pwn小白入门03---ret2text

最新推荐文章于 2024-07-11 23:50:59 发布
最新推荐文章于 2024-07-11 23:50:59 发布
阅读量6.5k 收藏 65
点赞数 15
分类专栏: pwn 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45943522/article/details/113918267
版权
本文介绍了栈溢出的基本概念,并通过ctfwiki的ret2text例题详细讲解了如何利用栈溢出控制程序执行流程。通过ida分析和动态调试确定了溢出长度,并展示了使用cyclic工具辅助找到覆盖eip的正确字符序列。
摘要由CSDN通过智能技术生成

什么是栈溢出:

栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。
最简单的栈溢出利用:ret2text
通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取出放入eip寄存器中,紧接着执行eip所指向的位置的指令,这样就相当于控制了程序的执行流。

例题:ctfwiki ret2text

首先,cheaksec。

在这里插入图片描述

32位小端序程序。
开启了堆栈不可执行保护(NX),即不会把堆栈上的数据当成指令来执行。
没有canary保护,可以利用栈溢出来修改eip。
PIE地址随机化没有开启。

ida分析

如果源码比较复杂,可以通过运行程序的方式来辅助理解程序。
main函数存在gets函数,即存在栈溢出漏洞。

最低0.47元/天 解锁文章
苏璃只想划水
关注
专栏目录
pwn ret2text
young‘s blog
02-06 1467
好久没有写博客了,今天记录一下做ctf-wiki上ret2text的过程,也记录一下学到的东西,一点一点积累成长。 地址:ctf-wiki 源程序也在里面 边看视频边学的,视频地址为: ret2text 程序下载好之后通过checksec查看保护措施: 没有开启canary,32位动态链接程序 知道程序的基本信息后运行一下程序,看看程序都有什么功能。 测试后得知只有一个输入点。 拖进ida分析一下...
pwn学习笔记(2)ret_2_text_or_shellcode
qq_66013948的博客
02-04 1568
​ ax寄存器:通用寄存器,可用于存放多种数据​ bp寄存器:存放的是栈帧的栈底地址​ sp寄存器:存放的是栈顶的地址​ 栈帧是存储函数的一些信息的地方,栈帧存储有函数的局部变量,传递给子函数的实际参数,父函数的地址以及上一个栈帧栈底的地址,大致情况如下:​ 在函数调用的过程中,首先会讲bp寄存器的值进行压栈,以方便在恢复的时候恢复栈底寄存器的值,再之后,会按顺序将局部变量压栈,最后是子函数的实际参数,会按照先入栈的后出栈,从最后一个实际参数先入栈再到第一个实际参数,比如函数a(int a ,
ret2text
最新发布
m0_62280492的博客
07-11 925
x86和x64下常见的ret2text
PWN初体验之ret2text
weixin_43137410的博客
08-04 698
"Hello,World!"的浪漫可能只有直男才懂!
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 3778
pwn笔记 - ret2text - 函数传参
pwn基本ROP——ret2text
turtlesd的博客
04-25 887
ret2text环境原理漏洞分析利用`checksec [file_name]`指令获取可执行文件的保护措施开放情况利用IDA32位进行调试利用pwndbg获取偏移量payload 环境 ret2text 原理 控制主函数的return返回到文件函数中自带的system函数的地址,从而获得最高权限 漏洞分析 利用checksec [file_name]指令获取可执行文件的保护措施开放情况 命令: checksec ret2text 可以看到,该可执行文件是32位的,仅开启了NX堆栈不可执行保护。 也就是
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8324
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
pwn小白入门05---ret2syscall
weixin_45943522的博客
02-21 3604
ret2syscall ROP原理: 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 gadget: 所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
pwn小白入门04---ret2shellcode
