pwn学习笔记（4）静态链接：静态链接是由链接器在链接时将库的内容加入到可执行程序中的做法。链接器是一个独立程序，将一个或多个库或目标文件（先前由编译器或汇编器生成）链接到一块生成可执行程序。这里的库指的是静态链接库，Windows下以.lib为后缀，Linux下以.a为后缀。也就是说将静态链接库中的所有的函数都写入这个ELF文件中，所以会造成该二进制文件极为庞大，因此也会存在很多的可供利用来re

1.题目信息warmup.c//gcc-fno-stack-protector-no-pie-zexecstackwarmup.c-owarmup#includevoidinit_proc(){setbuf(stdout,NULL);setbuf(stdin,NULL);setbuf(stderr,NULL);}intmain(void){charbuf[0x100];init_proc();pu

文章目录ret2libc构建思路x86amd64第一阶段获取libc版本ret2libc这次我们又碰到新问题了，假如程序没有system函数和/bin/sh怎么办?

程序保护情况检查32位程序，堆栈不可执行主函数：左边又是一堆函数，file看一下发现是静态链接，那ret2libc不用考虑了，接着看一下有没有int80那可以考虑利用rop链调用execve函数，用系统调用的函数参数是存在寄存器中的

即ret2libc。静态链接和动态链接：链接：程序经过预处理，编译，汇编，链接之后可以生成可执行文件，链接可以将多个汇编之后的程序拼在一起。也可以链接

文章目录简述libc具体例题内容具体分析补充简述libc何为libc,我们平时看的ida里面的函数只是部分的，还有很多未显示出来，都存在libc库中，比如下面的例题中ida中没有system函数和bin/sh.这就需要用到libc库中的函数。ida中的我们称之为静态分析，而更多的内容都在libc库中。具体例题ctfshow45首先ida分析一下main函数跟进ctfshow函数发现read函数(溢

ret2libc即控制函数执行libc中的函数。

文章目录re2libcDEFCONCTFQualifier2015r0pbaby源码思路首先得到libc基地址可得到system地址溢出长度构造payloadexpre2libcret2libc即控制程序去执行libc库中的函数，通常是返回至某个函数的plt处或者某个函数的具体位置(即某个函数对应的got表项的内容)有以下三种情况程序同时有了system和/bin/sh，或者说可以在提供的可执行文

pwn2_sctf_2016考点：intoverflow、ret2libc这题没有write和puts函数，因此使用的printf函数进行的泄露。

NewStarCTFWEEK1pwnret2text：calc：ret2libc：ret2shellcode：fallw1nd’sgift：REHello_Reverse:Baby_Re:CRYPTO:

发现开启了NX栈不可执行，则很有可能是ret2libc类型题目，IDA查看：int__cdeclmain(intargc,constchar**argv,constchar**envp){vulnerable_function

文中writeup收集自互联网，但本文主题是介绍ret2libc借例子一用,姑且算原创吧。

然后就是做题，哎，就做了三道，两道ret2libc都没有打通，但是调试却可以打通，无语子捏。

攻防世界Pwn新手1、栈溢出，从简单到难，开始有后门函数，到需要自己写函数参数，到最后的ret2libc。常见漏洞点有read()函数、gets()函数、strcat()函数等等。

所以这篇主要是帮助刚开始学习的人学习吧首先知识点包括：栈，堆，整数溢出，格式化字符串目前ctf的题越来越偏向于实际，有的会使用刚刚爆出来的CVE漏洞的，所以不能只局限于glibc所以可以大体分为两类把：libc,kernel栈利用：有ret2libc

文章目录环境配置pwntools使用解题流程格式化字符串漏洞libc地址计算相关（以puts泄露为例）可以用ret2libc但没必要的场景人机交互相关整数溢出栈溢出能造成溢出的危险函数恶意动态链接库seccompROP64

只作了3个pwn，第4个附件没下下来，第5个不会AdminService这是个最简单的题，最后来弄出来。原来只是看过关于maps文件的，一直没什么印象。题目一开始设置seccomp禁用execv等，看来是用ORW，然后建了个mmap的可写可执行块然后提供3个功能：1，读文件，由于没限制..可以漏洞读任意文件，只检查flag字符串2，更新配置，在4060起的偏移上写10字节，这理理论上得到地址后可以

