无保护机制的PWN溢出(一)

最新推荐文章于 2024-07-08 14:35:57 发布
最新推荐文章于 2024-07-08 14:35:57 发布
阅读量656 收藏 2
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jason_ZhouYetao/article/details/82589398
版权 
#include <stdio.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <stdlib.h>
void login()
{
	char name[50];
	gets(name);
	printf("Welcome %syou are in the pwn world.\n",name);
}
void callsystem()
{
	system("/bin/sh");
}
int main()
{
	int random = rand(),key;
	//printf("%d\n", random);
	/*printf("Enter the key:");
	scanf("%d", &key);
	if ((key^random) == 1193046)
	{
		//printf("1\n");
		login();
		return 0;
	}
	else
	{
		//printf("2\n");
		exit(0);
	}*/
	login();
	return 0;
}

先给出源码,为了方便,这里把其他的一些比较的方式给略去了,都直接注释掉了,很明显,这个程序给出了callsys的函数,而且gets的漏洞也很明显,所以可以直接干了,这边看栈的高度可以直接用IDA,也可以用GDB配合着pattern去看,pattern脚本没有地方下载的我的博客就有资源,一个积分就够了,具体的步骤接下来仔细地讲讲:

最低0.47元/天 解锁文章
Jason_ZhouYetao
关注
专栏目录
pwn溢出10道练习题有writeup
01-04
在网络安全领域,"pwn" 是一个常见的术语,通常用于指代与系统漏洞利用和控制权获取相关的挑战。CTF(Capture The Flag)是网络安全竞赛的一种形式,参赛者需要通过解决各种安全问题来获取“旗帜”或证明,以赢得...
三个pwn
weixin_52640415的博客
06-28 1787
shortcut :格式化字符串漏洞写溢出 lucky_guy:alloca负值覆盖ret babynote:libc-2.31禁用exec写 ORW free_hook->sigreturnframe-> setcontex+61->orw
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1181
CISCN2021pwn pwny(数组越界,劫持exit_hook)
PWN入门学习之简单的栈溢出
2301_80718478的博客
06-28 715
溢出PWN的一种最简单的漏洞,其最核心的点就是,程序在读取用户输入的时候没有对输入内容进行检测与限制,从而导致输入的数据写入内存时挤占了其它不属于该变量的内存位置,从而导致重要寄存器(如RBP、RIP)中记录的地址被破坏,导致函数执行完返回时发生错误(找不到这样一个地址),即发生段错误(Segment fault)。但是同时,我们可以利用改写RBP、RIP寄存器值的这一特性,将程序跳转至我们期望的地方去。
攻防世界level2 x_64位
qq_44832048的博客
07-25 1610
64位程序在调用system函数时,参数的传递方式和32位不一样,32位是通过栈传参,而64位通过edi寄存器传参,所以这时我们的思路变成如何覆盖edi的值,通过基本rop就可以做到,利用程序自己的带有pop edi/rdi;ret语句达到给edi赋值的效果。pop edi语句是将当前的栈顶元素传递给edi,在执行pop语句时,只要保证栈顶元素是”/bin/sh”的地址,并将返回地址设置为syst...
pwn-栈溢出】— ret2text
weixin_43988488的博客
03-19 787
使用checksec检查程序的架构以及保护情况寻找程序漏洞函数,比如如gets,scanf等计算目标变量的在堆栈中与栈底(32:ebp,64:rbp)的之间偏移查看程序导入表,观察表中是否已导入可利用的函数,比如system,execve等分析是否有字符串/bin/sh,将它作为system的参数在此程序中,它直接提供一个后门函数,供我们使用。
调试的技巧exit(0)
m0_53203911的博客
04-12 174
在代码的某一行后面加上exit(0);这一句话后,那么程序运行到这一句话直接结束
PWN不欢沙龙演讲PPT.rar
05-20
4. **栈保护与地址空间布局随机化(ASLR)**:为了防止缓冲区溢出攻击,操作系统会使用这些防御机制,如Canary、DEP(数据执行保护)和ASLR(地址空间布局随机化)。理解这些机制的工作原理以及如何绕过它们是高级...
pwn入门题目汇总.rar
09-01
5. **栈保护机制的绕过**:现代操作系统和编译器为了防止溢出攻击,引入了如Canary、NX(Non-Executabe Stack)和ASLR(Address Space Layout Randomization)等保护机制。学习pwn还包括了解如何绕过这些防御。 6. ...
pwn的一些基础.pdf
04-02
现代操作系统和编译器提供了多种保护机制来防止pwn攻击,比如StackGuard、NX(Non-Executable)Bit、ASLR(Address Space Layout Randomization)等。了解这些保护机制的作用和如何绕过它们是pwn高手所必须掌握的...
pwn_exp:pwn exps
04-19
7. **防护机制绕过**:现代系统通常有ASLR(地址空间布局随机化)、DEP(数据执行保护)等防护措施。Python可以协助你生成动态地址,并尝试绕过这些保护。 8. **shellcode编写**:一旦能够控制程序执行,你可能需要...
