【PWN】05.ret2text

已于 2022-11-13 14:06:40 修改
阅读量503 收藏
点赞数
分类专栏: CTF 文章标签: linux
于 2022-03-27 16:34:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52553215/article/details/123775469
版权

1.什么是栈溢出

栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变。

通过栈溢出修改栈上的返回地址,这样cpu执行ret指令的时候,就会将被修改的值从栈上取出放入eip寄存器中,紧接着执行eip所指向的位置的指令,这样就相当于控制了程序的执行流。

没有canary保护,可以利用填充垃圾数据来修改返回地址。

ret2text思路:

首先通过栈溢出填充垃圾数据,覆盖到ret之前,再填入system函数地址,即可获得shell。

可能存在栈溢出的函数:

2.如何确定栈溢出所需要的垃圾数据长度?

通过ida可以观察出来,但有时结果不太准确,与动态调试的结果不同(有时候动态调试结果也不太准确,一般以动态调试结果为准,也可以动态调试结果和ida结果分别尝试一次)。

如何快速定位:测试非法地址

pwndbg:

cyclic 整数(整数不要太短):出现一堆字符,复制并输入至程序中,找到非法地址0xxxxxx

cyclic -l 0xxxxxx

得到的数据即为输入点到ret的距离

peda:

pattern create 整数

如果成功,程序会返回一段非法地址        //若未返回地址,而是停在ret,则取栈顶前四个字节

pattern offset 0xxxxxx                                //pattern offset AAAA

获得了偏移

3.找system函数

BSS段:用来存放程序中未初始化的全局变量的一块内存区域,属于静态内存分配。(在溢出时eip的值可以是BSS段的地址)

Data段:用来存放程序中已初始化的全局变量的一块内存区域,属于静态内存分配。

Text段:用来存放程序执行代码的一块内存区域,称为代码段。

rodata段:存放C中的字符串和#define定义的常量

(1)找到system函数的地址:

 

(2)通过地址找到对应汇编代码:

objdump -d -M intel ret2text

想知道0x8048763内容:

