[PWN][进阶篇]Rop-Ret2Text介绍及实例教学

最新推荐文章于 2022-09-06 14:42:55 发布
最新推荐文章于 2022-09-06 14:42:55 发布
阅读量6.3k 收藏 7
点赞数 1
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46363249/article/details/115066971
版权

Rop-Ret2Text介绍及实例教学

1、前提知识

什么是Rop系统攻击
是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。

ROP也有其不同于正常程序的内在特征:
(1)ROP控制流中,call和ret指令不操纵函数,而是用于将函数里面的短指令序列的执行流串起来,但在正常的程序中,call和ret分别代表函数的开始和结束;
(2)ROP控制流中,jmp指令在不同的库函数甚至不同的库之间跳转,攻击者抽取的指令序列可能取自任意一个二进制文件的任意一个位置,这很不同于正常程序的执行。比如,函数中部提取出的jmp短指令序列,可将控制流转向其他函数的内部;而正常程序执行的时候,jmp指令通常在同一函数内部跳转。
ROP攻击的防范:ROP攻击的程序主要使用栈溢出的漏洞,实现程序控制流的劫持。因此栈溢出漏洞的防护是阻挡ROP攻击最根源性的方法。如果解决了栈溢出问题,ROP攻击将会在很大程度上受到抑制。

BSS段通常是指用来存放程序中未初始化的全局变量的一块内存区域。BSS段属于静态内存分配。(在溢出时EIP的值可以是BSS段的地址)
data通常存放程序中已经初始化的全局变量的一块内存区域。数据段属于静态内存分配。
text是存放程序执行代码的一块内存区域。称为代码段。
rodata是存放c中的字符串和#define定义的常量。

ret2text就是执行程序中已有的代码,例如程序中写有system等系统的调用函数,我们就可以利用控制已有的gadgets(以ret及结尾的指令序列,通过这些指令序列,可以修改某些地址的内容)控制system函数。其实就是控制程序执行程序本身已有的代码(.text),使EIP指向具有system(“/bin/sh”)的代码段

找到溢出位置,计算偏移量,执行可执行代码, ”呯“

如何快速定位栈溢出,ida + f5,就是看反汇编找找数组定义的位置

我们要要注意的是 gets(buf)、strcpy(dest,sec)、scanf("%s",buf)、stract(buf,buf2)、read(0,buf,size)

测试溢出点,我们要使用cyclic,生成有数量的长度的字符串
在这里插入图片描述
然后r程序时,输入这些字符串,我们可以看到报错
在这里插入图片描述

cyclic -l 0x6161616c

在这里插入图片描述
在这里插入图片描述
6161616c呢也就是 aaal 也就是从我们刚才cyclic生成的字符串中,查找aaal的偏移量

在这里插入图片描述
如果大家如果我的上一篇博客的话,我们当时利用的是stack来查看的,之后我们就用cyclic来使用,而利用stack一行一行的算,也就是这个工具的理解。

安装gdb-peda的教程我之前发过
之前的文章,有gdb的基本使用和插件peda的下载教程

补充:pwndbg和peda的切换

在这里插入图片描述
/是根目录,~是home目录,Linux存储是挂载的方式,相当于是树状的,源头是“/”,也就是根目录。而每个用户都有“home”目录,也就是用户的个人目录,比如用户的“home”目录就是/root,普通用户a的home目录就是/home/a,之后我们可以看到
在这里插入图片描述
本次实验编译指令

gcc -no-pie -fno-stack-protector -zexestack -m32 -o -read -read.c

意思就是没有pie保护,有canary保护,栈可执行,32位文件,输出叫read的程序,用read.c的文件

我们打开gdb,发现是peda插件了,然后用创建一个字符串,开始程序,输入,程序出现异常重点,根据程序的报错地址,查询一下偏移量,也就是下图的操作

在这里插入图片描述快速确定偏移
工具一 gdb-pwndbg
cyclic 200
cyclic -l 地址
工具二 gdb-peda
pattern create 200
pattern offset 地址
功能是一样子的

2、实例教学

问题解析:
控制返回地址->控制执行流程
溢出到返回地址->到底需要输入多少数据

实际操作:
1、找出溢出点
2、确定溢出偏移
3、找到system(“”)函数
4、写exp(烦死了)

在这里插入图片描述
找system函数
objdump -t xxx 查看程序中使用到的函数
objdump -d xxx 查看程序中函数的汇编代码
objdump -d -j .plt xxx 查看plt表
什么是plt表

