pwn刷题num20----栈溢出

已于 2022-04-26 09:42:39 修改
阅读量153 收藏
点赞数
分类专栏: BUUCTF CTF pwn 文章标签: 系统安全 c语言 安全 python 网络安全
于 2022-04-25 16:56:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124408578
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
CTF
61 篇文章 1 订阅
订阅专栏
BUUCTF
36 篇文章 0 订阅
订阅专栏

BUUCTF-PWN-warmup_csaw_2016在这里插入图片描述
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行
在这里插入图片描述

64位程序,小端序
开启部分RELRO-----got表可写
未开启canary保护-----可能存在栈溢出
未开启NX保护-----堆栈可执行
未开启PIE-----程序地址为真实地址
RWX----有可读可写可执行段
动态链接

程序运行后告诉我们一个地址0x40060d
ida一下看一下伪代码
在这里插入图片描述
主函数里有一个sprintf注意一下

sprintf(&s, "%p\n", sub_40060D);

这个函数意思是先把sub_40060D的地址放入缓冲区&s处,之后再把sub_40060D的地址打印出来。
接着往下看return处的gets函数,未限制输入v5的大小,可能存在栈溢出
看一下栈区在这里插入图片描述

在这里插入图片描述

这里的var_40就是v5的位置,距离返回地址(r所在位置)0x48(0x40+0x8)字节。
再查看一下有没有后门函数
根据题目给我们提示的地址0x40060d,看一下这是哪
在这里插入图片描述

后门函数,调用即可获得flag
exp

from pwn import *

p = remote("node4.buuoj.cn",27746)

p.sendline(b'a' * 0x48 + p64(0x40060D))

p.interactive()

运行获得flag

在这里插入图片描述

tbsqigongzi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-浅尝64位栈溢出PWN
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
第一道pwn栈溢出
小白垃圾笔记2
03-03 880
代码和解题思路来自启明星辰的《ctf安全竞赛入门》,当然还有好多热心的师傅们的指导。
CTFshow-PWN-栈溢出pwn40)
最新发布
Welcome To Myon'Blog !
04-24 686
在64位的Linux系统中,参数传递是通过寄存器来完成的,而 system 函数的第一个参数(即需要执行的命令字符串)是通过 rdi 寄存器传递的,所以,我们首先需要将 /bin/sh 字符串的地址放入 rdi 寄存器中,然后才能调用system函数,这就是为什么我们需要知道 pop rdi;--only "pop|ret": 指定了只查找包含"pop"和"ret"指令序列的代码片段,这些指令通常用于弹出寄存器中的值,并将控制流返回到调用函数的地址处,是ROP攻击中常用的gadgets。
64位Linux下的栈溢出
10-05
0x01 x86和x86_64的区别 0x02 漏洞代码片段 0x03 触发溢出 0x04 控制RIP 0x05 跳入用户控制的缓冲区 0x06 执行shellcode 0x07 GDB vs 现实 0x08 结语
Mary_Morton write up(pwn 64位格式化字符串和栈溢出
weixin_43742794的博客
08-06 835
Morton.dms 首先用gdb(已安装peda)打开文件 用checksec检查可执行文件属性 CANNARY(栈保护) 即是否在栈中插入了cookie(linux中称为canary FORTIFY 防止缓冲区溢出攻击 不常见 NX(Windows平台上称其为DEP)即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入she...
pwn刷题num14-----栈溢出
tbsqigongzi的博客
04-22 119
攻防世界pwn进阶区反应釜开关控制 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启部分RELRO---got表仍可写 未开启canary保护---存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 ida一下 发现栈溢出(灰色部分) 查看栈区,v5距离返回地址0x208字节(0x200+0x8) 查找有没有后门函数,发现一个shell函数 exp from pwn import
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
pwn刷题num19----栈溢出
tbsqigongzi的博客
04-24 473
BUUCTF-PWN-rip 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启NX保护-----堆栈可执行 未开启PIE-----程序地址为真实地址 RWX----有可读可写可执行段 动态链接 ida一下,看一下主函数 这里的gets(&s, argv); gets第一个参数是要输出的字符串首地址,第二个参数是输出的字符串的长度 s占0xf个字节,这里argv的值是未知的,但这个程序能利用的也只
PWN基础知识及基础栈溢出手法
山高路远
04-12 3894
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
linux 64位 栈溢出,栈溢出中64位程序的处理方法
weixin_39717865的博客
05-13 1354
在做 pwn 题时,难免会遇到64位的栈溢出程序,处理32位和64位程序会有所不同。这里总结一下64位和32位程序的差异,并结合两道例题给出解题方法0x00 差异1.64 位函数调用需要使用寄存器传参,前三个参数存放在寄存器 rdi、rsi、rdx 中,32 位函数调用使用栈传参(具体看下面的例子)2.64程序一个存储单元占8个字节,32位占4个字节。所以在填充 ebp(rbp) 时会有差异,这是...
BUU PWN(一)
playmaker的博客
01-28 2085
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
buuctf--pwn-warmup
weixin_45427676的博客
09-19 487
下载文件后首先查看保护机制,checksec发现没有开什么保护,64位程序,在IDA中打开查看程序流程 gets()函数很明显会有栈溢出漏洞,然后发现有后门函数,也就是sub_40060D函数,而且会发现你执行此程序的时候可以直接输出后门函数的地址,就不需要再找他的地址了 sprintf(&s, "%p\n", sub_40060D) 这个函数的意思就是将sub_40060D的地址放在s缓冲区中输出地址,所以执行的时候就可以直接看到后门函数地址。 所以现在的漏洞利用思路就是将v5缓冲区覆盖
学习笔记:buuctf pwn
RookieMOR的博客
06-28 285
如有不对,请指正
加载pwn模块时报错与解决
polaris_119的专栏
05-24 4716
错误一: File "D:\Program Files\Python37\lib\site-packages\pwnlib\term\term.py", line 167 def goto((r, c)): ^ SyntaxError: invalid syntax 原因: Tuple parameter unpacking is not supporte...
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值