第一个PWN 栈溢出简单题

已于 2022-06-18 21:07:54 修改
阅读量1k 收藏 5
点赞数 2
分类专栏: CTF训练 文章标签: 安全 PWN
于 2022-06-16 13:28:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/125314290
版权

先拿到题目 ret2text
拿到题目,先检查file文件类型,然后丢入ida进行分析
找到主函数,发现并没有什么漏洞,但有个vulnerable()函数
在这里插入图片描述
查看vulnerable()函数,发现漏洞,竟然发现存在gets()函数,那必然可以进行栈溢出
在这里插入图片描述
并且发现有个后面函数,get_shell(),则目标明确,就是通过栈溢出调用get_shell()获取权限即可
在这里插入图片描述
则目标是构造溢出payload,为了确定溢出填充字符,进行gdb调试:gdb:ret2text
开始调试,在main函数那打断点

gdb 小知识:
(breakpoints) b 函数名/函数入口地址: 打断点
(next) n:下一步
(run) r:运行
(step in) s:进入一个函数,不然会直接运行函数返回结果
stack num:显示附近num项的地址情况

调试进入vulnerable()函数,并运行gets函数,输入正常值,再输入stack 24 查看栈情况的情况在这里插入图片描述

第一根红线表示栈顶,第二根红线表示底端,黄线位置代表的值则表示要返回的上一个函数调用点的位置,我们的目标就是改变黄色地址空间的值,使得其转向get_shell()函数,这边要解决两个问题

  1. 怎么构造payload,要覆盖多少字节数据
  2. 找到get_shell()入口

针对第一个问题:如上图我们正常输入ssds时,数据被存入0xffffd118地址,我们先覆盖到ebp指向的地址,中间一共16字节,然后ebp地址也要覆盖,这需要4个字节,最后是get_shell地址
打开ida,找到get_shell函数,发现入口地址为:0x8048522
在这里插入图片描述
payload构造完毕,开始写程序进行攻击

from pwn import *
io = process("./ret2text")
payload = b'A'*16 + b'B'*4 + p64(0x8048522)
io.send(payload)
io.interactive()

