ret2text(system($0))

于 2024-09-22 17:19:16 发布
阅读量273 收藏 10
点赞数 4
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_87299138/article/details/142440033
版权

经典nx,栈迁移,本该是很简单的一道题,但是涉及到system($0),就难理解了一点点,仅仅是一点点

废话不多说,距离rbp,0x10,填充0x18覆盖rbp,构造ret,这时候我们发现有system函数,没有/bin/sh,怎么办,可能有小伙伴想ret2libc,当然可以,但是太过麻烦,我们发现有的tips函数还没有看

我们直接进去西索

我们详细分析这串代码:

这段文本是一个反汇编代码片段,它描述了一个名为 tips 的函数或过程的汇编实现。我会为你逐行解释这段代码:

.text:0000000000400537 public tips

这行标记了一个名为 tips 的公共符号,表示这是一个可以被其他模块或代码引用的函数或过程。

.text:0000000000400537 tips proc near

这行定义了 tips 过程的开始,proc near 表示这是一个近程调用过程(即,它的跳转和调用通常在相同的代码段内)。

.text:0000000000400537 ; __unwind {

这是一个注释,它可能是关于异常处理的元数据或提示,尽管在这段代码中它并不直接影响执行流程。

.text:0000000000400537 55 push rbp

这行代码将当前的基指针寄存器(rbp)的值压入栈中。这通常是为了在函数内部保存原始的栈帧指针。

.text:0000000000400538 48 89 E5 mov rbp, rsp

这行代码将当前的栈指针寄存器(rsp)的值移动到基指针寄存器(rbp)。这是设置新的栈帧的开始/

.text:000000000040053B B8 00 00 00 00 mov eax, 0

这行代码将累加器寄存器(eax)的值设置为0。这通常用于准备返回值或用于其他计算。

.text:0000000000400540 E8 24 30 00 00 call near ptr 403569h

这行代码调用了一个位于地址 403569h 的函数或过程。E8 是调用指令的操作码,而 24 30 00 00 是相对偏移量。

.text:0000000000400545 90 nop

这是一个无操作指令(nop),它什么都不做。它通常用作占位符或用于对齐代码。

.text:0000000000400546 5D pop rbp

这行代码从栈中弹出一个值,并将其放回 rbp 寄存器中。这是函数结束时恢复原始栈帧指针的过程的一部分。

.text:0000000000400547 C3 retn

这行代码是一个返回指令。它将从栈中弹出一个值作为返回地址,并跳转到该地址。这标志着 tips 函数的结束。

.text:0000000000400547 ; } // starts at 400537
.text:0000000000400547 tips endp

这些是注释,标记了 tips 过程的结束,并给出了其开始的地址。

总之,这个 tips 函数似乎很简单:它设置了新的栈帧,可能执行了一些操作(尽管在这段代码中看不到),然后调用了一个位于 403569h 的函数,最后恢复了原始的栈帧并返回。

