pwn-ret2libc基础

最新推荐文章于 2024-11-10 12:22:23 发布

ad_m1n

最新推荐文章于 2024-11-10 12:22:23 发布

阅读量1.1k

点赞数 1

分类专栏： PWN 文章标签： pwn ctf

本文链接：https://blog.csdn.net/hacker_zrq/article/details/120605177

版权

PWN 专栏收录该内容

10 篇文章 ¥9.90 ¥99.00

订阅专栏

超级会员免费看

本文介绍了在没有system和bin/sh的情况下，如何利用puts和gets函数进行ret2libc攻击。通过动态调试，揭示了plt表和got表的工作原理，以及如何计算函数的真实地址。在了解延迟绑定机制后，构建payload逐步触发栈溢出，最终实现system('/bin/sh')的执行。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

题源：基本 ROP - CTF Wiki (ctf-wiki.org) ret2libc的例三

这题的特点是：没有system，没有bin/sh。但是有puts，和gets函数。碰到gets函数基本上又是栈溢出大类中的题目。

①先检查保护

②：计算system和bin/sh的实际地址。

核心公式就是：函数真实地址=基地址+偏移量

 那么我们如何得到 system 函数的地址呢？这里就主要利用了两个知识点

①system 函数属于 libc，而 libc.so 动态链接库中的函数之间相对偏移是固定的。有的题目会直接告诉我们libc版本，有的就得自己找了。

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

ad_m1n

关注关注

1
点赞
踩
7

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

订阅专栏

[CTF]PWN--新人入门第一关--Ret2libc

2301_79880752的博客

02-29

1626

首先我们需要找到pop rdi|ret这个指令在程序中的位置（前面提到该指令为程序中自带的，只不过需要我们去寻找），然后让程序返回到pop rdi|ret这个指令上去执行它，通过ROPgadget --binary pwn --only 'pop|ret' 该指令来寻找pop |ret这个指令的地址，其中ROPgadget为一个插件，需要自己下载，binary意思为一个二进制文件，后面跟着的是文件名，only后面跟着的为要搜索的命令地址。

pwn小白入门06--ret2libc

weixin_45943522的博客

10-25

8667

概述：前文介绍了ROP的基本原理，但前面的方法有一些局限性，一旦目标程序调用的函数较少，或者使用动态编译，就会导致我们可以利用的gadget变少，从而无法达到利用效果。为了解决这种问题，我们可以选择使用ROP的方式，到动态链接库里面寻找gadget。即ret2libc。动态链接库：说动态链接库之前，先简单介绍一下库，库是一种软件组件技术，库里面封装了数据和函数，比如常用的printf，get函数。前文所说的ret2syscall所使用的程序是静态链接的，即在程序编译的时候就将整个库链接到程序中，一般这

参与评论您还未登录，请先登录后发表或查看评论

Buuctf pwn1_sctf_2016

qq_53809201的博客

03-19

614

checksec run ida 在程序中搜索既没有system又没有bin/sh,所以明显的rop nptr处可以使用整数溢出构造rop 然后可以利用printf函数来泄露程序的libc版本覆盖返回地址执行system来getshell exp from pwn import * from LibcSearcher import * context(os = 'linux', arch = 'i386', log_level = 'debug') elf = ELF("./pwn2") loca

bugku pwn libc

09-03

bugku pwn3和pwn5用到的libc文件，原题目中没有给出libc文件，也不容易获取libc版本

PWN题型之Ret2Libc

swedsn

03-18

5934

文章目录前言0x1 ：使用前提条件0x2 ：为什么要这么使用0x3 ：使用方法0x4 ：实例二、使用步骤总结前言菜鸡总结，如有不对，请指点 0x1 ：使用前提条件查看保护：开启了NX保护，但是没有开启PLE保护，可以开启canary保护。但是这样就是两种题型结合了。打开IDA查看源代码：存在溢出条件，但是没有system函数（/bin/sh）和 flag字样。 ` 0x2 ：为什么要这么使用由于缺少system函数，所以需要构造shellcode。但是开启了NX保护（可执行的不可修改，可修改不可执

ret2libc2做题过程(ctfwiki)

Rt1Text的博客

02-10

3264

ctf pwn ret2libc2 有system无bin/sh

pwn学习之ret2libc

weixin_43800829的博客

02-16

1431

title: pwn学习之ret2libc date: 2020-01-29 18:07:07 tags: pwn学习在家无聊了的第二天，继续学习pwn的知识今天看了看wiki-ret2libc的内容，觉得受益匪浅。原理 ret2libc说白了就是让我们之前的ret不往shellcode或者vul上跳而是跳到了某个函数的plt或者got的位置从而实现控制程序的函数去执行li...

