CTF-浅尝64位栈溢出PWN

最新推荐文章于 2024-05-07 18:09:02 发布
最新推荐文章于 2024-05-07 18:09:02 发布
阅读量1.1w 收藏 11
点赞数 5
分类专栏: PWN CTF 文章标签: CTF PWN 64位 栈溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33438733/article/details/72858980
版权

干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。
收获是很大的。

正文

刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常得不到自己想要的结果)。。几经周折终于调试正确。剩下的就是构造rop链,由于是静态编译,这一点也没什么难度,只要知道syscall对应的中断号和参数即可。
最后跌跌撞撞总算是get shell了。
在这里还是和大家分享一下,那些年我所犯下的错。
习惯性的检查。
这里写图片描述
开了栈保护,那就很难去通过栈溢出覆盖返回值了。
自己运行一下程序也没什么特别之处。
IDA看看,是个静态编译的程序
。。这里有小技巧,如果不说下可能还真不知道。有时候IDA没有把这段代码识别为一个函数,我们可以手动右键create function(忘记截图。尬),之后再反汇编。(我自己都给忘了,直接看汇编给整出来的。汗!)
这里写图片描述
反汇编之后这个逻辑就比较明显了,通过一个cmp我们进入到game这个函数
这里写图片描述
再看看formatformat都是什么
这两个都在data段,并且可写。大概就是怎么写,写什么的问题了
漏洞大概找到了。接下来就是调试阶段。比较痛苦~!
先想办法把cmp给绕过。
这里写图片描述
我们先照着逻辑写一下。可以知道rdi是第一个参数,rsi是第二个参数。
有关64位怎么传参可以参考这篇文章

http://www.linuxidc.com/Linux/2013-09/90063.htm

再看看此时寄存器的值。咦不对。进到cmp里面看看。
这里写图片描述
这个才是真正的cmp函数,此时寄存器的值才是真正的参数。
这里写图片描述
只需要使相应的值为’\x00’即可。我建议是多看看汇编,这就不用猜了,直接算偏移量。
这里写图片描述
正确的结果是ZF为1。这是个零位标志寄存器。
有关标志位寄存器,可以参考下这篇文章。