这里可以使用system($0)来获得shell权限。
首先用垃圾数据填充栈,进行栈溢出,然后将数据放入$0放入rdi中,然后跳到system函数执行。

exp
from pwn import *
    
context(os='linux',arch='amd64',log_level='debug')
p= process('./system0')
elf=ELF('./system0')
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
2401_87299138
关注
ret2text
m0_49959202的博客
09-18 244
文章目录ret2text1.检查保护机制2.ida分析程序3.exp编写 ret2text 进程存在危险函数如system(“/bin”)或execv(“/bin/sh”,0,0)的片段,可以直接劫持返回地址到目标函数地址上,从而获取shell。 1.检查保护机制 首先调用checksec,检查保护机制: 发现pie没有开启 2.ida分析程序 使用ida打开程序ret2text,静态分析: 发现main函数中存在函数:vulnerable(),里面有危险函数gets(),可以用来进行栈溢出 发现
跟着CTF-wiki学pwn——ret2text
qq_42882717的博客
06-21 1162
肾么叫做万死不辞呀,就是每天被气死一万次,也不辞职…(哭哭
day5——system($0)
m0_73858054的博客
12-01 99
所以,无论是用哪种方式,最终达到的目的都是通过shell来执行特定的命令。但需要注意的是,在某些情况下,我怀疑ret那句话不能加的原因就是在这里,但是我不理解因为加上那句话之后payload的长度刚好满足0x38,很明显没有超过…这是因为两者都会调用系统的shell来执行参数中指定的命令。做这道题的时候他那个read限制读入的长度给我整麻了,虽然这里没啥影响,但是后面还是要注意一下。但是没有‘/bin/sh’字符串,不过在上面名为tips的函数中发现了$0的机器码。哎呀,昨天居然忘了发了,今天先发一下吧。
[蓝桥杯2024]-PWN:fd解析(命令符转义,标准输出重定向,利用system(‘$0‘)获取shell权限)
2301_79326813的博客
04-27 641
查看保护查看ida这里有一次栈溢出,并且题目给了我们system函数。这里的知识点没有那么复杂。
【PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))
Mr_Fmnwon的博客
05-31 3718
pwn题中要通过system/excute等返回shell,进而cat flag。今天遇到一题,参数$(0)也可返回,有必要记录一下。
bugku pwn4 学习
欢迎来到神林的博客
08-27 1216
2019-08-25 bugku pwn4 学习 1.拿到题目先file 一下文件看看文件属性 查看得知是64位动态链接库的文件。2.checksec 查看是否开启什么保护然而并没有什么保护PIE 保护指定是对代码段进行保护3.IDA查看内容 看到了敏感函数system,看着想办法跳转4.查看main函数,有栈溢出的敏感函数 read 想办法利用read 函数5.查看read函数栈中内容 完全能够...
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6538
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
ret2text涉及到的堆栈平衡问题
qq_41560595的博客
01-04 4622
这个指令要求rsp+0x40的值是16字节对齐。 错误的题解: from pwn import * io=process("./level0") raw_input() elf=ELF("./level0") system_addr=0x400596 io.recvuntil(b"World\n") payload=b"A"*(0x88)+p64(system_addr) io.send(payload) io.interactive() $rsp+0x40没有16字节对齐。 正确的题解: fro.
ret2text知识点及例题
weixin_44864859的博客
05-19 1410
ret2text 这里涉及到的知识 Stack: No canary found NX: NX enabled ret2text: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked 1.首先是stack保护措施,如果开启的话在栈中返回地址前放一个随机值,如果被覆盖,程序就会报错退出 2.nx则是 no execution,如果开启的话就不能让ip寄存器指向堆和栈。。。。注意堆和栈是不
[GFCTF 2021]where_is_shell
沈理大学牲的博客
11-13 479
在ROP攻击中,攻击者利用程序中存在的这种gadget,通过精心构造的数据将程序控制流引导到这个gadget,从而实现对程序行为的控制。通常情况下,攻击者会将需要的参数放置在栈上,然后利用ROP链将控制流引导到 "pop rdi;ret" 这样的gadget,将参数加载到合适的寄存器中,然后再执行调用目标函数的ret指令。在x86_64架构中,这个gadget的作用是从栈中弹出一个数值,并将其赋值给RDI寄存器,然后进行返回。先覆盖到地址,然后执行ret,ret用来返回弹出的地址,然后执行pop_rdi;
AWK学习笔记
jeffreyst的专栏
11-01 1308
AWK学习笔记 如下的内容来自《sed&awk》和自己的一些体会,如有不妥的地方,烦请指正,多谢~ 1.AWK是基于输入语句的,文件中有多少句子,AWK就会被调用多少次。 这个循环是AWK提供的,不用我们去实现。 2.awk的基本结构包括三部分 由于awk主要是处理输入的文件内容的,所以:   2.1执行前-->输入前执行的操作,有"BEGIN"标示,   2.2
