pwn学习记录笔记

最新推荐文章于 2024-05-26 20:38:56 发布
最新推荐文章于 2024-05-26 20:38:56 发布
阅读量127 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/brightendavid/article/details/116354966
版权

转自知乎大神 —— 手把手教你栈溢出从入门到放弃

基础4方法

修改返回地址,让其指向溢出数据中的一段指令(shellcode)
修改返回地址,让其指向内存中已有的某个函数(return2libc)
修改返回地址,让其指向内存中已有的一段指令(ROP)
修改某个被调用函数的地址,让其指向另一个函数(hijack GOT)

修改返回地址,让其指向溢出数据中的一段指令(shellcode)

payload : padding1 + address of shellcode + padding2 + shellcode
在这里插入图片描述
在这里插入图片描述会有一些权限的问题

而下面的两种方法就可以解决权限的问题
就是

修改返回地址,让其指向内存中已有的某个函数(return2libc)

修改返回地址,让其指向内存中已有的一段指令(ROP)

Return2libc

修改返回地址,让其指向内存中已有的某个函数
重点是找到系统级指令
payload: padding1 + address of system() + padding2 + address of “/bin/sh”

在这里插入图片描述
一些系统级的函数(例如 system() 等)

调用 system() 函数打开 shell 的完整形式为 system(“/bin/sh”)

ROP ( Return Oriented Programming )

目标函数在内存内无法找到,有时目标操作并没有特定的函数可以完美适配。这时就需要在内存中寻找多个指令片段,拼凑出一系列操作来达成目的。

payload : padding + address of gadget
在这里插入图片描述

payload : padding + address of gadget 1 + address of gadget 2 + …
address of gadget n
在这里插入图片描述

