栈溢出总结+ret2text

最新推荐文章于 2025-05-07 09:06:55 发布
原创 最新推荐文章于 2025-05-07 09:06:55 发布 · 606 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了栈溢出的原理,强调了栈中保存的函数返回地址的重要性。通过篡改这个地址,可以实现代码执行的跳转。文章还介绍了函数调用栈的结构和主要过程,并简要提及了保护方式及如何绕过这些保护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、堆栈溢出原理

通俗的讲,栈溢出的原理就是不顾堆栈中分配的局部数据块大小,向该数据块写入了过多的数据,导致数据越界,结果覆盖了老的堆栈数据。

其中,最重要的一点: 栈中保存了函数调用时的返回地址。
缓冲区溢出的目的就是要将栈中保存的返回地址篡改成溢出的数据,这样就间接修改了函数的返回地址,当函数返回时,就能跳转到预设的地址中,执行植入的代码。

2、函数调用栈的结构和主要过程
图示:
在这里插入图片描述
文字说明:
调用及释放
汇编代码

push 参数 3               #参数由右向左入栈
push 参数 2
push 参数 1
call 函数地址             #push当前指令位置,跳转到所调用函数的入口地址
push ebp                 #保存旧栈帧的底部
mov ebp,esp              #设置新栈帧底部
sub esp ,xxx             #设置新栈帧顶部

栈帧调整:
保存当前栈帧的状态值,为了后面恢复本栈帧时使用(EBP入栈);
将当前的栈帧切换到新栈帧(ESP值装入EBP,更新栈帧底部);
给新栈帧分配空间(ESP减去所需要空间的大小,抬高栈顶)。

3、保护方式及其绕过方法:

