[PWN] CTF-WIKI ret2text

最新推荐文章于 2024-01-25 19:47:22 发布
最新推荐文章于 2024-01-25 19:47:22 发布
阅读量486 收藏
点赞数 1
分类专栏: 二进制漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46441427/article/details/113729200
版权
本文介绍了如何在32位小端程序中利用ret2text技巧,绕过保护机制,找到并利用system函数的地址执行shell命令。通过IDA Pro分析,详细步骤包括检查程序特性、定位关键函数、计算栈帧布局,最终创建exploit利用get函数的返回地址进行攻击。
摘要由CSDN通过智能技术生成

ret2text

首先我们打开题目,checksec一下,主要是查看一下该程序是多少位的,并了解其保护机制
在这里插入图片描述
32位的小端位程序,没有开启canary堆栈保护及NX,于是我们用32位ida打开在这里插入图片描述
我们打开ida-32,看到源码,发现了一个get函数,这属于我们常说的危险函数
在函数框,我们找到了一个secure函数,调出来,发现有一个system("/bin/sh")函数在这里插入图片描述
这个时候,我们只需要知道调用system函数的指令的地址,然后当get函数执行时我们把get函数的ret上准备ret的地址换成调用system函数的指令的地址就行了,往上一翻,找到了call system的地址
在这里插入图片描述
要想知道get的ret地址,我们得分析这个get函数的堆栈
下断点在此处call _gets处