gdb ret2text

x/s 0xxxxxx

存放的是目标内容

(3)要调用system函数,需用mov那一行指令的地址覆盖,才能成功运行system函数

轻闲一号机
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6294
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
pwn基本ROP——ret2text
turtlesd的博客
04-25 854
ret2text环境原理漏洞分析利用`checksec [file_name]`指令获取可执行文件的保护措施开放情况利用IDA32位进行调试利用pwndbg获取偏移量payload 环境 ret2text 原理 控制主函数的return返回到文件函数中自带的system函数的地址,从而获得最高权限 漏洞分析 利用checksec [file_name]指令获取可执行文件的保护措施开放情况 命令: checksec ret2text 可以看到,该可执行文件是32位的,仅开启了NX堆栈不可执行保护。 也就是
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 3242
pwn笔记 - ret2text - 函数传参
pwn05(应对简单栈溢出的常规套路)
Welcome To Myon'Blog !
07-07 484
一、常规检查(nc、file、checksec) 二、IDA反编译,只找两个东西即可 1、寻找造成栈溢出的函数的地址到ebp的距离 2、寻找我们所要利用的函数的地址(即我们希望程序最后返回到哪里) 三、编写并运行exp脚本
手搓payload+非栈上格式化字符串
最新发布
2301_79880074的博客
02-22 1132
在格式化字符串漏洞类型题中我们可以利用payload = fmtstr_payload(offset,{printf_got:system_plt})这个工具去修改地址,但是这个工具产生的字节数是很大的,有时候我们是无法去正常利用的,我们需要去自己构造payload修改地址。
pwn07.ret2syscall例题
11-11
ret2syscall例题
入门pwn题目ret2text
03-26
入门pwn题目ret2text
赣网杯2021_pwn2.rar
12-11
赣网杯2021 pwn1 bin ctf
ret2libc2pwn 入门题
02-11
pwn 入门题
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
pwn入门之ret2text
wangxunyu6的博客
01-07 1203
重点来了:存在gets函数,先让我们了解一下gets函数,它可以无限读入数据,造成栈溢出。观察到s变量距离ebp有0x28的距离,对于这个题来说栈结构为先读入s变量然后下面是ebp然后才是返回地址,那么我们就有思路了,往s变量里面填充垃圾数据直到返回地址把返回地址改为我们需要的flag的位置。第四行:这是我们人为构造的代码数据,根据思路填充垃圾数据0x28个,因为这是32位elf文件所以需要再加上4,p32(flag)即为我们的返回地址。0不用管buf是我们输入数据的地方,0x32是能写入的字节数。
pwn学习笔记(2)ret_2_text_or_shellcode
qq_66013948的博客
02-04 1367
​ ax寄存器:通用寄存器,可用于存放多种数据​ bp寄存器:存放的是栈帧的栈底地址​ sp寄存器:存放的是栈顶的地址​ 栈帧是存储函数的一些信息的地方,栈帧存储有函数的局部变量,传递给子函数的实际参数,父函数的地址以及上一个栈帧栈底的地址,大致情况如下:​ 在函数调用的过程中,首先会讲bp寄存器的值进行压栈,以方便在恢复的时候恢复栈底寄存器的值,再之后,会按顺序将局部变量压栈,最后是子函数的实际参数,会按照先入栈的后出栈,从最后一个实际参数先入栈再到第一个实际参数,比如函数a(int a ,
PWN初体验之ret2text
weixin_43137410的博客
08-04 672
"Hello,World!"的浪漫可能只有直男才懂!
基础ROP之:ret2text,ret2libc,ret2syscall,ret2shellcode
WdIg-2023的博客
01-30 1130
在上一篇文章中学习了gdb和pwntools的基本使用后,这篇文章来带领大家入门pwn,包括:ret2text,ret2libc,ret2syscall,ret2shellcode。
pwn入门(2):ROP攻击的原理,缓冲区溢出漏洞利用(ret2text+ret2shellcode)
Bossfrank的博客
04-18 3121
本节将介绍基本的ROP(Return-Oriented Programming,返回导向编程的)的攻击原理、二进制程序的保护机制,并通过两个实例ret2text、ret2shellcode,为读者简介基本的ROP攻击过程。本节所使用的实例可在CTF wiki上进行下载。
pwn基础之ctfwiki-栈溢出-基本ROP-ret2text
qq_52658640的博客
04-21 997
文章目录前言原理ret2text发现漏洞利用漏洞书写exp总结 前言 刚开始自己的二进制生涯,想记录一下自己的学习,如有错误还请大佬们斧正。 原理 ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 ret2tex
跟着CTF-wiki学pwn——ret2text
qq_42882717的博客
06-21 1064
肾么叫做万死不辞呀,就是每天被气死一万次,也不辞职…(哭哭
PWN做题笔记1-ret2text(已校对)
qq_40923256的博客
04-19 3225
原题位置:CTFHub 题目属于栈溢出 给出了地址和端口,压缩包中有一个二进制程序pwn file pwn可以看到是64位ELF程序 checksec发现没有开启地址空间随机化机制 程序运行如下: ida64反汇编,发现输入没有边界检查,存在注入 secure函数调用了system返回一个服务器里的shell,因此目标是调用这个函数 函数地址如下: main函数栈结构如下: 目标是覆盖掉ebp,地址偏移为0x70+8,这部分覆盖为“A”,之后ebp覆...
PWN ret2text
prettyX的博客
11-21 906
今天跟着B站UP学习了ROP,向UP表示感谢。 0X01 什么是ROP ROP就是shellcode的一种特殊写法。ROP技术就是不需要自己动手写shellcode,只是利用文件中给出的多个跳转指令,实现利用原有代码达到获取shell的目的。 0X02 ROP使用的地方 1、当程序开启了NX保护机制;NX策略是使栈区域的代码无法执行,但我们可以使用RO...
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值