Hijack GOT

--修改某个被调用函数的地址,让其指向另一个函数

brightendavid
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pwn学习笔记 BUU
2301_79525044的博客
01-11 518
本来配完20和22以后以为自己已经会配基本的环境了,结果18又让我看到了很多新的问题。搜出来的文章大部分都没用,找到有用的文章也忘记保存了,以后如果有缘要重新配环境应该会吃很多亏。之前一直没有做笔记,现在开始正式进入寒假学习。这Ubuntu18的问题比20和22多好多,不停的报错,报错方式不停地变,已经麻了。刚回家,一堆事要搞,没学什么,主要还是配环境。
PWN学习笔记 NSS
2301_79525044的博客
02-19 230
payload1=b'a'*(0x10)+p64(rdi)+p64(0)+p64(rsi)+p64(buf/*写入/bin/sh的地址,如bss段*/)+p64(rdx)+p64(8)+p64(elf.sym['read'])#调用read函数,将/bin/sh写入buf。syscall:ROPgadget --binary 文件名 | grep syscall。在gdb中 i r fs_base #得到fs_base 十六进制数据 十进制数据。关闭canary:-fno-stack-protector。
pwn学习笔记-week3
2301_79692421的博客
03-16 678
本周学长给了6道题,本质上讲应该是5道,因为ret2libc分了32和64位。浅记一下学习解题过程。
PWN学习笔记
qq_33624424的博客
08-04 444
PWN学习笔记 环境准备 Ubuntu 18 (Ubuntu 20 好多题目程序运行不了) pwntools gdb & pwndbg IDA Pro 题目 ret2text 打开IDA Pro 看到一个get_shell、vulnerable、main函数。 main函数调用了vulnerable函数。 int vulnerable() { char buffer[8]; // [esp+8h] [ebp-10h] gets(buffer); return 0; } 这里只
学习笔记pwn
weixin_73596352的博客
09-19 193
checksec,32位程序,NX保护放入32位的ida里,main函数这样进入到function函数,有88字节,read可以读入100字节的数据,存在栈溢出[外链图片转存中…(img-YAYZrmI8-1695114237612)]看字符串有没有system和bin_sh,都没有,可能是return to libc可以试试在libc里找system和bin_sh,肉眼可见左边有和函数,可以泄露write地址来得到libc版本。
pwn学习笔记(3)ret2syscall
qq_66013948的博客
02-13 675
​ ROP(Return Oriented Programming)返回导向编程,主要思想是通过在程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。
Pwn·fmt学习笔记
最新发布
qq_22607673的博客
05-26 767
pwn的blind fmt
pwn学习笔记(4)ret2libc
qq_66013948的博客
02-19 1005
​ 静态链接是由链接器在链接时将库的内容加入到可执行程序中的做法。链接器是一个独立程序,将一个或多个库或目标文件(先前由编译器或汇编器生成)链接到一块生成可执行程序。这里的库指的是静态链接库,Windows下以.lib为后缀,Linux下以.a为后缀。​ 也就是说将静态链接库中的所有的函数都写入这个ELF文件中,所以会造成该二进制文件极为庞大,因此也会存在很多的可供利用来ret2syscall的gadgets。但是,使用静态链接生成的可执行文件体积较大,包含相同的公共代码,造成浪费。
2024年网安最新pwn学习笔记 BUU
2401_84301922的博客
05-03 363
昨天把Ubuntu18基本配好了,环境配置告一段落,继续学习入门视频,并复现一下上面的题目。lib.symbols[‘system’] #寻找system的offsetnext(lib.search(‘/bin/sh’)) #寻找/bin/sh的offsetROPgadget --binary 文件名 --only “pop|ret”#寻找gadgetstrings 文件名|grep sh#寻找字符。
Pwn学习路线及学习笔记以及gem安装
10-15
Pwn学习路线及学习笔记
pwn学习历程.pdf
09-30
pwn学习修炼之旅,内部包含各个模块各个知识点,有助于爱好者有方向的学习前进,加油,很好的资料哦,很有意义。
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习总结(八)—— 堆(持续更新)
01-07
pwn学习总结(八)—— 堆(持续更新)前言chunk使用中(分配后)空闲中(释放后)堆块大小空间复用binsfastbin利用思路unsorted binsmall bin 前言 学习自《glibc内存管理ptmalloc源代码分析》庄明强 著 部分资料...
pwn学习入门详解PPT
04-17
包括Windows内核学习,格式化字符串,栈溢出等方面
IDAT block小结
brightendavid的博客
03-29 4547
IDAT块隐写–一生之敌 IDAT定义: 图像数据块IDAT(image data chunk):它存储实际的数据,在数据流中可包含多个连续顺序的图像数据块。 IDAT存放着图像真正的数据信息,因此,如果能够了解IDAT的结构,用户就可以很方便的生成PNG图像。 一张图片可以有很多的IDAT块。 说了和没说一样。 先来说一说这个IDAT块长什么样 这里是16进制下的WINHEX截图 IDAT块一般的标识符为IDAT 只需要搜索这个关键字winhex就会整理出来这个IDAT头了。 但是一般的IDAT.
BUUCTF_zip 1 压缩包的研究_CRC32爆破
brightendavid的博客
04-05 3200
拿到一堆的加密的压缩包,也不是伪加密,也不能爆破。我反正是爆破了所有8位的字母加数字密码。(要是弄一个中文进去,神仙也爆破不了) 但是每一个的大小倒是很小。 这个就很难办了。 原来有一个叫CRC32校验码的东西。 就是属性最后的那个东西。 之前有过拿相同校验码的文件,去破压缩包里的文件的题目,用到就是这个东西。 CRC32校验码就是用来检验文件内的数据是否正确的。 个人理解应该是做了一个不可逆的编码。 就像是有一个故事说的是:投标公司为了防止内鬼泄露价格消息,就做了一个“基于区块链的二次检验程序”。.
[GUET-CTF2019]虚假的压缩包 1 得到的 flag 请包上 flag{} 提交。
brightendavid的博客
04-03 3039
拿到压缩包 里面还有俩。 这个压缩软件就很神奇。 如果用360压缩,这个虚假的压缩包就可以直接打开。 但是用winrar ,就会显示加密。这个加密实际上就是一个zip伪加密,也是简单的。 可能是360压缩把一些错误信息给过滤掉了。像是一些文件头错误,360压缩是直接不给显示错误文件的。但是其它的解压软件是显示但打不开。 这是虚假的压缩包里面的内容。看着像是某个加密算法。估计是RSA。 数学题 n = 33 e = 3 解26 ------------------------- 答案是 这个整数
递归解压zip文件
brightendavid的博客
04-12 1636
此代码解决的问题是 套娃 某一题CTF就是把一个文本文件压缩了几百次,套在几百个zip文件里面。几乎不能想象。 在此处,还没有想到问题的 严重性。 已知,解压的密码就是上一个zip的文件名。 import os import zipfile dir = "C:\\Users\\brighten\\Desktop\\ff\\" n = 0 s2 = "" def jieya(): i = "0653.zip" for x in range(10000): ss =.
学习pwn需要学习哪些数学知识
05-18
学习 pwn 通常需要掌握以下数学知识: 1. 二进制和十六进制:pwn 题目通常会给出二进制或十六进制的数据,因此需要熟悉这两种进制的转换和计算。 2. 离散数学:离散数学是计算机科学中的一门重要课程,它涉及到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值