栈溢出计算偏移量

最新推荐文章于 2022-11-29 08:52:08 发布
最新推荐文章于 2022-11-29 08:52:08 发布
阅读量3.2k 收藏 37
点赞数 6
分类专栏: PWN工具的使用 文章标签: linux git github pwn 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62675330/article/details/123344386
版权

栈溢出计算偏移量

一,GDB调试出偏移量

 0x8048677 <main+95>     lea    eax, [esp + 0x1c]
   0x804867b <main+99>     mov    dword ptr [esp], eax
 ► 0x804867e <main+102>    call   gets@plt

通过这一串汇编指令可以看出来,此时起始地址相对于esp的偏移为0x1c,只要查看这时候的esp和ebp的寄存器就可以知道偏移量为多少。

EBP  0xffffcfb8 ◂— 0x0
ESP  0xffffcf30 —▸ 0xffffcf4c ◂— 0x0

这里就可以算出来起始地址相对于返回地址的偏移为0xffffcfb8 - 0xffffcf30 - 0x1c + 4。为112。这里的加四为ebp的值,在返回地址前还有一个ebp的值也要覆盖。

二,GDB-peda计算偏移量

  • 使用gdb运行程序

    gdb ./pwn

  • 生成溢出字符串

    ($gdb-peda) pattern create 200

    长度需要保证可以溢出覆盖至RIP

  • 运行至输入点

    ($gdb-peda) c

    输入生成的溢出字符串,回车后报错

    复制栈顶前四个字节(64 bits为前8个字节)

  • 计算偏移量

    ($gdb-peda) pattern offset [xxxx]

偏移量显示出来后,重新运行程序至输入点,输入offset‘A’,然后回车至报错停下,查看是否为预期的ebp被覆盖、eip正常,根据结果调整offset的长度*。算出来的偏移不一定对,以调试的为准。

三,PWNtools—cyclic计算偏移量

# 生成132个字符
$ cyclic 132
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaab

# 报错
$ ./level0      
Hello, World
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaab
zsh: segmentation fault  ./level0

# 查看长度
$ cyclic -l haab 
128

cycli是pwntools的工具,但是算出来的偏移量不一定对,以gdb调试的为准。

四,利用ida计算偏移量

-00000064 s               db 100 dup(?)
+00000000  s              db 4 dup(?)
+00000004  r              db 4 dup(?)
+00000008 argc            dd ?
+0000000C argv            dd ?                    ; offset
+00000010 envp            dd ?                    ; offset

