ctf pwn 题目

最新推荐文章于 2024-05-11 18:12:33 发布
最新推荐文章于 2024-05-11 18:12:33 发布
阅读量1.3k 收藏 8
点赞数 2
文章标签: 安全 安全架构 web安全 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64195960/article/details/124108258
版权

2022年3月21栈迁移

这道题是栈迁移

1)先checksec一下

嗯哼哼,貌似影响不大

2)丢在ida里瞅

1、main()

没啥用再看看其它的

 

2、vul()

第一个read读进去的东西,可以被printf呸!吐出来!

芜湖!看到了第二个read可以栈溢出,但是可以溢出的空间太少!

————————那么就要来到了,刚学习的栈迁移——————————

3、hack()

芜湖看到system函数了,那我们就可以获得system的返回地址从而调用system

3)构造payload

首先我们先想一想

 

1、printf的作用?

肯定是让我们泄露什么!

我们刚刚说到,要用栈迁移,那么我们我就需要泄露ebp的地址。

所以我们想到用b'a'*(0x27) + b'b'填满栈

然后用printf就会顺带将ebp打印出来

什么printf能打印?

A:"%s"是打印字符串,那么字符串结束的标志是什么???

Q:是/x00!/x00有时候又可以用来截断字符串,并且/x00占据一个字节(这是即使你不打,程序也会自动帮你添上的。)

那么如果我将栈填满

0x00就没地方了,它就会顺着打印,而接下来就是esp的地址了

我们只需要令

orginal_addr = u32(p.recv(4))

就可以获得了

2、继续想

栈迁移核心思想就是利用leave和ret转移ebp和esp。leave和ret常用于复原栈

leave=mov esp,ebp

pop ebp

ret=pop eip

我们看ebp寄存器里面存的其实就是栈上ebp的地址 ,为上层函数main的old ebp,它与缓冲区变量相差0x38

然后我理解的栈迁移是这样的

esp的作用还原栈的最初的模样

“原来我们还是caller的模样”

然后我们通过将ebp的位置改变到现在esp的位置,也就是我们输入的缓冲区的起始位置。

3、理解payload构造过程

a、大小。首先刚开始的第一遍我们在执行read函数,它只允许我们达到0x30的大小,所以payload3

的长度应该控制在0x30之内。(?padding的大小可以商榷吗)

b、我们第一次在执行read函数,在buf的缓冲区有长达0x28的位置,我们做不了什么,不可执行,但是我们通过修改ebp到(old_ebp-0x38),将我们写入的东西通通算进栈中执行。

c、这里我认为有两个定位的东西。

首先是我们放在payload开头的b'aaaa',用于计算和控制ebp返回的位置到这里。

其次是old_ebp,因为它的大小可以通过printf泄露,作为一个固定的已知地址,计算其他需要的信息(new_ebp和bin_sh_addr)的偏移量。

d、理解一下leave|ret

有一些图片是网上找其他师傅的的,如有侵权请联系我删除 !!

