ret2text

利用ROP技术绕过NX保护执行ret2text
最新推荐文章于 2025-09-20 18:57:39 发布
原创 最新推荐文章于 2025-09-20 18:57:39 发布 · 538 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

在安全领域,随着NX保护技术的启用,传统的缓冲区溢出攻击不再有效。本文探讨了Return-oriented Programming(ROP)技术,它是如何通过利用程序中已存在的小片段(gadgets)来改变程序执行流程,从而控制寄存器变量。实验中,检查了NX保护的开启,并分析了在内存优化和溢出条件下的ROP应用,特别是如何找到合适的gadgets和`system`函数调用的`bin/sh`参数偏移量。

在这里插入图片描述
Shellcode可以放到bss段然后去执行我们的shell在这里插入图片描述可以控制好几段位置不相邻的代码(gadgets),用rop技术
随着nx保护技术的开启,往堆栈写代码的方式已经发挥不了效果
Rop:Return-oriented Programming(面向返回的编程)
在缓冲区溢出的基础上利用程序已有的小片段,来改变我们程序寄存器变量的值,从而达到控制程序执行流程的效果
所以gadgets是以ret结尾的指令序列,通过这些序列我们可以修改某些地址内容,控制流程
但是gadgets的地址不是固定的,所以我们每次都要想办法获取动态的地址

实验:
Checksec: nx开启了
Disass main
在这里插入图片描述调用的setbuf是优化内存ro的,就是我们有大量内存读写的时候,他会优化你内存的ro读写

Rop两点要求:溢出;能控制返回地址
Gets不控制溢出
在这里插入图片描述
-M intel 以intel模式显示
一个显示system函数,一个要显示所有的函数,找到前面的bin/sh参数