用返回地址减去起始地址求得偏移量,这里s相对于返回地址得偏移量为0x68,但是这里面计算出来得偏移量可能是不对的。最好还是以调试出来的偏移量为准。

coke_pwn
关注
  • 6
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2019.7.26 攻防世界Stack2 以及gdb 和IDA算偏移
DSR446的博客
08-19 2465
我们很明显这里有一个数组越界的漏洞我们可以利用。 [这个博客写的很详细]https://blog.csdn.net/qq_41071646/article/details/86600053 下面我就只介绍一下怎么算的偏移。 ...
gdb 显示结构体中成员的偏移量
邓永坚的blog
08-08 9650
在分析死机问题时,经常要阅读汇编代码,局部变量,或者形参经常是结构体指针变量 static inline void __rb_change_child(struct rb_node *old, struct rb_node *new, struct rb_node *parent, struct rb_root *root) { if (parent) {
PWN栈溢出----偏移的计算
m0_53932372的博客
08-03 2017
就目前遇到的栈溢出题目而言,使用ida就可以完成便宜的计算。 这些栈溢出题目,基本上不需要调试,ida本身提供的栈空间数据就可以实现偏移的计算。 BUUCTF:bjdctf_2020_babystack2 这道题目,我们看ida: 具体做法不细说,主要看偏移: buf和nbyte 看栈空间: 下方没有s只有r,而r就是返回地址 给了后门函数,那就利用read函数,达到缓冲区溢出的目的。 +0x8-(-0x10)=0x18=24 偏移就是二十四。 以上只是本人拙见,栈溢出偏移困扰了我很久,希望这次不会
【Tips】使用gdb-peda进行RIP覆盖点偏移量计算
BAKUMANSEC - Just Do It
08-15 2397
【Tips】使用gdb-peda进行RIP覆盖点偏移量计算 首先运行程序 ./pwn1 查看进程PID ps -aux || grep pwn1 使用gdb开始调试 sudo gdb attach进程 ($gdb-peda) attach [PID] 生成溢出字符串 ($gdb-peda) pattern create 200 长度需要保证可以溢出覆盖至RIP 运行至...
[第五空间2019 决赛]PWN5 | BUUCTF | 格式化字符串 | 计算偏移量
Dem1的博客
04-09 797
正经wp from pwn import* p=remote("node4.buuoj.cn",29506) bssaddr = 0x804c044 #binaddr = 0x0804932F #1 #payload = 'aaaa-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x' ## aaaa-ffb14fe8-63-0-ffb1500e-3-c2-f7e9791b-ffb1500e-ffb1510c-61616161-2d78252d-252d78
PWN栈溢出
u012173720的博客
11-21 545
Return2libc --修改返回地址,让其指向内存中已有的某个函数 根据上面副标题的说明,要完成的任务包括:在内存中确定某个函数的地址,并用其覆盖掉返回地址。由于 libc 动态链接库中的函数被广泛使用,所以有很大概率可以在内存中找到该动态库。同时由于该库包含了一些系统级的函数(例如 system() 等),所以通常使用这些系统级函数来获得当前进程的控制权。鉴于要执行的函数可能需要参数,比...
pwn栈溢出10道练习题有writeup
01-04
6. **编写exploit**:掌握如何编写exploit(攻击脚本)是关键,这通常涉及到计算偏移量、构造payload(payload是用于利用漏洞的恶意数据)以及处理各种安全机制。 7. **writeup的价值**:提供的writeup将详细解释每...
2014年考研计算机统考408真题.doc
07-08
18. 微程序控制器:微程序控制器中,指令与微指令的关系以及寻址方式的具体细节没有提供,无法直接推断出偏移量的取值范围。 以上是2014年考研计算机统考408真题的部分解析,涉及了算法、数据结构、计算机组成原理...
2014年考研计算机统考408真题版.doc
12-06
17. 寻址方式:第十七题中,Store指令的偏移量使用补码表示,32位定长指令,8位操作码,因此剩余24位用于寻址,补码表示的范围是-2^23到2^23-1,即-8388608到8388607。 18. 微程序控制器:第十八题涉及微程序控制器...
2022年计算机组成与系统结构课程考试试卷.doc
11-18
- **变址寻址**:计算有效地址时,变址寄存器内容与偏移量相加。 - **补码表示**:判断补码表示的数是否大于-1/2,需看最高位为1且至少有一位次高位为1。 - **动态RAM和静态RAM**:动态RAM存储密度高,但需要定期...
栈溢出技术从入门到精通
08-06
1. 漏洞利用步骤:理解程序执行流程,寻找溢出点,计算偏移量,构造payload,触发溢出。 2. Shellcode:溢出后的恶意代码,通常用于获取shell权限。 3. Return-Oriented Programming (ROP):在已存在的指令片段中...
快速计算栈溢出长度
kelxLZ的博客
11-27 1178
Author:ZERO-A-ONE Date:2021-11-27 之前看到网上很多在编写栈溢出的时候计算栈溢出长度的文章,很多工具或者方法放到现在以及没有办法使用了,我经常使用的工具是pwndbg里面调用pwntools的cyclic工具 我们以CTF Wiki里面的示例程序stack-example为例子 首先用IDA找到溢出函数gets的下一个地址为0x804849f,打断点 b *0x804849f 然后使用cyclic工具生成测试字符串 pwndbg> cyclic 200 aaaab.
gdb插件peda
热门推荐
SsMing的博客
05-20 1万+
