入门到放弃系列 ret2text

最新推荐文章于 2024-04-04 11:52:25 发布
最新推荐文章于 2024-04-04 11:52:25 发布
阅读量1.4k 收藏 5
点赞数 2
分类专栏: 刷题笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43489686/article/details/100693257
版权
本文介绍了ret2text题目,通过分析程序逻辑、检查保护措施,发现栈溢出漏洞。在32位程序中,通过ida32分析和gdb调试确定偏移量,找到后门函数/bin/sh,最终利用脚本获取shell。总结强调了理解堆栈原理、ida和gdb熟练使用的重要性。
摘要由CSDN通过智能技术生成

ret2text

这道题目是一道入门级别的题目,主要还是熟悉堆栈原理和工具的使用,那么话不多说,开始看题。

做题的第一步,先看看这道题的基本逻辑,那把程序试运行一遍发现是简单的输入输出和很常规的嘲讽战术。既然有输入输出又是pwn题应该也是肯定有溢出漏洞的(强行推断)。
在这里插入图片描述
做题第二步,那再看看这个程序有没有什么保护措施,发现只开了一个堆栈不可执行的保护,总之就是这个程序相当不安全。同时还发现这个程序是32位的,那我们顺势把它拖进ida32里面(其实只要32位和64位都试一试就知道了)。
在这里插入图片描述
打开ida点进main函数在按下F5查看这个程序的伪C代码发现逻辑基本没问题。然后观察到有一个gets(&s)函数,妥妥的栈溢出了。
在这里插入图片描述
这个时候可以看到前面s申请的空间有0x64,那么在加上ebp的4个字节就是0x68,一般来说这就是变量到ret的偏移量,但是也不排除题目坑人的可能