PWN视角看待C函数——scanf
CoLin的pwn小屋
11-13 3341
scanf函数测试所用版本测试内容参数%d参数%u、%lld、%llu、%x、%llx、%f、%llf参数%c参数%s scanf函数是标准输入函数的一种,它的一些特性可以作为一些PWN题的利用空间。本文档记录对scanf函数的实验与分析的过程与结果。 scanf测试的重点是格式化的字符串。对于后面的参数来说,如果可以在之前修改对应于字符串的指针参数,那么可以实现任意地址写,这个不是scanf本身的特性,不做分析。 测试所用版本 gcc版本:gcc (Debian 10.3.0-12) 10.3.0,编译
PWN-整数溢出
recover517的博客
12-06 1814
一、特殊数字 二、整数字节对照表 三、溢出类漏洞 四、符号转换类漏洞
【SCTF&&CCTF 2016】 PWN_WRITEUP
wintersun的地带
05-15 3722
这里是摘要吗
攻防世界(pwn)--Mary_Morton 利用格式化字符串+栈溢出破解Canary的保护机制
半岛铁盒的博客
03-04 1065
ctf(pwn) canary保护机制讲解 与 破解方法介绍 程序执行流程 有三个选项,1是利用栈溢出,2是利用格式化字符串,3是退出;可连续输入多次; IDA分析 解题思路 程序存在canary保护,利用格式化字符串漏洞 得到canary的位置, 在利用栈溢出覆盖它,返回地址改为目标函数 4008da EXP from pwn import * r=remote('111.200.241.244',58448) r.sendlineafter("3. Exi
PWN-scanf函数的格式化字符串漏洞利用
最新发布
T_aXin的博客
07-08 1153
栈帧销毁时栈上的数据并不会被清除,只是改变了寄存器rbp和rsp的位置而已,所以栈上还保留了之前printf函数执行时产生的canary,可以通过抬栈的方式将变量v1指向之前产生的canary,然后利用scanf的格式化字符串漏洞和printf函数泄露canary即可。(\x20相当于回车)此时rax与rdi指向的就是变量v1在栈上的分布,其内容就是canary,然后输入字符或字符串使程序识别不到双精度浮点数,所以不会对栈上的数据进行覆盖,然后再用printf函数就可以输出canary的内容了。
pwntw start writeup 栈溢出利用自身代码
ditto的博客
12-22 669
这题利用了栈溢出,将返回地址覆盖为程序本身地址,造成内存泄露。 有个坑是如果你用gdb peda自带的checksec检查防护措施会发现NX是打开的,那么堆栈处的代码无法执行,就无法构造栈里的shellcode,file下 发现程序是静态链接的,那就无法利用ret2libc。想了半天也不知道怎么做。就用ubuntu自带的checksec检查下发现 根本没有开启NX,可能是gdb的调试环境会影响...
pwn学习总结 栈溢出,canary绕过和格式化字符串
MrTreebook的博客
11-07 741
pwn学习总结 栈溢出,canary绕过和格式化字符串 目录pwn学习总结 栈溢出,canary绕过和格式化字符串1. checksec看一下保护2. IDA 看一下3. dgb动态调试3.1. gdb打开canary文件,断点先下在main函数上3.2. disass命令查看一下func函数的汇编代码3.3. 首先看一下canary的偏移是多少3.4. 在上面的func函数的汇编代码中可以看到canary的偏移量是多少3.5. 看一下canary的地址3.6. 看一下栈,计算一下溢出量4. exp 1.
Mary_Morton write up(pwn 64位格式化字符串和栈溢出
weixin_43742794的博客
08-06 849
Morton.dms 首先用gdb(已安装peda)打开文件 用checksec检查可执行文件属性 CANNARY(栈保护) 即是否在栈中插入了cookie(linux中称为canary FORTIFY 防止缓冲区溢出攻击 不常见 NX(Windows平台上称其为DEP)即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入she...
ctf pwn read溢出
06-06
CTF(Capture the Flag)中的PWN(Practical Web exploitation,通常指payload writing)是指渗透测试或漏洞利用中的技术挑战,特别是关于控制流劫持(Control Flow Hijacking)的子领域,如read溢出。Read溢出通常发生在程序中处理用户输入时,如果没有正确验证输入长度,导致读取的数据超过了预期范围,从而覆盖了附近的内存区域,包括函数返回地址、栈帧或其他关键数据。 在PWN场景中,read溢出的步骤可能包括: 1. **环境识别**:确定目标程序的架构(如x86, x64, ARM等),操作系统,以及使用的函数调用约定(如cdecl, stdcall等)。 2. **输入构造**:创建一个恶意输入,包含超出正常长度的数据,并巧妙地将要执行代码(比如shellcode或ROP gadget)的地址放在溢出区域。 3. **栈布局理解**:了解栈内存布局,包括局部变量、函数参数和返回地址的位置,这有助于确定如何覆盖返回地址并控制程序流程。 4. **执行控制**:通过溢出触发程序执行,成功修改返回地址后,程序会跳转到预设的地址,从而执行攻击者提供的代码,比如执行系统命令、获取shell等。 5. **防御措施**:注意防范其他安全机制,如非NULL终止字符串检查、ASLR(地址空间_layout_randomization)和NX(No-execute)保护等,可能需要利用技巧绕过。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值