简单的32位栈溢出

jjjjjones

于 2023-12-01 01:02:59 发布

阅读量388

点赞数 7

文章标签： linux 运维服务器汇编

本文链接：https://blog.csdn.net/j_______________/article/details/134724898

版权

有system无binsh字符串处理

无聊打打题，又是我最爱的简单栈溢出
经典32位栈溢出，首先打算使用常规办法试一试

32bit:
	system_addr + return_addr + bin_sh_str_addr
64bit:
	ret_addr + pop_rdi_ret + bin_sh_str_addr +  system_addr

看看程序里面是否存在可调用的函数和字符串
（如果没有也没关系，劫持got表和泄露libc都行，不知道这是啥也没关系，后面有机会的话讲两句）
在这里插入图片描述
有system函数但无binsh字符串，看来这题想给我们制造一点小麻烦

翻翻bss段总会有些小惊喜，发现一个变量，那么就好办了

可以利用gets函数来把/bin/sh字符串传入变量buf2，然后system后面接返回地址后再接上buf2的地址

payload 构造如下：
	payliad = [填充字符] + [gets] +[buff2] + [system] + [_start] + [buff2] # 构造好后养成一个好习惯，返回地址填充为 _start的地址

如果是64位程序可以：
在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

jjjjjones

关注关注

7
点赞
踩
8

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

解决程序越界或栈溢出导致的死机或不正常问题排查的一个方法

01-07

这里记录自己一个简单的问题解决的方法。解决思路： 1，程序在经过一个操作触发后，程序会出现发送的数据发不出或者有时候还会导致死机，看coredump看不出问题，这时我们找到触发会执行的一段代码，详细看一下可能...

整数上溢和下溢与浮点上溢和下溢

lengye7的博客

01-27

8944

整数的上溢 #include #include int main() { int zhengshu1,zhengshu2;//int 类型在32位机器中通常为32位 unsigned int zhengshu3; zhengshu1=2147483647; zhengshu2=-2147483647; zhengshu3=4294967295; //fudianshu1=0.1

参与评论您还未登录，请先登录后发表或查看评论

32位栈溢出进阶

ca1m4n的博客

11-18

749

在804871F里，buf变成a1，把a1放入s，然后往804871F的buf里输入数据，这一步要注意，我们要做的是通过传入数据，把v5覆盖掉，因为返回值是v5，而v5和buf的关系在stack里是这样的。接着v5返回到主函数，变成v2，传到80487D0里，80487D0里变成a1，因为我们传入的a1为\xff（255），所以执行else，这时我们开始ret2libc。会停止，于是开头为\x00，最终比较的长度v1是0，从而绕过strncmp，避免执行exit(0)没有system和/bin/sh/

关于32位计数器溢出问题

科学边界

03-29

6280

好久没写博客了，昨天遇到一个时间计数溢出问题，做个简单记录吧背景：底层提供一个unsigned int的变量表示自开机以来累计时间，用作码流的时间戳，单位ms. 问题：32位无符号数的毫秒计数，大概49天就会溢出，溢出后时间计数用作时间戳就会出错，导致无法正确解码。为解决这一问题，用一个64位变量来保存累计时间，方法如下：

pwn学习笔记（一）（32位和64位的栈溢出）

weixin_43742794的博客

08-05

2490

32位 32位的栈帧是这样的 栈溢出基本思路是覆盖掉返回地址和参数，执行system（）函数从而/bin/sh拿到flag 64位 64位的栈帧也是这样的但是在 Linux 上，前六个参数通过 RDI 、 RSI 、 RDX 、 RCX 、 R8 和 R9 传递；而在 Windows 中，前四个参数通过 RCX 、 RDX 、 R8 和 R9 来传递而第七个（windows下第五个）参数才p...

在不使用long的情况下提前判断32位int数据是否溢出

最新发布

weixin_43917763的博客

02-27

336

一般int的数据范围：-2147483648~2147483647 [-2^31~2^31-1]以正数举例，如果一个数据大于214748364（最大数的十分之一），则在它乘以10后就会溢出；如果等于214748364，则需要判断末位的加数是否大于7，如果大于则溢出。同理可得负数的溢出判断。

调用栈：为什么JavaScript代码会出现栈溢出.docx

07-14

"调用栈：为什么JavaScript代码会出现栈溢出" 在 JavaScript 中，调用栈是一种数据结构，用于管理函数调用关系。当我们编写 JavaScript 代码时，可能会遇到栈溢出的错误，这是因为 JavaScript 引擎使用调用栈来管理...

从零开始学习软件漏洞挖掘系列教程第二篇：栈溢出覆盖返回地址实践.pdf

01-31

缓冲区溢出简单来说就是过长的数据被复制到小缓冲区中，导致数据溢出原有缓冲区的边界，这是栈溢出的基本成因。栈是一种先进后出的数据结构，其操作主要是压栈（push）和弹栈（pop）。栈的属性包括栈底和栈顶，ESP...

pwn栈溢出10道练习题有writeup

01-04

在这个场景中，"pwn栈溢出10道练习题有writeup" 提供了10个关于栈溢出的实战练习，每个题目都配有详细的解答，这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在栈上分配的内存不足，...

32位有符号整形的溢出

UTF80的博客

03-27

981

最近，笔者当然还是在努力写系统，并且在笔者的“滋润”下，我们的cunix系统已经有一个操作系统的样子了。大家可以看看https://github.com/pengruiyang-cpu/cunix.git，gitee上也有，https://gitee.com/pengruiyang-cpu/cunix.git，有兴趣的当然可以向上面提交代码啦，作为开源与GPL的狂热热爱者，笔者当然欢迎。今天我们要聊的这个“诡异的数值”，几乎就是一本活生生的教科书，是笔者在编写cunix的文件系统时出现的一个问题。代码笔者

oj 中level3 (普通栈溢出32位）

weixin_44954083的博客

07-14

296

查看文件信息，安全机制代码审计分析漏洞点编写EXP 一道题出来，先看一下保护机制，由于你道题是nx是保护的，拉进入ida看一下，明显这道题是栈的溢出这道题们没有system 函数，和binsh 其实这道题没有这些，我们可以在泄露函数got表函数的真正加载地址，通过偏移找出函数的库，从而通过找其他函数的真正加载地址，找到system 函数和 binsh字符串·，开了nx保护所...

32位栈溢出exp

weixin_44932880的博客

10-13

575

32位程序栈传参栈结构 High Address | | +-----------------+ | args | +-----------------+ | return address | +-----------------+ ebp

32数组溢出怎么解决_缓冲区溢出实验

weixin_39722196的博客

01-07

354

缓冲区溢出实验实验环境系统环境： Ubuntu 16.04.6 LTS (GNU/Linux 4.4.0-176-generic x86_64) 其他环境： gcc version 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.12) GNU gdb (Ubuntu 7.11.1-0ubuntu1~16.5) 7.11.1栈...

解决求很大数阶层时数据溢出的两种方法

哦绝影

03-21

3126

1.代码 package test; import java.util.*; import java.io.IOException; public class Test5{ public void Transport(long n){ int s=1; for(int i=1;i s*=i; System.out.println(n+"!的

不可变类：String