保护 绕过
数据执行保护(NX/DEP) ROP
最低0.47元/天 解锁文章

200万优质内容无限畅学
二进制漏洞挖掘之ret2text栈溢出
brucexia的专栏
01-31 843
(2)执行“gcc -m32 -fno-stack-protector ret2text.c -o ret2text”命令,编译程序,再使用gdb调试程序,使程序运行到read函数,执行“cyclic 200”命令,生成200个字符。执行“python ret2text.py”命令,运行脚本,获取系统shell,再执行“ls”命令,测试shell能否正常使用,结果如图11-32所示。由图可知,ebp地址存储的字符为“eaaa”,执行“cyclic -l eaaa”,结果如图11-30所示。
堆栈认知——栈溢出实例(ret2text)_栈溢出以后他就能跳转到你指定的地
2401_83817971的博客
04-06 924
栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!” />你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!更多资料点击此处获qu!!
栈溢出实例--笔记一(ret2text
一只青木呀
08-01 2097
栈溢出实例1、什么是栈溢出?2、栈结构3、栈溢出需要解决的问题3.1、解决如何跳转的问题3.2、跳转到哪里去?4、实战 1、什么是栈溢出栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。 2、栈结构 3、栈溢出需要解决的问题 在我们知道什么是栈溢出以及了解了栈的结构之后,我们就可以开始通过栈溢出破坏栈结构。 在破坏栈结构的时候,我们需要注意两个问题: 1、如何跳转? 2、跳转到哪里去? 3.1、解决如何跳转的问题 在上面栈结构的图中
栈溢出——ret2text(一)
最新发布
weixin_68408599的博客
05-07 1191
拿到 system 函数和 /bin/sh 字符串,我们就需要获取 rdi, rsi, rdx, rcx, r8, r9 它们的地址,首先要获取的是。可以看到,此程序为32位系统,没有canary保护,也就是说我们溢出时,不需要注意在栈上的保护,可以随意进行溢出。紧接着我们又在左边的函数图里,看到了一个backdoor函数,这个函数存在bash代码,调用这个函数即可获取相关系统权限。首先声明了一个名为 buf 的大小为14字节的字符数组,它距离ebp的距离为0x12,这里通过read函数。
ctfshow 01栈溢出ret2text
Cfoxer的博客
02-21 498
file查看文件为64位,同时checksec表明开启了NX保护,所以排除re2shellcode办法,再根据题目提示,锁定目标re2test。根据上下s计算,其大小为0x80(转化十进制128)而在main函数中,我们关注welcome函数。明确目标要替换返回到ctfshow函数。汇编模式下可查看其起始地址为38。查看其变量s大小进行覆盖。
栈溢出学习总结
qq_36386435的博客
06-17 309
栈溢出 前言         距离上一次发博客挺长时间了,没时间,隔一段时间总结一波也可以,CTF中的漏洞挖掘与利用学习,也就是pwn,通常是用ctfwiki来学习的,里面的内容确实可以,但是入门总感觉看起来太枯燥了,当前学习了栈溢出漏洞,整数溢出漏洞,格式化字符串漏洞,条件竞争漏洞,还有堆结构的学习,还未做一些利用堆的题,除了栈溢出漏洞,其他我都是跟着ctfwiki来的,栈溢出漏洞,我觉得ctfwiki上太多了,太枯燥了,就直
栈溢出基础0x01 ret2text
砖家
10-01 820
ret2text
网络攻防快速入门笔记pwn | 02 栈溢出题型 | 2.1 ret2textret2shellcode
qq_41040989的博客
03-31 958
将返回地址覆盖为程序.text段中已有代码的地址,从而执行本身的代码,由于我们要获得shell,二进制文件中本身就含有一个可以直接获取权限的函数,然后我们通过栈溢出漏洞,控制程序执行留,将返回地址覆盖为这个函数的地址让文件运行这个获取权限的函数,我们就可以拿到权限,进而获取flag。程序会把栈的地址输出,然后我们接收程序输出的栈地址,然后向栈中输入shellcode,通过栈溢出跳到输入shellcode的位置,最终获取shell。获取到系统权限之后,就可以输入相应的linux命令,一般用到。
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6814
什么是栈溢出栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
pwn基础之ctfwiki-栈溢出-基本ROP-ret2text
qq_52658640的博客
04-21 1360
文章目录前言原理ret2text发现漏洞利用漏洞书写exp总结 前言 刚开始自己的二进制生涯,想记录一下自己的学习,如有错误还请大佬们斧正。 原理 ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 ret2tex
ret2text失败--记录一次简单的栈溢出
lifanxin的博客
01-20 565
ret2system程序样本程序漏洞Exp总结 程序样本 来自攻防世界的level0样本,检查样本文件,是64位的小端程序,并且只开启了NX保护。 程序漏洞 如上图所示,该程序有非常明显的栈溢出并且存在后门函数,所以下面直接上Exp,并且解释下载ubuntu20.04上遇到的漏洞利用问题。 Exp from pwn import * context(os="linux", arch="amd64", log_level="debug") #p = remote("220.249.52.134",
栈溢出 个人总结
ligangok的专栏
04-15 601
  一个小错误浪费我一上午的查找时间,问题是当我程序退出时会报出“栈错误....0x500000。。。”等一些批东西;后来找错误呗,耐着性子找指针,数组;终于发现问题了;代码如下:char buf[580]; memset(buf,580,sizeof(buf));就是此处出错了具体我就不说了,char最多可以接受255.  思路:一般栈被破坏, 都是栈上变量未初始化, 然后, 函
PWN入门之栈溢出ret2dlresolve
weixin_44681716的博客
05-03 1173
实验目的 当一个程序第一次调用libc中的函数时,必须首先对libc中函数的真实地址进行重定位,而这个绑定寻找真实地址的过程由dl_runtime_resolve完成。 dl_runtime_resolve需要两个参数,一个是link_map=*(GOT[1]),即链接器标志信息和reloc_arg(标志该函数重定位入口偏移),我们需要做的就是控制reloc_arg从而使dl_runtime_re...
