栈溢出总结+ret2text

最新推荐文章于 2024-10-05 18:28:51 发布
最新推荐文章于 2024-10-05 18:28:51 发布
阅读量563 收藏 3
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MuMuLee_/article/details/100697532
版权
本文深入探讨了栈溢出的原理,强调了栈中保存的函数返回地址的重要性。通过篡改这个地址,可以实现代码执行的跳转。文章还介绍了函数调用栈的结构和主要过程,并简要提及了保护方式及如何绕过这些保护。
摘要由CSDN通过智能技术生成

1、堆栈溢出原理

通俗的讲,栈溢出的原理就是不顾堆栈中分配的局部数据块大小,向该数据块写入了过多的数据,导致数据越界,结果覆盖了老的堆栈数据。

其中,最重要的一点: 栈中保存了函数调用时的返回地址。
缓冲区溢出的目的就是要将栈中保存的返回地址篡改成溢出的数据,这样就间接修改了函数的返回地址,当函数返回时,就能跳转到预设的地址中,执行植入的代码。

2、函数调用栈的结构和主要过程
图示:
在这里插入图片描述
文字说明:
调用及释放
汇编代码

push 参数 3               #参数由右向左入栈
push 参数 2
push 参数 1
call 函数地址             #push当前指令位置,跳转到所调用函数的入口地址
push ebp                 #保存旧栈帧的底部
mov ebp,esp              #设置新栈帧底部
sub esp ,xxx             #设置新栈帧顶部

栈帧调整:
保存当前栈帧的状态值,为了后面恢复本栈帧时使用(EBP入栈);
将当前的栈帧切换到新栈帧(ESP值装入EBP,更新栈帧底部);
给新栈帧分配空间(ESP减去所需要空间的大小,抬高栈顶)。