1.gdb-peda这是一个调试时必不可少的神器,github地址在:https://github.com/longld/peda ,它的安装两条简单命令即可完成:1.git clone https://github.com/longld/peda.git ~/peda2.echo "source ~/peda/peda.py" &gt;&gt; ~/.gdbinitpeda的一个实用命令chec...
pwngdb的基本使用
weixin_43723991的博客
03-08 5239
pwngdb 文件名 : 调式文件 r 运行 disass 函数名 :查看函数的反汇编代码 b 函数名/*地址:下断点(地址前面要加**号) i (空格)b :查看断点 d(空格) 断点编号 :删除断点 ...
pwn 学习笔记 格式化串计算偏移量
SsMing的博客
08-15 4860
学习参照:https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit/ 利用%s泄露libc函数的got表内容 addr%k$s可以用来泄露指定地址的内容,但要先确定k的值,可控制的格式化字符串参数是函数第几个参数(k+1),减一就是格式化字符串的第几个参数(k)。 利用  [tag]%p%p%p%p%p%p%p%p%p%p来确...
PWN学习总结
windy_ll的博客
12-26 1806
一、栈溢出原理     什么是栈溢出栈溢出就是缓冲区溢出的一种。 由于缓冲区溢出而使得有用的存储单元被改写,往往会引发不可预料的后果。程序在运行过程中,为了临时存取数据的需要,一般都要分配一些内存空间,通常称这些空间为缓冲区。如果向缓冲区中写入超过其本身长度的数据,以致于缓冲区无法容纳,就会造成缓冲区以外的存储单元被改写,这种现象就称为缓冲区溢出。缓冲区长度一般与用户自己定义的缓冲变量的类型有关。(PS:摘自百度百科)     简单来说,就是程序没有检查用户输入的数据长度,导致攻击者覆盖栈上不是程序希望写
[BUUCTF]PWN——inndy_echo2(PIE+64位fmt)
mcmuyanga的博客
02-01 1497
inndy_echo2 附件 步骤 例行检查,64位程序,开启了nx和pie 本地试运行一下,看看大概的情况,猜测跟echo差不多。 64位ida载入,跟32位echo一样的代码,只是多开了一个PIE 64位的格式化字符串漏洞,它跟32位有挺大区别的,要注意‘00’的截断,不可以像32位那样一步修改到位,它一次只可修改2字节。不清楚的先看这篇文章 首先对于PIE,我们要先想办法泄露程序基址 在执行echo函数时,echo的栈帧的上一个元素存储了函数的返回地址,返回到main中,所以栈中必定有返回地址
python pwntools库 简介 主要功能有 网络 进程 文件 编解码 elf 汇编 调试
whatday的专栏
11-29 3081
Pwntools是一个工具包,使选手们在CTF期间的尽可能容易的编写EXP,并使EXP尽可能的容易阅读。有些代码每个人都写过无数次,而且每个人都有自己的方法。Pwntools的目标是以半标准的方式提供所有这些,这样你就可以停止复制粘贴相同的代码,而是使用更多稍微清晰的包装器,如pack或p32甚至。除了对日常的功能进行方便的包装外,它还提供了一套非常丰富的IO管道,将所有你曾经执行过的IO封装在一个统一的界面中。从本地攻击切换到远程攻击,或者通过SSH进行本地攻击,都只是修改一行代码的工作。
二进制安全PWNpwntools工具的用法
「鸿渐之翼」的博客
04-17 1464
pwntools是一个CTF框架和开发库。它是用Python编写的,是为快速原型设计和开发而设计的,旨在使利用漏洞的编写尽可能简单。 from pwn import This imports a lot of functionality into the global namespace. You can now assemble, disassemble, pack, unpack, and many other things with a single function. A full list of
ctfshow PWN 栈溢出
最新发布
08-23
PWN是一种以攻破计算机系统中的漏洞为目的的竞赛类型,参赛者需要利用漏洞进行攻击并获取系统权限。在ctfshow PWN中,栈溢出是一种常见的攻击方式。 根据提供的引用,我了解到栈溢出是一种通过向程序输入过长的数据导致数据溢出栈的一种攻击手段。栈是一种数据结构,用于存储程序的局部变量和函数调用的返回地址等信息。当程序接收到超出栈空间大小的数据时,溢出的数据会覆盖到栈上的其他数据,从而可能改变程序的执行流程。 根据引用,在ctfshow PWN中,参赛者可以利用栈溢出漏洞来控制程序的执行流程。通过向程序输入特制的数据,可以覆盖控制流中的返回地址,使程序跳转到攻击者精心构造的代码,从而达到获取系统权限的目的。 具体来说,参赛者可以通过向程序发送超出预期的数据,覆盖栈上的返回地址,使其指向攻击者准备好的恶意代码,从而实现栈溢出攻击。攻击者可以利用此漏洞来执行任意代码,包括获取系统权限、执行恶意操作等。 引用和引用提供了一些示例代码,演示了如何利用栈溢出漏洞进行攻击。这些代码使用Python的pwn库来与目标程序进行交互,并通过构造特制的payload来触发栈溢出漏洞,最终实现控制程序执行流程的目的。 需要注意的是,栈溢出是一种非常危险的漏洞,合法的程序设计应该避免出现此类问题。在实际应用中,为了防止栈溢出攻击,开发者需要加强输入验证和数据处理等安全机制。 总结起来,ctfshow PWN栈溢出是一种通过向程序输入过长数据导致栈溢出的攻击方式,在该竞赛中常用于获取系统权限和执行恶意操作。攻击者可以利用漏洞覆盖返回地址,使程序执行恶意代码。然而,栈溢出是一种危险的漏洞,合法的程序设计应该避免此类问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [ctfshow pwn4](https://blog.csdn.net/qq_39980610/article/details/126461902)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [ctfshow pwn5](https://blog.csdn.net/qq_39980610/article/details/126462163)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值