简单栈溢出与execve执行|攻防世界新手区level3

最新推荐文章于 2023-03-31 16:11:04 发布
最新推荐文章于 2023-03-31 16:11:04 发布
阅读量688 收藏 1
点赞数 1
分类专栏: # pwn 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43092232/article/details/105109275
版权

文章目录

前言

pwn新手区还残留一题,就是这个level3,当初好像是因为远程打不通所以没做掉.我记得当初好像是没有给库的,现在给了个libc_32.so.6

0x00.检查保护

devil@ubuntu:~/adworld/pwn$ checksec level3 
[*] '/home/devil/adworld/pwn/level3'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found   ;可以进行栈溢出
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

0x01.栈溢出漏洞

在这里插入图片描述
read函数有明显栈溢出漏洞,程序本身不存在system("/bin/sh"),无法通过溢出直接getshell

0x02.one_gadget

自从学会了使用one_gadget,遇到给libc的题目屡试不爽
one_gadget使用实战看此

devil@ubuntu:~/adworld/pwn$ one_gadget libc_32.so.6
0x3a80c execve("/bin/sh", esp+0x28, environ)
constraints:
  esi is the GOT address of libc
  [esp+0x28] == NULL

0x3a80e execve("/bin/sh", esp+0x2c, environ)
constraints:
  esi is the GOT address of libc
  [esp+0x2c] == NULL

0x3a812 execve("/bin/sh", esp+0x30, environ)
constraints:
  esi is the GOT address of libc
  [esp+0x30] == NULL

0x3a819 execve("/bin/sh", esp+0x34, environ)
constraints:
  esi is the GOT address of libc
  [esp+0x34] == NULL

