)--ret2libc
莫慌的博客
09-29 561
pwn入门
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Pr0b1em

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值