关于栈溢出的思考与实验
weixin_43894877的博客
05-27 382
运行如下代码: #include <stdio.h> #include <stdlib.h> typedef struct { int a[2]; double d; } struct_t; double fun(int i) { volatile struct_t s; s.d = 3.14; s.a[i] = 10737418...
Win32漏洞分析与利用 栈缓冲区溢出实验总结
Tracy_yi的博客
05-30 1637
栈溢出 如果程序在处理用户数据时,未能对其大小进行恰当的限制,在进行复制、填充时没对这些数据限定边界,攻击者就可以通过精心设计的数据进行溢出覆盖,修改内存中数据、改变程序的执行流程。 在栈溢出漏洞中,最经典的是借助跳板的栈溢出方式。 左图是一个正常的栈,从高到低依次是:父函数的栈空间、作为返回地址的EIP、保存下来的栈指针EBP、若干局部变量和用于被攻击的缓冲区。 现有的C语言中许多标准函数(如strcpy)在现在看来已经不再是安全的了,利用strcpy讲数据复制到局部数组缓冲区时可以超过缓冲区区域,覆盖
pwn学习笔记(2)ret_2_text_or_shellcode
qq_66013948的博客
02-04 1832
​ ax寄存器:通用寄存器,可用于存放多种数据​ bp寄存器:存放的是栈帧的栈底地址​ sp寄存器:存放的是栈顶的地址​ 栈帧是存储函数的一些信息的地方,栈帧存储有函数的局部变量,传递给子函数的实际参数,父函数的地址以及上一个栈帧栈底的地址,大致情况如下:​ 在函数调用的过程中,首先会讲bp寄存器的值进行压栈,以方便在恢复的时候恢复栈底寄存器的值,再之后,会按顺序将局部变量压栈,最后是子函数的实际参数,会按照先入栈的后出栈,从最后一个实际参数先入栈再到第一个实际参数,比如函数a(int a ,
CTFshow——Pwn(1)
Y_peak的博客
02-24 492
CTFshow——Pwn(1) 有点懒不想写write up了。只有exploit。 PWN签到题 from pwn import * p = remote('xxx',xxx) p.interactive() pwn02 from pwn import * p =remote("pwn.chall.ctf.show",28006) p.sendline('a'*(0x9+4) + p32(0x0804850F)) p.interactive() pwn03 from pwn import * from
入门到放弃系列 ret2text2
weixin_43489686的博客
09-11 655
ret2text2 这道题依然是入门级别的题目,比上一道题目略难一点,主要区别在于这个题目没有直接给出的后门函数,也就是system函数参数不是/bin/sh,需要自己构造个shell。 首先还是一样先看看这个程序的逻辑,发现这个程序会复述你输入的语句。然后再分别gdb和拖入ida。 main函数点进function里发现逻辑没问题,也有很明显的栈溢出漏洞,其中总偏移量为0x10+8=0x18...
PWN Ret2text
weixin_42306891的博客
03-21 1859
题目:文件夹内; 工具:IDA,gdb,pwntools; 解题思路:关键在偏移量 ; 解题: 1,IDA大法secure函数 调用了system函数,我们要做的是以此拿到shell即可; Main还使用了gets,存在栈溢出风险,以此为突破; 现在分两种解法; 1,gets函数的地址: 下端点,进行一波操作; 信息如下: S相对...
ret2text
03-08
### ret2text 漏洞利用技术原理 ret2text 是一种常见的返回导向编程(Return-Oriented Programming, ROP)攻击手段之一。在这种攻击中,攻击者通过控制程序的执行流程来跳转至程序本身已有的代码片段——即位于 `.text` 段内的指令序列,这些指令通常以 `ret` 结束[^1]。 .text 段包含了编译后的二进制文件中的可执行机器码部分,比如函数定义和其他静态初始化的数据结构。由于该区域的内容是在加载时被映射为只读属性,因此无法直接修改其内容;然而,如果存在某种机制允许改变 CPU 的指令指针寄存器 EIP/RIP,则可以通过精心构建堆栈帧的方式使处理器转向 .text 中预选的位置继续运行[^2]。 当发生缓冲区溢出错误时,可能会覆盖掉存储于栈上的返回地址,这正是 ret2text 攻击所依赖的关键点所在。一旦成功篡改了这个值,就可以引导程序去调用那些原本不会被执行到的地方,进而达到绕过安全防护措施的目的,如获取敏感信息或执行任意命令等操作[^3]。 为了定位合适的 gadget 并精确计算偏移量,在实际应用过程中经常会借助工具生成循环模式串 (cyclic pattern),以此快速确定目标位置相对于起始处的距离关系。这种方法不仅提高了效率而且减少了手动调试的工作量[^4]。 #### 实现方法示例 假设有一个简单的 C 程序存在栈溢出缺陷: ```c #include <stdio.h> void vulnerable_function(char *str){ char buffer[64]; strcpy(buffer,str); } int main(int argc,char **argv){ if(argc>1)vulnerable_function(argv[1]); return 0; } ``` 要对该应用程序发起 ret2text 攻击,具体步骤如下所示: 1. 使用 GDB 或其他调试工具分析二进制文件找到可用的小工具链(gadgets chain); 2. 利用 cyclic pattern 工具创建唯一字符组成的字符串作为输入数据的一部分; 3. 将此特殊构造好的 payload 发送给易受攻击的服务端口; 4. 当触发异常后再次使用相同工具反向查找崩溃时刻 ESP 寄存器指向的确切字节索引; 5. 替换相应位数的随机填充物为真实的目标地址,确保最终形成的完整载荷能够顺利转移控制权给选定的一系列 gadgets 执行预期动作。 ```bash # 创建一个长度足够的pattern用于测试 $ python -c 'import sys;print("Aa"*8+"Bb"*7)' | ./vuln_program ... # 假设发现程序在接收到上述payload之后崩溃,并且EIP被设置成了"Bb" # 那么我们就能知道从buffer开头算起到return address之间的距离大约是多少个字节 $ python -c 'from pwn import *; print(cyclic_find(0x6262))' # 输出结果表示offset大小 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值