在awk中执行system命令------太有用了
热门推荐
认知 行动 坚持
12-05 1万+
有这样一个临时需求: 在a.txt文件中有一万行字符串, 而二进制文件test能解密任何一行, 格式为./test decrypt xxx,  现在要把a.txt的所有行解密出来, 存放在b.txt, 怎么搞?         我一开始的思路是: 写程序逐行读取a.txt, 然后在程序中循环执行system("./test decrypt xxx"),  看看, 这是多个SB的事情啊。 为什么不
Bugku pwn4
BengDouLove的博客
02-16 380
bugku pwn4 先ida打开elf文件,发现是64位,之前知道64位和32位有所不同但是还没有接触到过 程序里没什么,然后打开字符串子视图 有这么一句话,引起怀疑,然后双击点开,右键点开外部引用图表到 发现0x400751这个函数在调用这一段字符串,打开400751并且反汇编,发现是system函数,里面的参数正是这一段字符串,想到如果里面是系统指令就好了。 打开虚拟机,调试过程中也没有...
Linux下调用system()函数导致的问题
fengxinze的专栏
10-23 7067
原文:http://blog.chinaunix.net/space.php?uid=20732057&do=blog&id=763540 前一段时间用了system()函数调用脚本启动另一个进程,发现两个问题: 1.执行killall命令杀新启进程时会连原进程一起kill掉. 2.原进程打开的侦听端口,如果新启动的进程不退出无法释放(socket资源未释放). 查看system(
【转】system函数
weixin_30419799的博客
07-19 925
Linux下system () 函数详解简介   (执行shell 命令)   相关函数   fork,execve,waitpid,popen   表头文件   #include<stdlib.h>   定义函数   int system(const char * string);   函数说明   system()会调用fork()产生子进程,由子进程来调用/bi...
Pwn入门笔记(五)ROP
qq_33590156的博客
11-29 768
ROP32位的ROP64位的ROP 32位的ROP 这个在栈基础中提到过,此处写出是为了和64位的形成对比。通过在返回地址上写上函数PLT的地址来实现跳转到函数,调用函数时压入参数后会压入eip(返回地址),然后32位程序参数在栈上,所以结构如下图: 栈底-高地址-> c b a 实际调用函数中的返回地址eip dddd 原返回地址(r) system的plt表地址 原ebp (s) aaaa aaaaaaaaaaaaaaa… 栈顶-低地址-> …
system函数调用
dianmotang8246的博客
10-02 351
相关函数 fork,execve,waitpid,popen 表头文件 #include<stdlib.h> 定义函数 int system(const char * string); 函数说明 system()会调用fork()产生子进程,由子进程来调用/bin/sh-c string来执行参数string字符串所代表的命令,此命>令执行完后随即返回原调用的进程。在调...
java怎么取到字符串{"phone":"15555381897","retCode":"0","retMsg":"校验成功"},不适用substring方法
最新发布
04-29
在Java中,你可以使用JSON库来解析JSON字符串,而不使用substring方法。一个常用的JSON库是Jackson。下面是使用Jackson库解析JSON字符串的示例代码: ```java import com.fasterxml.jackson.databind.JsonNode; import com.fasterxml.jackson.databind.ObjectMapper; public class JsonParser { public static void main(String[] args) { String jsonString = "{\"phone\":\"15555381897\",\"retCode\":\"0\",\"retMsg\":\"校验成功\"}"; try { ObjectMapper objectMapper = new ObjectMapper(); JsonNode jsonNode = objectMapper.readTree(jsonString); String phone = jsonNode.get("phone").asText(); String retCode = jsonNode.get("retCode").asText(); String retMsg = jsonNode.get("retMsg").asText(); System.out.println("phone: " + phone); System.out.println("retCode: " + retCode); System.out.println("retMsg: " + retMsg); } catch (Exception e) { e.printStackTrace(); } } } ``` 这段代码使用了Jackson库的`ObjectMapper`类来解析JSON字符串。首先,我们创建一个`ObjectMapper`对象,然后使用`readTree`方法将JSON字符串转换为`JsonNode`对象。接下来,我们可以使用`get`方法获取指定字段的值,并使用`asText`方法将其转换为字符串类型。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值