最低0.47元/天 解锁文章
[SWPUCTF 2024 秋季新生赛]不是哥们ret2text还阴啊?
Welcome To Myon'Blog !
05-26 422
通过分析栈结构发现缓冲区溢出漏洞,其中v1[56]数组可被覆盖。利用逐字节读取特性,先覆盖60字节数据至i变量地址,将其设为0x47。随后继续写入8字节至返回地址处(rbp+8),劫持为后门函数地址0x4011F1。最终成功获取flag:NSSCTF{7256ca63-a417-4a2d-9eb9-49ff78eb65d0}。
PWN Ret2text
weixin_42306891的博客
03-21 1895
题目:文件夹内; 工具:IDA,gdb,pwntools; 解题思路:关键在偏移量 ; 解题: 1,IDA大法secure函数 调用了system函数,我们要做的是以此拿到shell即可; Main还使用了gets,存在栈溢出风险,以此为突破; 现在分两种解法; 1,gets函数的地址: 下端点,进行一波操作; 信息如下: S相对...
CTFhub-pwn-[ret2text]-writeup
m0_43405474的博客
08-26 2346
关于CTF pwn的简单入门题目,ret2text
ret2text-CTFHub技能树
最新发布
2301_79910343的博客
09-20 368
在main函数的汇编语言界面,由 sub rsp,70h(h:十六进制) 且在64位系统中,故要覆盖掉ebp,就要再加8字节。汇编语言的lea指令:用于加载有效指令到寄存器,类似于c语言中的**&**符号,可以获取数据的地址而不是数据本身。局部变量s,用户由gets()输入,只要达到特定长度,就可以覆盖掉栈帧中的返回地址。32位环境:EBP;寄存器保存区:存放函数执行过程中需要暂时保存的寄存器值。发现main函数中存在无限制的gets函数,存在栈溢出。返回地址:存放函数执行完毕后,程序需要返回到的地址。
[二进制安全学习]ret2text
Y4tacker的博客
07-12 1584
文章目录写在前面前置小知识bss段data段text段heapstackret2text参考链接 写在前面 已经学了一小段时间二进制了,以后慢慢确定一个深入的方向吧,开冲 前置小知识 bss段 bss段(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。 bss是英文Block Started by Symbol的简称。 bss段属于静态内存分配。 比如 int a; data段 数据段(data segment)通常是指用来存放程序中已初始化的全局变量的一块内存区域。 数据
[CTFHub] ret2text
Lucien_Carr的博客
04-14 1160
gets_s(buffer,size)函数:从标准输入中读取数据,size表示的最多读取的数量,在这里是argv,没有定义是多大,所以我们就可以无限的输入。输入超过程序设定的字节数以后,就会发生栈溢出,多出的内容会覆盖返回地址。这个题目中要获得系统的shell,只需要先用垃圾数据填充填满数组的空间,再拼上系统system函数的返回地址就可以。只要我们能控制程序返回到0x4007B8(“/bin/sh”指令的地址),就可以得到系统的shell。我们攻击的目的主要是获得系统的控制权(也就是拿到shell)。
CTFHUB(PWN)Ret2Text
Rt1Text的博客
02-02 4476
64位没有开启任何保护的Ret2Text
网络攻防快速入门笔记pwn | 02 栈溢出题型 | 2.1 ret2textret2shellcode
qq_41040989的博客
03-31 1063
将返回地址覆盖为程序.text段中已有代码的地址,从而执行本身的代码,由于我们要获得shell,二进制文件中本身就含有一个可以直接获取权限的函数,然后我们通过栈溢出漏洞,控制程序执行留,将返回地址覆盖为这个函数的地址让文件运行这个获取权限的函数,我们就可以拿到权限,进而获取flag。程序会把栈的地址输出,然后我们接收程序输出的栈地址,然后向栈中输入shellcode,通过栈溢出跳到输入shellcode的位置,最终获取shell。获取到系统权限之后,就可以输入相应的linux命令,一般用到。
pwn ret2text 解题步骤
Jingged的博客
03-12 374
擦看溢出数据32位加4字节偏移;64位加8字节偏移。这只是一个示例具体的地址填充需要自己寻找。先看main函数之后拓展找到溢出点。找到后门地址或自己编写后门。
ret2text涉及到的堆栈平衡问题-附件资源
03-05
ret2text涉及到的堆栈平衡问题-附件资源
【PWN · ret2text】——[CTFHub]ret2text
Mr_Fmnwon的博客
04-20 3964
经典的ret2text流程。
pwn ret2text
小龙在线
09-12 890
首先把ret2text用IDA打开: 64位ELF文件。 进入main函数,F5反编译,双击vulnerable函数,进入: 发现溢出点。 函数窗口列表,查看success,发现shell: 进入IDA普通视图,双击左侧success函数,查看success地址,是400566。 写pwn exp.py: from pwn import * sh = process("./ret2text") payload = b"a"*0x10 + b"b"*0x8 + p64(0x400566) sh.
ret2text知识点及例题
weixin_44864859的博客
05-19 1545
ret2text 这里涉及到的知识 Stack: No canary found NX: NX enabled ret2text: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked 1.首先是stack保护措施,如果开启的话在栈中返回地址前放一个随机值,如果被覆盖,程序就会报错退出 2.nx则是 no execution,如果开启的话就不能让ip寄存器指向堆和栈。。。。注意堆和栈是不
【ctf】ret2text
woodwhale的博客
04-17 6294
PWN ret2text 题目链接:ret2text 参考博客:CTF Wiki 基本 ROP 参考视频:【CTF】Linux PWN入门 Bamboofox社课系列 0x01 下载ret2text文件,复制到 翔哥的van美pwn机 中 查看保护机制 Arch: i386-32-little //文件为32位程序 RELRO: Partial RELRO Stack: No canary found //未开启canary保护 NX: NX enabled
CTFHUB-PWN-ret2text
m0_64180167的博客
04-16 226
然后我们可以开始写payload。下载文件 checksec看看。然后看看shell的地址是多少。放入ida64 查看字符串。然后看看主函数怎么输入。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值