0x5f065
最低0.47元/天 解锁文章
_n19hT
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习linux溢出-1
小强的博客
07-28 440
调试环境是ubuntu14 32位 代码是1.c: #include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, buf, 256);}int main(int argc, char** argv) { vulnerable_function(); write(STDO
攻防世界(Pwn) forgot---栈溢出;(方法一)
半岛铁盒的博客
03-02 672
介绍 这道题表面看起来有点复杂,其实很简单,有两种方法可以来做这一道题; 方法一 文件运行流程是: 1.先输入名字 2. 输入一串字符串 3.for循环验证字符串v5的值改变;4.返回v3[–5]函数; 1.溢出点 scanf函数 2.漏洞利用 最终返回的是 v3[--v5] 的一个函数, v5的值是在for循环之中改变的;v5的初始值是1; 把函数返回的目的地改为   0x80486CC就可以了; 只要修改 v3[0]-v3[9] 其中一个就可以了,这里选择修改v3[0] v3[--
Linux内核源码阅读之系统调用execve()
刘洋_heaven的博客
05-20 3056
asmlinkage int sys_execve(struct pt_regs regs)前言sys_execve()根据参数中指定的二进制文件路径,执行相应的二进制文件。我们可能会疑惑,参数中是一个pt_regs结构,哪里有文件路径?事实上,系统调用也属于中断,而对于系统调用,会将参数地址保存到指定寄存器中,这一事件发生的时间点是已经进入execve()代码,但是还未通过int 0x80中断真...
execve使用疑惑
bewinged
03-23 576
exec()与system()的别https://blog.csdn.net/wu5795175/article/details/9064497execv使用https://blog.csdn.net/west_609/article/details/5941968测试例子test.c#include <stdio.h> #include <stdlib.h> int ...
突破ASLR保护和编译器栈保护
安静
10-29 1893
 ASLR(Address space layout randomization)是一种针对缓冲溢出的安全保护技术,通过对栈、共享库映射等线性布局的随机化,防止攻击者定位攻击代码位置,达到阻止溢出攻击的目的。据研究表明ASLR可以有效的降低缓冲溢出攻击的成功率,如今Linux、FreeBSD、Windows等主流操作系统都已采用了该技术。以下是在Ubuntu7.04上对地址空间布局的测试
Linux近期相关漏洞——Linux Kernel IA32 ExecVE存在本地绥冲溢出漏洞.pdf
09-07
Linux Kernel IA32 ExecVE 存在本地绥冲溢出漏洞的成因主要是由于 ExecVE 系统调用在处理用户输入时,未正确地检查用户输入的长度,导致了缓冲溢出漏洞。攻击者可以通过构造恶意输入,使得系统崩溃或执行恶意代码...
linux内核hook系统调用execve函数
12-07
功能:hook系统调用execve函数,在系统调用dpkg命令时返回。 这样系统无法安装软件,以及删除软件。 1.下载后 解压直接 make编译 2. sudo insmod hook.ko 进行安装 3. sudo dmesg --follow 查看内核调试信息 4....
Linux低权限模糊化执行的程序名和参数,避开基于execve系统调用监控的命令日志.zip
最新发布
04-29
5. **利用程序漏洞**:如果目标系统存在特定的漏洞,比如格式字符串漏洞或缓冲溢出,可以利用这些漏洞执行自定义的指令。 6. **覆盖或篡改日志**:在某些情况下,可以尝试覆盖或篡改那些记录execve调用的日志文件...
linux 可执行文件与写操作的同步问题(文件读写操作产生的锁机制)
09-15
执行新程序(例如通过`execve`系统调用)时,Linux内核会确保文件执行期间无法进行写操作。在`sys_execve`中,`do_execve`调用`open_exec`函数,后者在尝试打开可执行文件时会调用`deny_write_access`来禁止写访问...
Linux 0.11-execve函数-35
m0_53157173的博客
11-10 657
至于 /bin/sh 文件是怎么构造出来的,那就是 gcc 编译和链接那些事了,而且 Linux 0.11 所用的可执行文件格式 a.out,已经被现在的 ELF 格式所取代,那就更不在我们要研究的范畴,本系列还是要划分好边界问题的,不然就无休止了。最后,将 sp 返回给 p,这个 p 将作为一个新的栈顶指针,给即将要完成替换的 /bin/sh 程序,也就是下面的代码。格式文件的头部结构,现在的 Linux 已经弃用了这种古老的格式,改用 ELF 格式了,但大体的思想是一致的。
Linux—进程产生的方式(进程号、fork函数、system函数、exec函数、init进程)
Change_Improve的博客
08-07 2192
目录 1. 进程号 1.1 getpid()、getppid()函数介绍 1.2 getpid()函数的例子 2. 进程复制fork() 2.1 fork()函数介绍 2.2 fork()函数的例子 3. system()方式 3.1 system()函数介绍 3.2 system()函数的例子 4. 进程执行exec()函数系列 4.1 exec()函数介绍 4.2 ex...
execve的用法
dgj8300的专栏
05-15 977
#include<unistd.h> main() { char * argv[ ]={"ls","-al","/etc/passwd",(char *)0}; char * envp[ ]={"PATH=/bin",0}; execve("/bin/ls",argv,envp); }
Linux0.11 execve函数(六)
Liuqz2009的专栏
03-31 2021
当一个程序使用fork函数创建了一个子进程时,通常会在子进程中调用exec()簇函数之一以加载执行另一个新程序。此时子进程的代码、数据段(包括堆、栈内容)将完全被新程序的替换掉,并在子进程中开始执行新程序。提示:以下是本篇文章正文内容,下面案例可供参考例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
Linux下使用system()和execv()实现对外部程序的调用
weixin_37615382的博客
07-25 831
system()函数 system()函数的原型为: #include <stdlib.h> int system(const char *__command); system()函数调用/bin/sh来执行参数指定的命令,/bin/sh一般是一个软连接,指向某个具体的shell,比如bash,-c选项是告诉shell从字符串command中读取命令。关于system函数的详细分析请...
pwn(ctf)中常见的系统调用
半岛铁盒的博客
08-09 825
64位文件下 1.将rax设置为3B(59),调用了execve,execve函数作用是执行一个新的程序,程序可以是二进制的可执行程序,也可以是shell、pathon脚本,这个跟system函数差不多 2. ------- 15的系统号是rt_sigreturn 3.sys_read 的调用号 为 0 ;sys_write 的调用号 为 1 ...
关于execve函数的用法
noobplayer的博客
05-30 1831
最近遇到一个问题,就是需要在程序中调用shell脚本,然后就找到了这个函数。
简单execve流程
老鹰不捉小鸡
03-24 728
本文转载于网络 基于Linux0.11源码来叙述该功能,源码可以在oldlinux.org上自行获取 _sys_execve: lea EIP(%esp),%eax #取堆栈中存放系统调用的返回地址的地址 pushl %eax #将该地址入栈 call _do_execve #调用do_execve函数 addl $4,%esp #丢弃该地址 ret 这边做了一个很重要的操作就是将堆栈中存放系统调用的返回地址的地址入栈(见下图中的PTR指针),注意这里是堆栈的地址!而非系统调用的返回地址(int
PWN基础知识及基础栈溢出手法
山高路远
04-12 3923
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
【Android 逆向】ART 函数抽取加壳 ④ ( 对 libc.so#execve 函数进行内联 HOOK 操作 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-24 1085
一、对 libc.so#execve 函数进行内联 HOOK 操作
Linux实验三:进程创建与执行 fork+execve详解
3. 调试跟踪:学生要通过《Linux内核实验教程》实验五的步骤,亲手进行fork和execve的调试与跟踪,以实际操作加深对系统调用执行流程的理解。 预习内容: - Linux进程控制原理:包括进程的生命周期、状态转换和调度...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值