这题是经典的ret2libc，而且保护开的也不多，实际上，这篇博客的意义更大：【PWN·ret2libc】[2021鹤城杯]babyof_Mr_Fmnwon的博客-CSDN博客目录前言一、题目二、思路三

pwn23-25的题目会涉及到ret2shellcode、ret2libc等内容，本篇文章只会侧重研究这几道题目的wp，不会过多涉及到ret2shellcode、ret2libc的基本原理，等有时间再来写关于

ReturnOrientedProgramming(面向返回的编程)，在栈溢出基础上，利用程序中已有的小片段(gadgets)，改变寄存器或变量的值，从而控制程序执行流程，从而绕过NX防御，常见有ret2text,ret2syscall,ret2libc

首先checksec打开IDAPro看一眼ret2libc的做法。

ret2libc原理（动态编译）ret2libc即控制函数的执行libc中的函数，通常是返回至某个函数的plt处或者函数的具体位置(即函数对应的got表项的内容)。

1，三连2，偏移3，IDA静态查看是否有ret利用点思路:ret2libc，泄露_write来获取Libc基址4，ldd查看5，payload自动查Libc版本#!

这是一道PWN题，知识点在于Ret2LibC攻击，两篇不错的参考文档：http://www.cis.syr.edu/~wedu/seed/Labs/Vulnerability/Return_to_libc

CVE-2012-1889）分析报告[toc]1.软件介绍2.漏洞成因3.利用过程XP+IE6堆喷射（HeapSpray）分块堆喷WINxp+IE8下漏洞利用DEP绕过DEPReturntolib精准堆喷Ret2Libc

checksec运行直接输入就行idamain函数获取输入并进行输出给输入分配的栈空间为0x18利用思路ret2libc代码'''@Author:白银@Date:2023-04-0316:50:21@LastEditors

vulner函数里面存在漏洞call到callsystem就好了就覆盖0x80个就好了算了之后这种简单题就直接给payload吧ciscn_2019_n_1这道题看了源码是逆向加pwn逆向完就很简单了就直接ret2libc

初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、getshellexp本地libc运行尝试尝试1尝试2尝试3尝试4（重大进展）引入好久没做pwn题了，找了道简单的ret2libc

文章目录ret2libc1ret2libc2ret2libc3题目链接：https://github.com/ctf-wiki/ctf-challengesret2libc1checksec一下只开了NX和部分RELROmain函数secure函数有溢出给了plt表里也有system函数的address也有/bin/sh字符串，payload已经可以构造出来了offset=0x641frompwn

开启aslr和pie后，ret2libc变得特别困难，.plt和.got调用，前者是对ELF文件的offset，后者是对运行加载基址的偏移，调用不了。找了些文件。

今天在CTF-wiki上学习缓冲区溢出攻击中的ret2libc在编写攻击代码时，用到了一个名为LibcSearcher的库，来确定libc中某个函数的地址。

读取随机数作为参数传入函数中读取输入，进行字符串比较，不同则退出，相同则返回输入的第8个字节，可以通过输入\0绕过字符串比较返回的字节作为read的长度，buf只有231字节，可以通过传入255来栈溢出，然后就是标准的ret2libc

简单的ret2libc，话不多说，直接上脚本exp:frompwnimport*context.log_level="debug"p=process('.

ret2libcroot@a1station:~/pwn/got#catgot.c#includestaticinta;externintb;externvoidtest();intfunc(){a=1;b=2;return0;}intmain(){func();test();printf("hey!\n");return0;}root@a1station:~/pwn/got#root@a1sta

ret2libc技术这是我们要进行溢出实验的C程序：#includevoidexploit(){system("/bin/sh");}voidfunc(){charstr[0x20];read(0,str

原理ret2libc说白了就是让我们之前的ret不往shellcode或者vul上跳而是跳到了某个函数的plt或者got的位置从而实现控制程序的函数去执行libc中的函数例子这里使用了wiki上的