成功!!!
在这里插入图片描述

Mokapeng
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
做的第一道pwn
LL021101的博客
03-20 1229
步骤 一、使用Ubuntu,对pwn文件进行扫瞄; file语句主要用来看本文件是多少位的,是不是elf文件——ELF文件详解—初步认识_code&poetry的博客-CSDN博客_elf文件,(该链接详细介绍了elf文件的基本结构),图中显示64-bit,意思是64位的文件 checksec命令是用来查看该文件有哪些保护措施。 NX(DEP):数据执行防护 Canary(FS):栈溢出保护 RELRO(ASLR):(地址随机化) PIE(代码地址随机化)...
pwn学习总结(五) —— 堆溢出经典型整理
qq_41988448的博客
12-29 1999
pwn学习总结(九) —— 经典目整理三(持续更新)fastbin + 栈溢出fastbin + 函数构造 fastbin + 栈溢出 目:fastbin 环境:ubuntu 16.04 下载地址:https://pan.baidu.com/s/1R6-BVR91Io_ZVPDDpBcCkA 提取码:r7e5 查看程序防护: 使用ida进行反编译: 已知条件: 可以得到mai...
攻防世界PWN之EasyPwn
seaaseesa的博客
11-15 3682
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
- BUUCTF(BUUOJ) - PWN - DAY3
qq_36902977的博客
08-02 143
buuoj/buuctf pwn
XCTF pwn思路整理 侵删
londonyan的博客
11-15 3885
XCTF pwn思路整理 侵删 1 .decode("iso-8859-1")处理报错 2 read() 栈溢出 函数定义:ssize_t read(int fd, void * buf, size_t count); 函数说明:read()会把参数fd所指的文件传送count 个字节到buf 指针所指的内存中。 返回值:返回值为实际读取到的字节数, 如果返回0, 表示已到达文...
pwn栈溢出10道练习有writeup
01-04
在这个场景中,"pwn栈溢出10道练习有writeup" 提供了10个关于栈溢出的实战练习,每个目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在栈上分配的内存不足,...
简单的练手栈溢出 pwn100-附件资源
03-02
简单的练手栈溢出 pwn100-附件资源
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
PWN入门之栈迁移-附件资源
03-02
PWN入门之栈迁移-附件资源
栈溢出基础——ROP1.0的例
07-13
3. 设计输入:根据找到的gadgets,构建一个包含这些地址的payload,使得程序在执行到溢出点时,返回地址被设置为我们想要的gadget链的第一个地址。 4. 控制流程:通过gadgets控制程序执行流,可能包括但不限于:...
【七日打卡】Pwn栈溢出利用详解
阿道夫的博客
12-22 925
🖥栈是汇编语言中的一种数据结构,遵循LIFO(Last in Fist Out)原则,即后进先出。压栈(Push)、出栈(Pop)。📌注意:栈从高地址向低地址存储。
溢出练习pwn1
Elvira
08-26 5130
集训慢慢接近了尾声,樊荣学长给我们jian
栈溢出例子理解
qq_36760780的博客
07-22 6256
背景:最近在看一些教学视频,然后主讲人敲了一段栈溢出的代码。我当场蒙蔽了-。- ! 而且他也没有细讲原理,最为一名爱探险星人,我决定Get it。 栈溢出示例代码: #include<Windows.h> #include<stdio.h> #include<stdlib.h> void Msg() { MessageBoxA(NULL, "嘿嘿!...
栈溢出分析
juyin2015的博客
02-03 3198
栈溢出分析 近日,程序总是莫名其妙的coredump,而且还是在变量定义的时候(如 int a=1),百思不得其解。在这种情况下,只有几种情况可能出现:内存踩踏、栈溢出。 在经过长时间的分析确认,肯定不是内存踩踏。剩下的就是栈溢出了。Linux下一般单个程序栈大小为10M,可用ulimit -s查阅。一般情况下,10M的大小足够用,怎会出现栈溢出。再次对代码进行了详细的分析,发现有一处
i春秋上的几道pwn
sopora的博客
06-17 1722
01.pwnme-50: Tag: fmtstr任意读 / 整型溢出 / ret2csu_init #encoding:utf-8 from pwn import * #context.log_level = 'debug' def leak(addr): io.sendafter('>', '2') io.sendafter('username...
Pwn-最简单栈溢出(2018铁三云贵赛区)write函数泄露+用地址跳回重执行主函数
publicStr的博客
05-16 4578
开始前的例行叨叨:这大概是最简单pwn了吧,直接溢出的。主要是记录下write函数泄露动态地址的姿势,还有程序执行完一次就退出了,如何在溢出的末尾让它重执行,以及从lic中提取地址的姿势。...
pwn解第一道
bluestar628的博客
03-24 1826
今天听说了一个网站pwnable.kr。很适合初学者,就试着做了一道目。 第一道目,按照网页上给的链接,使用putty链接工具联入。 输入ls命令查看文件内容。 很开心的看到了flag文件,于是直接打开,果然不出所料,我是没有权限打开的。然后查看了一下fd.c的代码。 #include #include #include char buf[32]; int main(in
Pwn level
zyh18851473527的博客
07-29 998
level0 pwn一般套路 1.找到栈溢出地址(就是搞事情的地址),基本上都是buf的地址,这个地址需要 用pwntools中的p32或p64进行转换,(若程序是32位的就用p32)才能pwntools中的sendline发送到远程连接 2.构建shellcode,用一句话就行shellcode = asm(shellcraft.sh()) 3.构建payload,payload的基本构...
pwntools实战CTFpwn
Yale的博客
01-30 2639
Pwntools安装,一条命令就能搞定 pip install --upgrade pwntools 安装完毕后在python环境下只需使用 from pwn import * 即可导入 这会将大量的功能导入到全局命名空间,然后我们就可以直接使用单一的函数进行汇编、反汇编、pack,unpack等操作。 常用的模块有下面几个: asm : 汇编与反汇编,支持x86/x64/arm/mips/pow...
ctfshow PWN 栈溢出
最新发布
08-23
在ctfshow PWN中,栈溢出是一种常见的攻击方式。 根据提供的引用,我了解到栈溢出是一种通过向程序输入过长的数据导致数据溢出栈的一种攻击手段。栈是一种数据结构,用于存储程序的局部变量和函数调用的返回地址等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值