weixin_45943522的博客
02-21 1956
原理 ret2shellcode,当程序当中没有system函数时,我们需要自己往栈上写入一段shellcode,然后控制eip使其指向shellcode的地址。 shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。 在栈溢出的基础上,要想执行 shellcode,需要对应的程序在运行时,shellcode 所在的区域具有可执行权限。即必须关闭堆栈不可执行功能。 例题(来自ctfwiki): 首先checksec: 发现程序没有开启任何保护,并且存在可读可写
pwn小白入门01---环境配置
weixin_45943522的博客
02-20 638
操作系统: 任意Linux或wsl;推荐:Ubuntu18.04+Ubuntu16.04 IDA pro7.5(Windows): 链接: https://pan.baidu.com/s/1pCMudY3RNBLQ3uobf8xBVg 提取码: asqa 复制这段内容后打开百度网盘手机App,操作更方便哦 下载完后解压打开,免安装,双击即可运行; 用来打开32位程序; 用来打开64位程序; pwntools pwntools是python的一个库,目前已适应python3,建议同时安装python2和p
pwn ,ret2text
amber_o0k的博客
07-28 256
直接gdb ret2text,然后start进调试模式 用gdb自带命令,pattern create 200,生成一个200个字符的字符串,后面会用到。 用gdb自带命令,pattern create 200,生成一个200个字符的字符串 单走一个r,让程序跑起来 ,且程序会让你输入,把字符串怼进去 然后程序就会报错了,EIP显示的字符就是程序即将执行的字符,需要将这个字符替换为想要执行的函数的地址。 用gdb自带的命令数一下在“AA8A”之前还有多少个字符...
PWN ret2text
prettyX的博客
11-21 934
今天跟着B站UP学习了ROP,向UP表示感谢。 0X01 什么是ROP ROP就是shellcode的一种特殊写法。ROP技术就是不需要自己动手写shellcode,只是利用文件中给出的多个跳转指令,实现利用原有代码达到获取shell的目的。 0X02 ROP使用的地方 1、当程序开启了NX保护机制;NX策略是使栈区域的代码无法执行,但我们可以使用RO...
跟着CTF-wiki学pwn——ret2text
qq_42882717的博客
06-21 1175
肾么叫做万死不辞呀,就是每天被气死一万次,也不辞职…(哭哭
【ctf】ret2text
woodwhale的博客
04-17 5827
PWN ret2text 题目链接:ret2text 参考博客:CTF Wiki 基本 ROP 参考视频:【CTF】Linux PWN入门 Bamboofox社课系列 0x01 下载ret2text文件,复制到 翔哥的van美pwn机 中 查看保护机制 Arch: i386-32-little //文件为32位程序 RELRO: Partial RELRO Stack: No canary found //未开启canary保护 NX: NX enabled
浅谈 ret2text
akdelt的博客
01-21 1074
而此时栈顶指针指向 ‘/bin/sh’ 的地址,于是 ‘/bin/sh’ 被放入 rdi 中,然后执行 ret,此时后门函数地址顶上来了,于是就 ret 到了 func 的地址 (这就是为什么找的是pop rdi;我瞎猜的,不然不好解释)而拿去参数也是同过 EBP 偏移量来实现的,本来有返回地址时通过 [EBP+8] 来拿参数一,但是因为没有返回地址 此时 EBP 和 参数相邻相差 4 个字节,所以 EBP + 8 就不是参数一的地址了。前六个参数依次存放于rdi,rsi,rdx,rcx,r8,r9中。
PWN基础8:Ret2Text 实例
prettyX的博客
07-12 518
基础知识 1、栈溢出快速确定偏移量: pwndbg cyclic 200 cyclic -l 异常地址 peda pattern create 200 pattern offset 异常地址 2、定位system函数 objdump -t XXX 查看程序中使用到的函数 objdump -d XXX 查看程序中函数的汇编代码 objdump -d -M intel XXX 查看程序中函数的汇编代码,并且汇编代码是intel架构的
pwn ret2libc原理
08-22
- *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

苏璃只想划水

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值