最低0.47元/天 解锁文章
冯小妖
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
入门pwn题目ret2text
03-26
入门pwn题目ret2text
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6242
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 3194
pwn笔记 - ret2text - 函数传参
ROP初探之ret2text
chlet的博客
05-05 498
ROP即返回导向编程是一种计算机安全利用技术,它允许攻击者在存在诸如可执行空间保护和代码签名等安全防御的情况下执行代码。在这种技术中,攻击者通过控制调用栈来劫持程序控制流,并执行机器内存中已存在的精心选择的机器指令序列,称为“gadgets”。每个gadgets通常以返回指令结束,并位于现有程序和/或共享库代码中的子程序内。这些gadgets串联在一起,允许攻击者在使用阻止更简单攻击的防御的机器上执行任意操作。
浅谈 ret2text
akdelt的博客
01-21 955
而此时栈顶指针指向 ‘/bin/sh’ 的地址,于是 ‘/bin/sh’ 被放入 rdi 中,然后执行 ret,此时后门函数地址顶上来了,于是就 ret 到了 func 的地址 (这就是为什么找的是pop rdi;我瞎猜的,不然不好解释)而拿去参数也是同过 EBP 偏移量来实现的,本来有返回地址时通过 [EBP+8] 来拿参数一,但是因为没有返回地址 此时 EBP 和 参数相邻相差 4 个字节,所以 EBP + 8 就不是参数一的地址了。前六个参数依次存放于rdi,rsi,rdx,rcx,r8,r9中。
pwn基本ROP——ret2text
turtlesd的博客
04-25 850
ret2text环境原理漏洞分析利用`checksec [file_name]`指令获取可执行文件的保护措施开放情况利用IDA32位进行调试利用pwndbg获取偏移量payload 环境 ret2text 原理 控制主函数的return返回到文件函数中自带的system函数的地址,从而获得最高权限 漏洞分析 利用checksec [file_name]指令获取可执行文件的保护措施开放情况 命令: checksec ret2text 可以看到,该可执行文件是32位的,仅开启了NX堆栈不可执行保护。 也就是
ret2text涉及到的堆栈平衡问题-附件资源
03-05
ret2text涉及到的堆栈平衡问题-附件资源
ret2libc2pwn 入门
02-11
pwn 入门
pwn07.ret2syscall例题
11-11
ret2syscall例题
栈溢出实例--笔记一(ret2text
一只青木呀
08-01 1734
栈溢出实例1、什么是栈溢出?2、栈结构3、栈溢出需要解决的问题3.1、解决如何跳转的问题3.2、跳转到哪里去?4、实战 1、什么是栈溢出? 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。 2、栈结构 3、栈溢出需要解决的问题 在我们知道什么是栈溢出以及了解了栈的结构之后,我们就可以开始通过栈溢出破坏栈结构。 在破坏栈结构的时候,我们需要注意两个问题: 1、如何跳转? 2、跳转到哪里去? 3.1、解决如何跳转的问题 在上面栈结构的图中
二进制漏洞挖掘之ret2text栈溢出
brucexia的专栏
01-31 633
(2)执行“gcc -m32 -fno-stack-protector ret2text.c -o ret2text”命令,编译程序,再使用gdb调试程序,使程序运行到read函数,执行“cyclic 200”命令,生成200个字符。执行“python ret2text.py”命令,运行脚本,获取系统shell,再执行“ls”命令,测试shell能否正常使用,结果如图11-32所示。由图可知,ebp地址存储的字符为“eaaa”,执行“cyclic -l eaaa”,结果如图11-30所示。
[二进制安全学习]ret2text
Y4tacker的博客
07-12 1273
文章目录写在前面前置小知识bss段data段text段heapstackret2text参考链接 写在前面 已经学了一小段时间二进制了,以后慢慢确定一个深入的方向吧,开冲 前置小知识 bss段 bss段(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。 bss是英文Block Started by Symbol的简称。 bss段属于静态内存分配。 比如 int a; data段 数据段(data segment)通常是指用来存放程序中已初始化的全局变量的一块内存区域。 数据
[PWN][进阶篇]Rop-Ret2Text介绍及实例教学
网络安全知识分享
03-22 6378
Rop-Ret2Text介绍及实例教学1、前提知识2、实例教学 1、前提知识 什么是Rop系统攻击 是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP也有其不同于正常程序的内在特征: (1)ROP控制流中,call和ret指令不操纵函数,而是用于将函数里面的短指令序列的执行流串起来,但在正常的程序中,call和ret分别代表函数的开始和结束; (2)ROP控制流中,jmp指令在不同的库函数甚至不同的库之间跳转,攻击者抽取的指令序列可能取自任意一个二进制文件
ret2text(system($0)),带你彻底搞懂网络安全启动速度优化
最新发布
2401_84102720的博客
04-04 657
我们看道例题经典nx,栈迁移,本该是很简单的一道题,但是涉及到system($0),就难理解了一点点,仅仅是一点点废话不多说,距离rbp,0x10,填充0x18覆盖rbp,构造ret,这时候我们发现有system函数,没有/bin/sh,怎么办,可能有小伙伴想ret2libc,当然可以,但是太过麻烦,我们发现有的tips函数还没有看我们直接进去西索我们详细分析这串代码:这段文本是一个反汇编代码片段,它描述了一个名为tips的函数或过程的汇编实现。这行标记了一个名为tips。
好好说话之ret2text
hollk’s blog
06-22 2001
本题为bamboofox-ret2text 题目路径: /ctf-challenges/pwn/stackoverflow/ret2text/bamboofox-ret2text 一、原理 ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadget...
入门放弃系列 ret2text2
weixin_43489686的博客
09-11 553
ret2text2 这道题依然是入门级别的题目,比上一道题目略难一点,主要区别在于这个题目没有直接给出的后门函数,也就是system函数参数不是/bin/sh,需要自己构造个shell。 首先还是一样先看看这个程序的逻辑,发现这个程序会复述你输入的语句。然后再分别gdb和拖入ida。 main函数点进function里发现逻辑没问题,也有很明显的栈溢出漏洞,其中总偏移量为0x10+8=0x18...
pwn学习笔记(2)ret_2_text_or_shellcode
qq_66013948的博客
02-04 1325
​ ax寄存器:通用寄存器,可用于存放多种数据​ bp寄存器:存放的是栈帧的栈底地址​ sp寄存器:存放的是栈顶的地址​ 栈帧是存储函数的一些信息的地方,栈帧存储有函数的局部变量,传递给子函数的实际参数,父函数的地址以及上一个栈帧栈底的地址,大致情况如下:​ 在函数调用的过程中,首先会讲bp寄存器的值进行压栈,以方便在恢复的时候恢复栈底寄存器的值,再之后,会按顺序将局部变量压栈,最后是子函数的实际参数,会按照先入栈的后出栈,从最后一个实际参数先入栈再到第一个实际参数,比如函数a(int a ,
和ZLTT一起学pwn 2.ret2text
qq_53610850的博客
10-27 681
2.ret2text 前置知识 基础栈溢出 攻击思路 在上一篇中,我们学习了最基础的栈溢出攻击方式。事实上,也是最基础的ret2text攻击 对elf文件结构较熟悉的人应该发现了,text就是代码段的段名,所谓ret2text,就是向程序中已有的代码段跳转,当然,通常不会有那么简单的利用条件,在调用很多函数的时候,还需要伪造参数 在这种状态下,除了需要覆盖返回地址,还需要在栈上伪造压入的参数 利用溢出在栈上伪造一个函数的传参,再劫持跳转到函数即可带参调用 攻击示例 使用如下程序作为示例程序(这个程序有更简单
PWN初体验之ret2text
weixin_43137410的博客
08-04 666
"Hello,World!"的浪漫可能只有直男才懂!
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值