3、保

最低0.47元/天 解锁文章
MuMuLee_
关注
专栏目录
ret2text失败--记录一次简单的栈溢出
lifanxin的博客
01-20 522
ret2system程序样本程序漏洞Exp总结 程序样本 来自攻防世界的level0样本,检查样本文件,是64位的小端程序,并且只开启了NX保护。 程序漏洞 如上图所示,该程序有非常明显的栈溢出并且存在后门函数,所以下面直接上Exp,并且解释下载ubuntu20.04上遇到的漏洞利用问题。 Exp from pwn import * context(os="linux", arch="amd64", log_level="debug") #p = remote("220.249.52.134",
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6666
什么是栈溢出栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
栈溢出实例--笔记一(ret2text
一只青木呀
08-01 1962
栈溢出实例1、什么是栈溢出?2、栈结构3、栈溢出需要解决的问题3.1、解决如何跳转的问题3.2、跳转到哪里去?4、实战 1、什么是栈溢出栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。 2、栈结构 3、栈溢出需要解决的问题 在我们知道什么是栈溢出以及了解了栈的结构之后,我们就可以开始通过栈溢出破坏栈结构。 在破坏栈结构的时候,我们需要注意两个问题: 1、如何跳转? 2、跳转到哪里去? 3.1、解决如何跳转的问题 在上面栈结构的图中
pwn自学笔记(1)--——ret2text
最新发布
CDU__mint__的博客
10-05 1180
此篇文章是对ret2text的学习初步总结。目标利用栈溢出执行危险程序获取shell。
ctfshow 01栈溢出之ret2text
Cfoxer的博客
02-21 399
file查看文件为64位,同时checksec表明开启了NX保护,所以排除re2shellcode办法,再根据题目提示,锁定目标re2test。根据上下s计算,其大小为0x80(转化十进制128)而在main函数中,我们关注welcome函数。明确目标要替换返回到ctfshow函数。汇编模式下可查看其起始地址为38。查看其变量s大小进行覆盖。
二进制漏洞挖掘之ret2text栈溢出
brucexia的专栏
01-31 727
(2)执行“gcc -m32 -fno-stack-protector ret2text.c -o ret2text”命令,编译程序,再使用gdb调试程序,使程序运行到read函数,执行“cyclic 200”命令,生成200个字符。执行“python ret2text.py”命令,运行脚本,获取系统shell,再执行“ls”命令,测试shell能否正常使用,结果如图11-32所示。由图可知,ebp地址存储的字符为“eaaa”,执行“cyclic -l eaaa”,结果如图11-30所示。
栈溢出学习总结
qq_36386435的博客
06-17 270
栈溢出 前言         距离上一次发博客挺长时间了,没时间,隔一段时间总结一波也可以,CTF中的漏洞挖掘与利用学习,也就是pwn,通常是用ctfwiki来学习的,里面的内容确实可以,但是入门总感觉看起来太枯燥了,当前学习了栈溢出漏洞,整数溢出漏洞,格式化字符串漏洞,条件竞争漏洞,还有堆结构的学习,还未做一些利用堆的题,除了栈溢出漏洞,其他我都是跟着ctfwiki来的,栈溢出漏洞,我觉得ctfwiki上太多了,太枯燥了,就直
ret2text涉及到的堆栈平衡问题
qq_41560595的博客
01-04 4690
这个指令要求rsp+0x40的值是16字节对齐。 错误的题解: from pwn import * io=process("./level0") raw_input() elf=ELF("./level0") system_addr=0x400596 io.recvuntil(b"World\n") payload=b"A"*(0x88)+p64(system_addr) io.send(payload) io.interactive() $rsp+0x40没有16字节对齐。 正确的题解: fro.
跟着CTF-wiki学pwn——ret2text
qq_42882717的博客
06-21 1224
肾么叫做万死不辞呀,就是每天被气死一万次,也不辞职…(哭哭
堆栈认知——栈溢出实例(ret2text)_栈溢出以后他就能跳转到你指定的地
2401_83817971的博客
04-06 805
栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!” />你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!更多资料点击此处获qu!!
pwn基础之ctfwiki-栈溢出-基本ROP-ret2text
qq_52658640的博客
04-21 1223
文章目录前言原理ret2text发现漏洞利用漏洞书写exp总结 前言 刚开始自己的二进制生涯,想记录一下自己的学习,如有错误还请大佬们斧正。 原理 ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 ret2tex
栈溢出 个人总结
ligangok的专栏
04-15 570
  一个小错误浪费我一上午的查找时间,问题是当我程序退出时会报出“栈错误....0x500000。。。”等一些批东西;后来找错误呗,耐着性子找指针,数组;终于发现问题了;代码如下:char buf[580]; memset(buf,580,sizeof(buf));就是此处出错了具体我就不说了,char最多可以接受255.  思路:一般栈被破坏, 都是栈上变量未初始化, 然后, 函
PWN入门之栈溢出之ret2dlresolve
weixin_44681716的博客
05-03 1111
实验目的 当一个程序第一次调用libc中的函数时,必须首先对libc中函数的真实地址进行重定位,而这个绑定寻找真实地址的过程由dl_runtime_resolve完成。 dl_runtime_resolve需要两个参数,一个是link_map=*(GOT[1]),即链接器标志信息和reloc_arg(标志该函数重定位入口偏移),我们需要做的就是控制reloc_arg从而使dl_runtime_re...
关于栈溢出的思考与实验
weixin_43894877的博客
05-27 348
运行如下代码: #include <stdio.h> #include <stdlib.h> typedef struct { int a[2]; double d; } struct_t; double fun(int i) { volatile struct_t s; s.d = 3.14; s.a[i] = 10737418...
Win32漏洞分析与利用 栈缓冲区溢出实验总结
Tracy_yi的博客
05-30 1391
栈溢出 如果程序在处理用户数据时,未能对其大小进行恰当的限制,在进行复制、填充时没对这些数据限定边界,攻击者就可以通过精心设计的数据进行溢出覆盖,修改内存中数据、改变程序的执行流程。 在栈溢出漏洞中,最经典的是借助跳板的栈溢出方式。 左图是一个正常的栈,从高到低依次是:父函数的栈空间、作为返回地址的EIP、保存下来的栈指针EBP、若干局部变量和用于被攻击的缓冲区。 现有的C语言中许多标准函数(如strcpy)在现在看来已经不再是安全的了,利用strcpy讲数据复制到局部数组缓冲区时可以超过缓冲区区域,覆盖
pwn学习笔记(2)ret_2_text_or_shellcode
qq_66013948的博客
02-04 1643
​ ax寄存器:通用寄存器,可用于存放多种数据​ bp寄存器:存放的是栈帧的栈底地址​ sp寄存器:存放的是栈顶的地址​ 栈帧是存储函数的一些信息的地方,栈帧存储有函数的局部变量,传递给子函数的实际参数,父函数的地址以及上一个栈帧栈底的地址,大致情况如下:​ 在函数调用的过程中,首先会讲bp寄存器的值进行压栈,以方便在恢复的时候恢复栈底寄存器的值,再之后,会按顺序将局部变量压栈,最后是子函数的实际参数,会按照先入栈的后出栈,从最后一个实际参数先入栈再到第一个实际参数,比如函数a(int a ,
CTFshow——Pwn(1)
Y_peak的博客
02-24 452
CTFshow——Pwn(1) 有点懒不想写write up了。只有exploit。 PWN签到题 from pwn import * p = remote('xxx',xxx) p.interactive() pwn02 from pwn import * p =remote("pwn.chall.ctf.show",28006) p.sendline('a'*(0x9+4) + p32(0x0804850F)) p.interactive() pwn03 from pwn import * from
入门到放弃系列 ret2text2
weixin_43489686的博客
09-11 615
ret2text2 这道题依然是入门级别的题目,比上一道题目略难一点,主要区别在于这个题目没有直接给出的后门函数,也就是system函数参数不是/bin/sh,需要自己构造个shell。 首先还是一样先看看这个程序的逻辑,发现这个程序会复述你输入的语句。然后再分别gdb和拖入ida。 main函数点进function里发现逻辑没问题,也有很明显的栈溢出漏洞,其中总偏移量为0x10+8=0x18...
PWN Ret2text
weixin_42306891的博客
03-21 1778
题目:文件夹内; 工具:IDA,gdb,pwntools; 解题思路:关键在偏移量 ; 解题: 1,IDA大法secure函数 调用了system函数,我们要做的是以此拿到shell即可; Main还使用了gets,存在栈溢出风险,以此为突破; 现在分两种解法; 1,gets函数的地址: 下端点,进行一波操作; 信息如下: S相对...
栈溢出原理与防护:深入理解与利用策略
栈溢出是计算机编程中常见的安全问题,它发生在程序在内存栈上分配的存储空间超出预期,导致数据混乱或恶意代码执行。本文将深入探讨栈溢出的基础知识,保护机制以及利用方法。 **栈溢出基础知识** 栈,作为一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值