最低0.47元/天 解锁文章
坚强的女程序员
关注
  • 5
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
Windows x64 栈帧结构
weixin_30748995的博客
08-07 343
0x01 前言   Windows 64位下函数调用约定变为了快速调用约定,前4个参数采用rcx、rdx、r8、r9传递,多余的参数从右向左依次使用堆栈传递。本次文章是对于Windows 64位下函数调用的分析,分析各种参数情况下调用者和被调用函数的栈结构。 0x02 4参数时函数调用流程 64位下函数的调用约定全部用FASTCALL,就是前4个参数依次用rcx,rdx,r8,r...
栈溢出从入门到放弃(下)
zhaoqg666的博客
04-25 1454
转自https://zhuanlan.zhihu.com/p/25892385 0x00 写在前面 首先还是广播一下2017 Pwn2Own 大赛的最终赛果,本次比赛共发现51个漏洞,长亭安全实验室贡献11个,以积26分的总成绩,在11支参赛团队中名列第三!同时,也祝贺国内的安全团队包揽本次大赛的前三名! 0x10 上期回顾 上篇文章介绍了栈溢出的原理和两种执行方法,两种方
PWN入门--栈溢出
最新发布
yjh_fnu_ltn的博客
05-07 994
将原main函数的ebp值栈低入栈保存,再为ebp换上新的esp寄存器值,作为访问fun函数局部变量等的基址。最后退出fun函数,需要将原ebp的值恢复,关闭并销毁fun函数的栈帧:通常使用与生成栈帧相反的指令。最后,在main函数中删除栈(在调用者还是在被调用者中清除栈,取决于函数的调用规定)。这次从栈的角度详细,计算垃圾数据填充大小时多少,system函数的参数如何传递的问题。后面看到盗用fun函数的过程,使用栈完成传参,此时还没有进入到fun函数,所以其。,在栈溢出的漏洞中,我们经常要用我们。
pwn刷题num19----栈溢出
tbsqigongzi的博客
04-24 474
BUUCTF-PWN-rip 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启NX保护-----堆栈可执行 未开启PIE-----程序地址为真实地址 RWX----有可读可写可执行段 动态链接 ida一下,看一下主函数 这里的gets(&s, argv); gets第一个参数是要输出的字符串首地址,第二个参数是输出的字符串的长度 s占0xf个字节,这里argv的值是未知的,但这个程序能利用的也只
关于pwn64位amd构造payload时的堆栈平衡问题以及32位与64位构造payload的区别与注意事项
hu_c_t_f的博客
07-24 2404
pwn入门,栈溢出漏洞是比较合适的。但我们经常会遇到i386【下面称32位】和arm64【下面称64位】的可执行程序【题目附件】。而32位与64位同样的情况,比如同样是ret2text或ret2syscall时,写的payload是不一样的,但大体的思路是一样的。本人也是入门pwn的小白,写的不对的地方还请师傅们指出。栈堆平衡32位中,没有堆栈平衡一说,而64位中有。payload中的堆栈平衡简单来说,就是要保证payload的字节数是16的倍数。
Arm 64位 汇编入栈和出栈
weixin_42730667的博客
07-26 4492
Arm 64位的汇编指令和32汇编指令有很大差别,其中一个入栈和出栈方式不太一样。 函数入口第一件事情就是将需要的用到的寄存器先进行保存入栈 Arm 64位入栈方式 sub sp, sp,#0x30 stp x9,x10, [sp] stp x11,x12, [sp, #0x10] stp x13,x14, [sp, #0x20] ...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息... 使用场景: ... 其他说明: ...
ctf-all-in-one
01-30
ctf-all-in-one
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
Mary_Morton write up(pwn 64位格式化字符串和栈溢出
weixin_43742794的博客
08-06 843
Morton.dms 首先用gdb(已安装peda)打开文件 用checksec检查可执行文件属性 CANNARY(栈保护) 即是否在栈中插入了cookie(linux中称为canary FORTIFY 防止缓冲区溢出攻击 不常见 NX(Windows平台上称其为DEP)即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入she...
64位栈溢出
weixin_44932880的博客
10-13 793
64位程序栈溢出 当参数少于7个时, 参数<1-6>放入寄存器: rdi, rsi, rdx, rcx, r8, r9 栈 High Address | | +-----------------+ | 第7参数(如果有) | +-----------------+ | return address | +-------
64位Linux下的栈溢出
omnispace的博客
03-29 5563
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf 本文的目的是让大家学到64位缓冲区溢出的基础知识。 作者Mr.Un1k0d3r RingZer0 Team 摘要 0x01 x86和x86_64的区别 0x02 漏洞代码片段 0x03 触发溢出 0x04 控制RIP 0x05 跳入用户
CTF--pwn栈溢出漏洞)
q759451733的博客
05-27 4554
0x00 工具介绍 * Ubuntu系统(kali也可以) * gdb-peda 这个是神器,二进制分析必备神器 0x01 程序源码 #include <stdio.h> #include <string.h> #include <stdlib.h> int main(int argc, char * argv[]) { char buf[4...
CTFHub[PWN技能树]——栈溢出
mcmuyanga的博客
12-19 2300
文章目录一、ret2text二、ret2shellcode 一、ret2text 例行检查,64位程序,没有开启任何保护 本地运行一下情况,看看大概的情况 64位ida载入,检索程序里的字符串发现了bin/sh 要满足条件才可以执行,但是我们可以直接跳转到0x4007B8去system(‘/bin/sh’) 看main函数 第8行,gets函数读入没有限制数据的长度,明显的溢出,溢出ret到执行system(‘/bin/sh’)的地址即可 from pwn import * #p=proc
ARM64/32寄存器说明
独行侠
05-21 1735
x0~x7:传递子程序的参数和返回值,使用时不需要保存,多余的参数用堆栈传递,64位的返回结果保存在x0中。 x8:用于保存子程序的返回地址,使用时不需要保存。 x9~x15:临时寄存器,也叫可变寄存器,子程序使用时不需要保存。 x16~x17:子程序内部调用寄存器(IPx),使用时不需要保存,尽量不要使用。 x18:平台寄存器,它的使用与平台相关,尽量不要使用。 x19~x28:临时寄存器,子程序使用时必须保存。 x29:帧指针寄存器(FP),用于连接栈帧,使用时必须保存。 x30:链接寄存器(LR)..
linux64 溢出,64位Linux下的栈溢出
weixin_29710403的博客
05-12 411
from:http://packetstormsecurity.com/files/download/127007/64bit-overflow.pdf本文的目的是让大家学到64位缓冲区溢出的基础知识。 作者Mr.Un1k0d3rRingZer0Team摘要0x01x86和x86_64的区别0x02漏洞代码片段0x03触发溢出0x04控制RIP0x05跳入用户控制的缓冲区0x06执...
pwn+栈溢出解题思路
11-10
pwn是一种利用栈溢出漏洞的攻击方式,通常用于CTF比赛中。下面是一些pwn解题思路的步骤: 1. 找到漏洞:首先需要找到程序中的漏洞,通常是栈溢出漏洞或格式化字符串漏洞。 2. 利用漏洞:利用漏洞来执行恶意代码,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值