函数内存在栈溢出漏洞由于程序会将输入的内容加密，这会破坏我们的payload，所以注意到strlen函数，通过在payload开头放上\0来绕过加密由于程序内没有后门函数，也没有system函数，所以考虑ret2libc

前情回顾之前的实践中，当我们开启了栈不可执行，但是关闭了地址随机化，我们可以通过找到system“/bin/sh”的地址，然后利用溢出跳转到system“/bin/sh”的地址去执行，当然，这一切都基于关闭了地址随机化，使得system()函数在内存中的地址是不会变化的，并且libc.so中也包含“/bin/sh”这个字符串，这个字符串的地址也是固定的。那么问题来了。。。。。。如果我们想同时开启了

以上一篇ret2libc绕过地址随机化的代码为例，一般在我们做题的时候没法查看libc的版本之类的，连上服务器后就是程序运行起来的情况，那这时候就需要新的知识来解决了LibcSearcher，可以通过它来找出偏移

0x01attach调试我们将4.c文件编译成41.exe，然后使用python脚本运行C语言程序如下：#includevoidexploit(){system("/bin/sh");}voidmain(){charbuf[20];gets(buf);}python代码如下：frompwnimport*#context(arch="i386",os="linux",log_level="debug

这题整体的思路是ret2libc先checksec理一下题目：只有功能1是能用的，输入1，来到encrypt函数，输入s，因为后面有strlen，所以\0截断，溢出为0x58exp：frompwnimport

jarvisojpwn的level4乍一看是一道常规的ROP，可以ret2libc但是遇到一个问题自己写的脚本本地能跑通，远程跑不通可以看到本地是能拿到shell的在网上搜了其他人的wp，全都是用DynELF

今天我们学习ret2libc1先来检查一下保护情况，开启了NX保护使用如下命令查找一下system函数再来找一下字符串ROPgadget--binary./ret2libc1--string"/bin/sh"此时再来计算一下溢出偏移Exp如下#Exp.pyfrompwnimport*context(arch="i386",os="linux",log_level="debug")p=process

预备知识在上一节，我们学习了GOT、PLT表，Linux的延迟绑定机制。1、那么，延迟绑定对我们的学习有什么不一样的启示呢GOT表一个绝佳的攻击目标包含libc函数真实地址，用于泄漏地址覆盖新地址到GOT表，劫持函数流程PLT表不用知道libc函数真实地址，使用PLT地址即可调用函数2、LibcLibc就是Linux下的C函数库，其中包含着各种常用的函数，在程序执行时才被加载到内存中Libc一定可

基础知识1、复现一下Ret2Libc32位下的内存布局针对这张图，我们在上一节做了细致的分析32位的调用方式32位系统中调用函数的方式：栈传递参数构造函数调用将参数和返回地址放在栈上构造执行write(1,buf2,20)后，再返回main函数64位的调用方式64位系统中使用寄存器传递参数：rdi、rsi、rdx、rcx、r8、r9（1-6个参数）http://abcdxyzk.github.io

level3[collapsetitle=“展开查看详情”status=“false”]考点：栈溢出、ROP（ret2libc）ssize_tvulnerable_function(){charbuf;

twice程序循环两次，第一次泄露canary+stack地址，第二次执行栈迁移溢出，我这里用的ret2libc，很

Pwnret2temp应该是入门级别的ret2libc，就直接贴脚本了#encoding=utf-8frompwnimport*​fromLibcSear

这次除了elf程序还附带一个动态链接库先看一下，很一般的保护思路分析在ida中查看，可以确定通过read函数输入buf进行溢出，但是并没有看到合适的目标函数但是用ida打开附带的链接库，可以看到system函数和“/bin/sh”字符串都存在于是思路就确定为read函数溢出->system函数，同时加入参数“/bin/sh”通过libc.so文件可以得到write、system和/bin/sh的偏

在最后提到ret2libc，原书并没有详细的资源。但理解这个对以后如何绕开不可执行栈（nx-stack）有很大的帮助，鉴于此，我在网络上找到一些相关资料，并进行相应的试验。