谢谢各位师傅支持

qwq-123
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2020MRCTF - 部分Pwn
weixin_44864859的博客
04-09 323
easyoverflow 保护全开,但这里只需要栈溢出覆盖数据满足check函数判断就好了。 exp: from pwn import * context.log_level = 'debug' p = remote('38.39.244.2',28082) payload="a"*48 + "n0t_r3@11y_f1@g" p.sendline(payload) p.interacti...
Ctfshow pwn 02(自己做出的第一道pwn
weixin_64875092的博客
12-05 5279
算是一篇第一次做出pwn的日记了! 本文写给想要入门pwn但只安装好虚拟机和ida完全不知道怎么用的小白~ 有许多写的不严谨或无脑的地方请多包涵! 其中有许多我在做时踩到的坑(因为自己零基础实在不知道怎么问也不知道去问谁而导致浪费好多时间而进行不下去) 现在开始! 首先第一步,来到ctfshow的网站,找到这道pwn02 之后点击Launch an instance(这所是一个建立连接的步骤,少了这一步在使用python3时会出现如下报错)如果问我什么是python3,请耐心看下去
ctf wiki pwn(入门实操)
至臻求学,胸怀云月
01-11 2408
gets函数溢出 源码 #include <stdio.h> #include <string.h> void success() { puts("you are succeed!"); } void volunter() { char s[12]; gets(s); puts(s); re...
CTF PWN-攻防世界Overflow整数溢出漏洞
道阻且长,行则将至。
07-29 1470
本文学习了缓冲区溢出漏洞常见的一种场景:整数溢出。一旦不认真考虑整数变量的范围,此类漏洞缺陷很容易在程序员的编码过程中发生,这也是安全工作人员需要注意审计的地方。
2024年网络安全最全100道CTF题目,收好了~(附答案)_ctf选择,2024年最新拥有百万粉丝的大牛讲述学网络安全的历程
最新发布
2401_84254087的博客
05-11 1058
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
ctfctf-pwn收集
03-31
ctfCTF(夺旗赛)库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF库通常由多个类别的挑战组成,例如Web安全、二...
CTF PWN 武器库
12-12
网络安全领域,CTF(Capture The Flag)是一种流行的竞赛形式,其中PWNPwn All The Things)类别涉及的是程序漏洞利用技术。"CTF PWN 武器库"通常指的是这类竞赛中的一个问,挑战者需要利用编程技巧来解决...
信息安全_CTFPWN题目实例分析.pptx
08-14
"CTFPWN 题目实例分析" CTFPWN 题目实例分析是指在 Capture The Flag(CTF)比赛中,PWN 题目类别的实例分析。PWN 题目CTF 比赛中的一种常见题目类型,涉及到二进制漏洞的利用和内存相关的安全。 ...
pwn入门题目+exp
01-26
初级的ROP,附有完整exp,可以学一下
PWN测试题目
07-18
7. **编码与解码**:在解决PWN题目时,可能会遇到各种编码问,如Base64、Hex、URL编码等,熟悉这些编码方式的转换能帮助解密和构造payload。 8. **动态链接库(DLL)劫持**:在某些情况下,攻击者可以通过操纵...
PWN · 栈迁移】[BUUCTF][Black Watch 入群]PWN
Mr_Fmnwon的博客
08-01 376
进能够覆盖ebp和ret,很难不往栈迁移上想。 修改ebp和ret后我们可以将栈指针指向另一处地址addr,需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发栈迁移的基本过程。 查看整个代码发现没有后门函数。 2.泄露libc 没有system函数的使用,但是有write函数。我们可以通过write泄露write的真实地址,从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。 3.组合流程① read大量数据,可以是 aaaa + write.pl
ACTF(dropper+master_of_dns)
qq_36386435的博客
07-03 2137
ACTF2022出(dropper+master_of_dns)
[Black Watch 入群]PWN-栈迁移
个人笔记
04-20 366
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出栈空间只有0x20-0x18=8字节无法构造rop,所以需要利用栈迁移技术,迁移到bss上构造rop。bss栈布局:(左边是第一泄露Libc构造栈帧,右边是第二次重写获取shell的栈帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。栈迁移操作:构造好栈中ebp新位置。思路:ret2shellcode。栈迁移关键指令:leave。
pwntools实战CTFpwn
Yale的博客
01-30 2643
Pwntools安装,一条命令就能搞定 pip install --upgrade pwntools 安装完毕后在python环境下只需使用 from pwn import * 即可导入 这会将大量的功能导入到全局命名空间,然后我们就可以直接使用单一的函数进行汇编、反汇编、pack,unpack等操作。 常用的模块有下面几个: asm : 汇编与反汇编,支持x86/x64/arm/mips/pow...
pwn--栈迁移
苗_的博客
08-26 521
七夕快乐~咕呱~ 前言 栈迁移主要是为了解决栈溢出时溢出空间大小不足的问,当我们的rop链过长时很可能栈空间不够,并且ebp之前的空间其实只是填充一些没什么用的数据 原理 与传统的pop_ret类似,栈迁移是利用level_ret这样的gadgets实现栈的迁移,都是寻找很小短的零碎代码,进行拼接。 关于gadget的定义: gadget在英文中意为小配件,在构造ROP链时,主要是指一对pop|ret指令,其功能在于可以配置一个寄存器的值,并返回至指定地址。常常用来在64位pwn的寄存器
pwn学习总结
Ree的整理与收集
09-01 5747
遇到的优秀文章 关于Heap Overflow(堆溢出) Linux常见漏洞利用技术实践 GCC 中的编译器堆栈保护技术 Linux环境进程间通信(一) 现代Linux操作系统的栈溢出(一) 解读Linux安全机制之栈溢出保护工具与常用命令*nix命令 export ...="..." 添加一个环境变量,这个环境变量只在这个shell进程中起作用 gdbgdb的话一定会装peda插件。p
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
payload 是什么意思
weixin_33924220的博客
10-08 3025
为什么80%的码农都做不了架构师?>>> ...
python Request如何构造post中的request payload
c0411034的博客
02-18 5579
通常post自带的参数以Form data形式提交,但也有一些是以request payload提交的,所以在构造post时有些许不同 1.修改Header中的Content-Type Form data的Content-Type是 application/x-www-form-urlencoded (默认) 而request payload的Content-Type是application/js...
ctf pwn 计算器
10-05
引用是一段代码,它使用了Python的pwn库来进行CTF中的pwn攻击。pwn攻击是指通过分析程序本身的漏洞,编写利用脚本来获取主机权限。这种攻击需要对程序进行深入分析,了解操作系统的特性和相关漏洞。因此,CTF pwn攻击是一个相对较难的领域。 对于你提到的"计算器",如果你是指CTF中的pwn题目中的一个计算器程序,那么你需要先进行程序的分析,找到可能存在的漏洞点。一旦找到漏洞点,你可以通过构造特定输入来利用漏洞,从而获取权限。 在学习CTF pwn攻击时,首先要有扎实的基础知识,包括C语言、汇编语言、Python编程、操作系统原理和Linux操作等方面的知识。这些基础知识将为你提供分析和理解程序的能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值