pwn学习——ret2libc2

MrTreebook的博客

11-28

1237

pwn学习——ret2libc21.攻击原理2. ret2libc2的源代码3.checksec看一下保护4.exp 1.攻击原理通过把函数返回地址直接指向系统库中的函数（如system函数），同时构造该函数的输入参数栈，就可以达到代码执行的目的。正常堆栈布局： ret2libc执行system的堆栈布局：本题和ret2libc1的区别就是程序中没有自带"/bin/sh"，需要自己写进去 2. ret2libc2的源代码 #include <stdio.h> #include <

CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用

serfend's blog

04-15

2528

CTF-PWN 来源：https://buuoj.cn/challenges 内容：附件：https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码：2n64 答案：flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路发现加密位置，判断其溢出点通过设置第一个字符为\0以让strlen返回0，从而避免payload被破坏构造执行，溢出获取puts的地址，从而得到libc版本再次溢出，执行获取sh

pwn入门系列-ret2libc2

小心信科理化声

12-10

3222

Ret2libc2 今天来做一下经典的retlibc系列的第二题资源：ret2libc2 老样子先checksec [*] '/home/giantbranch/Desktop/pwn/ret2libc2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 可以看到

pwn题目中的libc-2.27.so文件

04-11

做pwn题，有些时候题目不给这个文件，这里是这个库的文件。

跟着CTF-wiki学pwn——ret2libc1

qq_42882717的博客

07-05

498

CTF-wiki的注解：简单的ret2libc

PWN入门之libc表

weixin_44681716的博客

03-24

2863

这次的实验的前提的我们不知道system和bin/sh的函数，然后通过泄露某个函数在libc表中的地址，再加上这几个函数的偏移量来计算system和bin/sh的地址，最后将这个地址覆盖到ret上，以便能跳至我们想要的函数，最终获得shellcode 我们还是以pwn举例 1、 ...

PWN篇：ret2libc

weixin_44644249的博客

01-28

535

PWN篇：ret2libc 源码 #include void vuln_func(){ char buf[128]; read(STDIN_FILENO,buf,256); } int main(int argc,char* argv[]){ vuln_func(); write(STDOUT_FILENO,"hello world!\n",13); } 很明显vuln为溢出函数编译 gcc -m32 -fno-stack-protector -no-pie -z execstack tes

pwn技巧之ret to libc

这里没人

05-14

2517

简介在0day攻击当中有许多的技巧，这次介绍一种常用的攻击手段。ret to libc与栈溢出，堆溢出之类的漏洞利用技巧有所不同。ret to libc是一种在漏洞攻击中的常用的思路。目的是最大化利用所发现的漏洞，实现我们最终的目标get shell 首先，我们来认识一个c语言的库函数 int system(const char * string); 这个函数的的功能很简单，执行...

PWN入门（三）——ret2text /ret2syscall /ret2shellcode

最新发布

Jack_Grealish的博客

11-10

1335

根据目录看文章结构，CSDN中没有Typora那么多级标题，所以有点乱。

PWN做题笔记9-dice_game（调用libc库方法）

qq_40923256的博客

04-26

675

本题与“4”没有本质区别，这里说一下数组在栈中的存放以及libc库方法直接调用 buf数组大小55，但是读了0x50即80个字节，存在溢出栈中数组元素存放如下：因此构造payload覆盖seed地址变为0 可以利用ctypes库直接调用libc库中的方法。代码如下： from pwn import * from ctypes import * p=remote("111.200.241.244","55029") payload=b"a"*0x40+p64(0) p.s.

基本ROP之ret2libc2

至臻求学，胸怀云月

02-14

3804

原理 ret2libc即控制函数执行libc中的函数，通常是返回至某个函数plt表处或者函数的具体位置（即函数对应的got表项的内容），一般情况下我们选择执行system("/bin/sh"),故而我们需要知道system函数的地址过程下载地址：url checksec IDA分析 gets函数 system函数经计算gets字符串和ebp的偏移为108，这里不进行赘述查找bin/s...

[PWN] 泄露libc HarekazeCTF_2019_baby_rop2

LDX的博客

11-28

766

pwn 64位泄露libc版本

pwn ret2libc原理

08-22

pwn ret2libc是一种攻击技术，其原理是通过利用程序中的栈溢出漏洞，来控制程序的执行流程，以达到执行libc中的函数的目的。在ret2libc攻击中，程序会调用libc库中的函数，例如system函数，来执行特定的操作。但是在程序中没有自带的/bin/sh字符串，所以需要通过其他方式获取执行shell命令的能力。具体而言，攻击者会利用程序中的栈溢出漏洞，将栈上的返回地址修改为在libc库中的某个函数的地址，例如puts函数。然后通过执行puts函数，将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的，攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作，比如执行shell命令。总结来说，pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址，然后根据已知的函数地址和libc的版本计算出system函数的真实地址，最终实现执行shell命令的目的。123 #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]