PWN基础8:Ret2Text 实例

最新推荐文章于 2024-01-31 19:53:31 发布
最新推荐文章于 2024-01-31 19:53:31 发布
阅读量492 收藏 5
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/prettyX/article/details/107297303
版权

基础知识

1、栈溢出快速确定偏移量:

  • pwndbg
  1. cyclic 200
  2. cyclic -l 异常地址
  • peda
  1. pattern create 200
  2. pattern offset 异常地址

2、定位system函数

objdump -t XXX               查看程序中使用到的函数
objdump -d XXX               查看程序中函数的汇编代码
objdump -d -M intel XXX      查看程序中函数的汇编代码,并且汇编代码是intel架构的
objdump -d -j .plt XXX       查看plt表
           -j的参数有:.text  代码段
                      .const 只读数据段(有些编译器不使用此段,将只读数据并入.data段)
                      .data  读写数据段
                      .bss   bss段

分析Ret2Text

因为之前做过这道题,这里就不重复了

具体请大家参考我之前的文章:https://blog.csdn.net/prettyX/article/details/103172185

 

难免有疏漏,大家多批评指正

参考

Roger师傅的课程

prettyX
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6249
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
入门pwn题目ret2text
03-26
入门pwn题目ret2text
浅谈 ret2text
akdelt的博客
01-21 958
而此时栈顶指针指向 ‘/bin/sh’ 的地址,于是 ‘/bin/sh’ 被放入 rdi 中,然后执行 ret,此时后门函数地址顶上来了,于是就 ret 到了 func 的地址 (这就是为什么找的是pop rdi;我瞎猜的,不然不好解释)而拿去参数也是同过 EBP 偏移量来实现的,本来有返回地址时通过 [EBP+8] 来拿参数一,但是因为没有返回地址 此时 EBP 和 参数相邻相差 4 个字节,所以 EBP + 8 就不是参数一的地址了。前六个参数依次存放于rdi,rsi,rdx,rcx,r8,r9中。
二进制漏洞挖掘之ret2text栈溢出
最新发布
brucexia的专栏
01-31 639
(2)执行“gcc -m32 -fno-stack-protector ret2text.c -o ret2text”命令,编译程序,再使用gdb调试程序,使程序运行到read函数,执行“cyclic 200”命令,生成200个字符。执行“python ret2text.py”命令,运行脚本,获取系统shell,再执行“ls”命令,测试shell能否正常使用,结果如图11-32所示。由图可知,ebp地址存储的字符为“eaaa”,执行“cyclic -l eaaa”,结果如图11-30所示。
pwn入门之ret2text
wangxunyu6的博客
01-07 1192
重点来了:存在gets函数,先让我们了解一下gets函数,它可以无限读入数据,造成栈溢出。观察到s变量距离ebp有0x28的距离,对于这个题来说栈结构为先读入s变量然后下面是ebp然后才是返回地址,那么我们就有思路了,往s变量里面填充垃圾数据直到返回地址把返回地址改为我们需要的flag的位置。第四行:这是我们人为构造的代码数据,根据思路填充垃圾数据0x28个,因为这是32位elf文件所以需要再加上4,p32(flag)即为我们的返回地址。0不用管buf是我们输入数据的地方,0x32是能写入的字节数。
PWN · ret2text】——[CTFHub]ret2text
Mr_Fmnwon的博客
04-20 1429
经典的ret2text流程。
pwn07.ret2syscall例题
11-11
ret2syscall例题
ret2libc2pwn 入门题
02-11
pwn 入门题
pwn_exp:pwn exps
04-19
在IT行业中,"pwn"通常指的是利用编程错误来控制或操纵程序的行为,尤其是在网络安全领域。"pwn exp"(pwn exploits)是指利用这些编程错误编写的具体攻击代码,用于在安全竞赛、漏洞挖掘或者恶意攻击中获取对目标...
ret2libc1pwn 入门题
02-11
pwn 入门题
PWN初体验之ret2text
weixin_43137410的博客
08-04 668
"Hello,World!"的浪漫可能只有直男才懂!
好好说话之ret2text
hollk’s blog
06-22 2008
本题为bamboofox-ret2text 题目路径: /ctf-challenges/pwn/stackoverflow/ret2text/bamboofox-ret2text 一、原理 ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadget...
ret2text
m0_54262894的博客
10-28 228
最近攻防世界和BUUCTF中剩下我没做过的题目已经对于我来说有些困难了 所以我在CTF wiki 里开始学习,顺便再巩固一下基础 这里是原文 老样子,先checksec 放入ida中查看 main函数 发现了gets这个危险函数,接着往下看 用Shift+F12查看 发现了/bin/sh 这里你会看到有两个/bin/sh,但我们需要的是text中的地址 记住 text 中 /bin/sh 的地址0x804863A ...
CTFhub-pwn-[ret2text]-writeup
m0_43405474的博客
08-26 1391
关于CTF pwn的简单入门题目,ret2text
pwn基础之ctfwiki-栈溢出-基本ROP-ret2text
qq_52658640的博客
04-21 993
文章目录前言原理ret2text发现漏洞利用漏洞书写exp总结 前言 刚开始自己的二进制生涯,想记录一下自己的学习,如有错误还请大佬们斧正。 原理 ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 ret2tex
缓冲区溢出-CTF-PWN
04-28
<img src="https://img-bss.csdn.net/202004281305056475.jpg" alt="" />
ret2text学习笔记 --- PWN入门题目
xindada559的博客
06-09 455
最近学习了B站上的有关PWN的入门视频课,简单写点笔记,学习一下叭 先上下学习链接,大佬讲的很细致,多听两遍总没坏处。 XMCVE 2020 CTF Pwn入门课程 shouxian
PWN】05.ret2text
weixin_52553215的博客
03-27 502
栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。通过栈溢出修改栈上的返回地址,这样cpu执行ret指令的时候,就会将被修改的值从栈上取出放入eip寄存器中,紧接着执行eip所指向的位置的指令,这样就相当于控制了程序的执行流。
PWN做题笔记1-ret2text(已校对)
qq_40923256的博客
04-19 3223
原题位置:CTFHub 题目属于栈溢出 给出了地址和端口,压缩包中有一个二进制程序pwn file pwn可以看到是64位ELF程序 checksec发现没有开启地址空间随机化机制 程序运行如下: ida64反汇编,发现输入没有边界检查,存在注入 secure函数调用了system返回一个服务器里的shell,因此目标是调用这个函数 函数地址如下: main函数栈结构如下: 目标是覆盖掉ebp,地址偏移为0x70+8,这部分覆盖为“A”,之后ebp覆...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值