ROP之ret2libc

faqiadegege

Ret2Libc概述
程序动态加载libc库中功能函数，利用溢出漏洞，使用libc中比如system的地址覆盖返回地址，执行libc功能，控制执行流程，或者拿到shell等。

实例分析
静态分析，同样gets函数的溢出漏洞

确认文件属性




调试，确定溢出偏移






所以，溢出长度位108 + 4 = 112
确定‘/bin/sh’偏移




有关libc中system函数的偏移位置，需要参考PLT和GOT的关系GOT表是存储外部函数库的表PLT则是由代码片段组成的，每个代码片段都跳转到GOT表中的一个具体的函数调用二者的关系参考 https://saku376.github.io/2021/04/30/GOT%E8%A1%A8%E5%92%8CPLT%E8%A1%A8/

函数第一次调用过程


第一步由函数调用跳入到PLT表中，然后第二步PLT表跳到GOT表中，第三步由GOT表回跳到PLT表中，这时候进行压栈，把代表函数的ID压栈，第四步跳转到公共的PLT表项中，第五步进入到GOT表中，第六步 _dl_runtime_resolve对动态函数进行地址解析和重定位，第七部 把动态函数的真实地址写入到GOT表项中，第八步 执行函数并返回。 dynamic段：提供动态链接的信息，例如动态链接中各个表的位置link_map: 已加载库的链表,由动态库函数的地址构成的链表_dl_runtime_resolve: 在第一次运行时进行地址解析和重定位工作  之后的调用过程



所以，为了构造exp，找libc中的system时，找对应的符号在plt表中的地址即可
至此，构造exp


验证，获取shell

sangaqiao

感谢分享

dongmu666

感谢分享

fish820

感谢大佬分享

nishuidechali

感谢分享

PJ997272250

感谢大佬分享