ret2text

最新推荐文章于 2024-10-05 18:28:51 发布
最新推荐文章于 2024-10-05 18:28:51 发布
阅读量263 收藏
点赞数
分类专栏: CTF-PWN-刷题-XMCVE培训课 文章标签: pwn 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49959202/article/details/120365185
版权
博客详细介绍了如何利用ret2text程序中的栈溢出漏洞来获取shell。首先检查了程序的保护机制,发现PIE未开启。接着通过IDA分析,找到存在危险函数gets()的vulnerable()函数和get_shell()函数。确定了可以通过栈溢出来覆盖return地址,使其跳转到system("/bin/sh")。在GDB中调试,找寻buf地址,并构造payload。最后,使用pwntools编写exploit脚本,成功获取shell。
摘要由CSDN通过智能技术生成

文章目录

ret2text

进程存在危险函数如system(“/bin”)或execv(“/bin/sh”,0,0)的片段,可以直接劫持返回地址到目标函数地址上,从而获取shell。

1.检查保护机制

首先调用checksec,检查保护机制:

发现pie没有开启

2.ida分析程序

使用ida打开程序ret2text,静态分析:

发现main函数中存在函数:vulnerable(),里面有危险函数gets(),可以用来进行栈溢出

发现存在函数get_shell()

因此可以栈溢出覆盖return使其跳到 system("/bin/sh")位置

使用ida获取system("/bin/sh")地址为:0x08048522

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NW64A61O-1631941229258)(C:\Users\Chance\AppData\Roaming\Typora\typora-user-images\image-20210705162106600.png)]

3.exp编写

因此,可以得到编写exp的逻辑:

使用gdb调试,寻找buf的地址:

不断步过,然后在vulnerable()函数内步入,当在gets()函数处,输入8个’A’,观察栈的状态:

则buf的偏移为:

最低0.47元/天 解锁文章
「已注销」
关注
专栏目录
pwn ret2text
young‘s blog
02-06 1483
好久没有写博客了,今天记录一下做ctf-wiki上ret2text的过程,也记录一下学到的东西,一点一点积累成长。 地址:ctf-wiki 源程序也在里面 边看视频边学的,视频地址为: ret2text 程序下载好之后通过checksec查看保护措施: 没有开启canary,32位动态链接程序 知道程序的基本信息后运行一下程序,看看程序都有什么功能。 测试后得知只有一个输入点。 拖进ida分析一下...
跟着CTF-wiki学pwn——ret2text
qq_42882717的博客
06-21 1216
肾么叫做万死不辞呀,就是每天被气死一万次,也不辞职…(哭哭
pwn自学笔记(1)--——ret2text
最新发布
CDU__mint__的博客
10-05 1134
此篇文章是对ret2text的学习初步总结。目标利用栈溢出执行危险程序获取shell。
ret2text涉及到的堆栈平衡问题-附件资源
03-05
ret2text涉及到的堆栈平衡问题-附件资源
ret2text知识点及例题
weixin_44864859的博客
05-19 1428
ret2text 这里涉及到的知识 Stack: No canary found NX: NX enabled ret2text: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked 1.首先是stack保护措施,如果开启的话在栈中返回地址前放一个随机值,如果被覆盖,程序就会报错退出 2.nx则是 no execution,如果开启的话就不能让ip寄存器指向堆和栈。。。。注意堆和栈是不
基本ROP之ret2text
至臻求学,胸怀云月
01-12 1378
IDA分析存在错误,抠了一天终于在大佬的帮助下抠出来了) 背景 当程序开启NX保护之后,直接向栈或堆上注入代码的方式难以发挥效果(数据页不执行操作) 提出绕过操作: ROP(Return Oriented Programming) 主要思想是:在栈缓冲区溢出的基础上,利用程序中已有的小片段(gadgets),来改变寄存器或者变量的值,从而控制程序的执行流程。 所谓 gadgets 就是以 ret...
PWN初体验之ret2text
weixin_43137410的博客
08-04 748
"Hello,World!"的浪漫可能只有直男才懂!
[二进制安全学习]ret2text
Y4tacker的博客
07-12 1330
文章目录写在前面前置小知识bss段data段text段heapstackret2text参考链接 写在前面 已经学了一小段时间二进制了,以后慢慢确定一个深入的方向吧,开冲 前置小知识 bss段 bss段(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。 bss是英文Block Started by Symbol的简称。 bss段属于静态内存分配。 比如 int a; data段 数据段(data segment)通常是指用来存放程序中已初始化的全局变量的一块内存区域。 数据
【ctf】ret2text
woodwhale的博客
04-17 5940
PWN ret2text 题目链接:ret2text 参考博客:CTF Wiki 基本 ROP 参考视频:【CTF】Linux PWN入门 Bamboofox社课系列 0x01 下载ret2text文件,复制到 翔哥的van美pwn机 中 查看保护机制 Arch: i386-32-little //文件为32位程序 RELRO: Partial RELRO Stack: No canary found //未开启canary保护 NX: NX enabled
浅谈 ret2text
akdelt的博客
01-21 1179
而此时栈顶指针指向 ‘/bin/sh’ 的地址,于是 ‘/bin/sh’ 被放入 rdi 中,然后执行 ret,此时后门函数地址顶上来了,于是就 ret 到了 func 的地址 (这就是为什么找的是pop rdi;我瞎猜的,不然不好解释)而拿去参数也是同过 EBP 偏移量来实现的,本来有返回地址时通过 [EBP+8] 来拿参数一,但是因为没有返回地址 此时 EBP 和 参数相邻相差 4 个字节,所以 EBP + 8 就不是参数一的地址了。前六个参数依次存放于rdi,rsi,rdx,rcx,r8,r9中。
ROP初探之ret2text
chlet的博客
05-05 573
ROP即返回导向编程是一种计算机安全利用技术,它允许攻击者在存在诸如可执行空间保护和代码签名等安全防御的情况下执行代码。在这种技术中,攻击者通过控制调用栈来劫持程序控制流,并执行机器内存中已存在的精心选择的机器指令序列,称为“gadgets”。每个gadgets通常以返回指令结束,并位于现有程序和/或共享库代码中的子程序内。这些gadgets串联在一起,允许攻击者在使用阻止更简单攻击的防御的机器上执行任意操作。
pwn基本ROP——ret2text
turtlesd的博客
04-25 930
ret2text环境原理漏洞分析利用`checksec [file_name]`指令获取可执行文件的保护措施开放情况利用IDA32位进行调试利用pwndbg获取偏移量payload 环境 ret2text 原理 控制主函数的return返回到文件函数中自带的system函数的地址,从而获得最高权限 漏洞分析 利用checksec [file_name]指令获取可执行文件的保护措施开放情况 命令: checksec ret2text 可以看到,该可执行文件是32位的,仅开启了NX堆栈不可执行保护。 也就是
好好说话之ret2text
hollk’s blog
06-22 2155
本题为bamboofox-ret2text 题目路径: /ctf-challenges/pwn/stackoverflow/ret2text/bamboofox-ret2text 一、原理 ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadget...
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 4070
pwn笔记 - ret2text - 函数传参
ret = requests.post(url=url, headers=header, data=data_dict.get("b_data")) print(ret.text) 得到的ret.text是什么格式的字符
06-03
`ret.text` 是一个字符串类型的数据。当使用 requests 库发送 POST 请求时,服务器返回的响应数据会以字符串的形式存储在 Response 对象的 text 属性中。这个字符串的内容是服务器返回的原始文本数据,其格式和编码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值