最低0.47元/天 解锁文章
Akura@lan
关注
专栏目录
跟着CTF-wikipwn——ret2text
qq_42882717的博客
06-21 1161
肾么叫做万死不辞呀,就是每天被气死一万次,也不辞职…(哭哭
ctf-wiki rop ret2text
weixin_55885866的博客
05-09 258
观察gets函数写入的数组地址为[esp+1ch],思路为查找esp为多少,因为当前是靠着esp定位地址。查看secure函数中获取到shell的地址(0804863a)2.拿到文件在kali linux中用ida打开。推断距离返回地址偏移的地址为:0x6c+4。于是字符串(esp+1ch)的地址为。推断距离edp的地址为:0x6c。1.下载ret2text文件。获取目标机器shell。
pwn基础之ctfwiki-栈溢出-基本ROP-ret2text
qq_52658640的博客
04-21 1181
文章目录前言原理ret2text发现漏洞利用漏洞书写exp总结 前言 刚开始自己的二进制生涯,想记录一下自己的学习,如有错误还请大佬们斧正。 原理 ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 ret2tex
ctf】ret2text
woodwhale的博客
04-17 5802
PWN ret2text 题目链接:ret2text 参考博客:CTF Wiki 基本 ROP 参考视频:【CTF】Linux PWN入门 Bamboofox社课系列 0x01 下载ret2text文件,复制到 翔哥的van美pwn机 中 查看保护机制 Arch: i386-32-little //文件为32位程序 RELRO: Partial RELRO Stack: No canary found //未开启canary保护 NX: NX enabled
WIKI|PEN-ret2text-WP
l2645470582_的博客
01-12 2105
1.检查保护机制 (1)开启堆栈不可执行保护 (2)该文件是32位文件 2.用32位IDA打开该文件 (1)先运行试试看 (2)shift+f12查看关键字符串 我们看到有system("/bin/sh")关键字符串 (3)进入main函数看看 看到gets()函数我们就看到溢出点了。S:0x64 我们构造payload #encoding = utf-8 from pwn import* context(os = 'linux',arch = 'i...
ctf-wiki基本ROP1-ret2text学习笔记
m0_58824086的博客
08-26 219
可以看出程序在主函数中使用了 gets 函数,显然存在栈溢出漏洞。这里计算出的偏移量。构造playload时,直接与系统调用地址相加就可。可以看出程序是 32 位程序,其仅仅开启了栈不可执行保护。然后,我们使用 IDA 来查看源代码。那么如果我们直接控制程序返回至 0x0804863A,那么就可以得到系统的 shell 了。在 please input 后,将之前生成的溢出字符串粘贴上去。注意:start 命令执行后,还需执行 contin 命令。,cyclic -l 地址 计算偏移量。
跟着CTF-wikipwn——ret2shellcode
qq_42882717的博客
07-01 846
CTF-wiki的注解:ret2shellcode
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6536
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
PWN学习,对CTF-wiki上的讲解进行一些补充
qq_33948522的博客
06-27 5671
`基本知识 ROP Return Oriented Programming,其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 一般的栈结构: 高地址 +-----------------+ ...
ctf-wiki-en:流行的ctf-wiki的完整英文版
05-13
CTF维基 欢迎使用CTF WikiCTF (Capture The Flag)是从DEFCON CTF开始的, DEFCON CTF是计算机安全爱好者之间的竞争性游戏,最初于1996年举办。 CTF涵盖了广泛的领域。 随着安全技术的发展, CTF挑战的难度越来越大。 结果,初学者的学习曲线越来越陡峭。 大多数在线信息是零散的和琐碎的。 初学者通常不知道如何系统地学习CTF ,这需要大量的工作和精力。 为了让对CTF感兴趣的人轻松入门,2016年10月,在Github上建立了CTF Wiki 。 随着时间的推移,随着内容的逐步改进, CTF Wiki得到了安全爱好者的广泛赞赏,其中许多人是我们认为我们永远不会见面的人。 作为一个自由站点,主要关注最新的CTFCTF Wiki引入了CTF各个方面的知识和技术,使初学者更容易学习CTF 。 现在,周大福主要维基包含了CTF
CTFWiki-pwn
qq_55233040的博客
05-03 1489
stackoverflow ret2text 首先checksec一下,是32位可执行文件,没有开启保护 放入ida,shift+f12查看字符串,发现secure函数中使用system函数调用了"/bin/sh",记下地址0x804863a 查看偏移地址 脚本如下: from pwn import * io = process("./ret2text") payload = b"a"*112 + p32(0x804863a) io.sendline(payload) io.interactive(
CTF--PWN--作业记录之02-ret2text(仅做个人课程学习作业记录,可能对各位帮助不大)
weixin_43594719的博客
10-15 440
【步骤一】打开XShell后,查看目录,使用cp命令将实验素材拷贝到当前目录中。 【步骤二】使用ls -al命令查看02-second文件夹的权限,没有问题。 【步骤三】切换到02-second的目录下,查看其中的文件的权限,发现文件second的我们没有执行权限。 【步骤四】使用命令chmod +x second给second加上执行权限 【步骤五】使用命令cat second.c查看源代码,分析一下发现此代码在正常情况下永远执行不到haha(),但在haha()中有我们想要执行的语句system
PWN初体验之ret2text
weixin_43137410的博客
08-04 688
"Hello,World!"的浪漫可能只有直男才懂!
pwn ret2text
young‘s blog
02-06 1462
好久没有写博客了,今天记录一下做ctf-wiki上ret2text的过程,也记录一下学到的东西,一点一点积累成长。 地址:ctf-wiki 源程序也在里面 边看视频边学的,视频地址为: ret2text 程序下载好之后通过checksec查看保护措施: 没有开启canary,32位动态链接程序 知道程序的基本信息后运行一下程序,看看程序都有什么功能。 测试后得知只有一个输入点。 拖进ida分析一下...
跟着CTF-wikipwn——ret2libc1
qq_42882717的博客
07-05 433
CTF-wiki的注解:简单的ret2libc
跟着CTF-wikipwn——前言
qq_42882717的博客
06-18 1467
对于有一定pwn基础的同学来讲,CTF-wiki就是yyds,绝绝子,很上头呀。不过简洁有力的另一方面,是细节不彻底,因此本系列文章专为解决CTF-wiki的细节问题
CTFpwn:ret2text,mprotece,shellcode,自动化rop链
最新发布
2302_79813730的博客
01-25 965
text:0000000000401324 75 EA jnz short loc_401310 #对比rbp里的值与rbx里的值,如果相同就继续运行程序,如果不同就返回0x401310。先将栈溢出的返回地址填成0x40132A,将需要的数据依次填入栈顶,依次弹入寄存器中,随后在执行到0x401334,retn返回的时候将返回地址填成0x401310,这样,我们就可以控制edi,rsi,rdx里的值,并调用write函数泄露基址。
ctf-wiki基本ROP2-ret2shellcode学习笔记
m0_58824086的博客
09-03 429
shellcode的长度为44,而IDA告诉我们,s的首地址 = ebp - 64h,如果再加上ebp_of_caller本身的4字节则会有s的首地址 = &return_address - 68h。而vmmap告诉我们,地址在0x804a000~0x804b000的内容是可读、可写,因此bss段和data段也是可读、可写的。但这题非常特殊,IDA提供给我们的数据是错误的(一般情况下是正确的),当IDA和gdb计算偏移值有冲突时,应当以gdb为准。r(Read,读取):对文件而言,具有读取文件内容的权限;
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值