	-j 参数  
	.text   -代码段
	.const -只读数据段(有的编译器不用这个段,将只读并入了.data段)
	.bss  -bss段

objdump -d -M intel xxx 查看程序中函数的汇编代码,并且汇编代码是intel架构的

实战开始
切记我们的流程哦
第一步的核心是找到system函数
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
我们就要想办法调用system函数
现在我们来分析一下具体用到了什么参数,也就是上图红框上面的的地址,更重要的上方的参数地址

在这里插入图片描述在这里插入图片描述在这里插入图片描述
这个时候再找到刚才我们看的system上方参数的地址

在这里插入图片描述
开始写exp
在这里插入图片描述
解释:
导入pwn包
偏移量是我们上面算出来的
payload是填充量+覆盖到的地址
向溢出点发送payload
获取交互环境

getshell

在这里插入图片描述
希望大家有所收获!!!!

鹏华李
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ret2text
m0_49959202的博客
09-18 227
文章目录ret2text1.检查保护机制2.ida分析程序3.exp编写 ret2text 进程存在危险函数如system(“/bin”)或execv(“/bin/sh”,0,0)的片段,可以直接劫持返回地址到目标函数地址上,从而获取shell。 1.检查保护机制 首先调用checksec,检查保护机制: 发现pie没有开启 2.ida分析程序 使用ida打开程序ret2text,静态分析: 发现main函数中存在函数:vulnerable(),里面有危险函数gets(),可以用来进行栈溢出 发现
[二进制安全学习]ret2text
Y4tacker的博客
07-12 1288
文章目录写在前面前置小知识bss段data段text段heapstackret2text参考链接 写在前面 已经学了一小段时间二进制了,以后慢慢确定一个深入的方向吧,开冲 前置小知识 bss段 bss段(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。 bss是英文Block Started by Symbol的简称。 bss段属于静态内存分配。 比如 int a; data段 数据段(data segment)通常是指用来存放程序中已初始化的全局变量的一块内存区域。 数据
基本ROP之ret2text
至臻求学,胸怀云月
01-12 1337
(IDA分析存在错误,抠了一天终于在大佬的帮助下抠出来了) 背景 当程序开启NX保护之后,直接向栈或堆上注入代码的方式难以发挥效果(数据页不执行操作) 提出绕过操作: ROP(Return Oriented Programming) 主要思想是:在栈缓冲区溢出的基础上,利用程序中已有的小片段(gadgets),来改变寄存器或者变量的值,从而控制程序的执行流程。 所谓 gadgets 就是以 ret...
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 3291
pwn笔记 - ret2text - 函数传参
pwn基本ROP——ret2text
turtlesd的博客
04-25 860
ret2text环境原理漏洞分析利用`checksec [file_name]`指令获取可执行文件的保护措施开放情况利用IDA32位进行调试利用pwndbg获取偏移量payload 环境 ret2text 原理 控制主函数的return返回到文件函数中自带的system函数的地址,从而获得最高权限 漏洞分析 利用checksec [file_name]指令获取可执行文件的保护措施开放情况 命令: checksec ret2text 可以看到,该可执行文件是32位的,仅开启了NX堆栈不可执行保护。 也就是
入门pwn题目ret2text
03-26
入门pwn题目ret2text
pwn07.ret2syscall例题
11-11
ret2syscall例题
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
2019.7.19 dev c++调试与ret2text详解
DSR446的博客
07-18 405
30/100 发布文章 1.dev c++如何调试:请参考以下链接 ①https://jingyan.baidu.com/article/f54ae2fc4b680b1e92b84930.html ②https://www.jianshu.com/p/1602264dadf2 2.ret2text详解:法1: ① esp+1ch:意思是S到栈顶的距离是1c...
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6347
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
【ctf】ret2text
woodwhale的博客
04-17 5723
PWN ret2text 题目链接:ret2text 参考博客:CTF Wiki 基本 ROP 参考视频:【CTF】Linux PWN入门 Bamboofox社课系列 0x01 下载ret2text文件,复制到 翔哥的van美pwn机 中 查看保护机制 Arch: i386-32-little //文件为32位程序 RELRO: Partial RELRO Stack: No canary found //未开启canary保护 NX: NX enabled
pwn ret2text
young‘s blog
02-06 1440
好久没有写博客了,今天记录一下做ctf-wiki上ret2text的过程,也记录一下学到的东西,一点一点积累成长。 地址:ctf-wiki 源程序也在里面 边看视频边学的,视频地址为: ret2text 程序下载好之后通过checksec查看保护措施: 没有开启canary,32位动态链接程序 知道程序的基本信息后运行一下程序,看看程序都有什么功能。 测试后得知只有一个输入点。 拖进ida分析一下...
pwn ret2libc原理
最新发布
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鹏华李

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值