XCTF-简单题-pwn-004

最新推荐文章于 2025-05-23 20:44:47 发布
最新推荐文章于 2025-05-23 20:44:47 发布
阅读量744 收藏 2
点赞数
分类专栏: pwn题 文章标签: 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Morphy_Amo/article/details/121846203
版权
本文分析了XCTF中的一道pwn题目,涉及安全和栈溢出技术。题目开启NX保护,需利用字符串和函数来构造payload。通过分析发现,vulnerable_function存在栈溢出,可以利用read函数的限制来实现。payload设计包括填充栈、设置ebp,然后选择调用system的plt地址或程序中call system的地址。文章探讨了调用这两种地址时构造payload的区别。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XCTF-pwn-新手区-004

分析过程

  1. 查看保护机制。开启了NX保护,不能直接写入shellcode

    root@kali:~/ctf/xctf/pwn/easy# checksec easy_004_level2 
[*] '/root/ctf/xctf/pwn/easy/easy_004_level2'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

  2. 检查函数和字符串

    [0x0804844b]> iz
最低0.47元/天 解锁文章
ctfshow pwn4
qq_39980610的博客
08-22 792
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。当程序停止在比对canary的时候我们可以看到栈上的0xc有了一个数据其实就是canary。我们可以分别将断点下在printf函数和程序比对canary的地址。
XCTF-PWN welpwn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-16 709
使用LibcSearcher解法 使用GDB动态调试下,发现 0x7fffffffdae0-0x7fffffffdb00是函数是echo的栈帧 0x7fffffffdb00开始就是属于main函数的栈帧 0x7fffffffdb00-0x7fffffffdb08是上一个栈帧的rbp,已经被覆盖 0x7fffffffdb08-0x7fffffffdb0f是retn返回的地址 可以通过4个pop把...
ctfshow pwn 04
A2247328295的博客
04-13 747
接下来在第一个黄框位置下断点和printf函数处下断点,该断点为了查看canary的值,然后在printf()函数处下断点,该断点是为了查看canary在printf()函数处偏移,然后直接run。格式化字符串漏洞简单来说就是,由于printf函数不安全的使用造成的,%n是不安全的,还有printf(a)直接输出字符串也是不安全的,我们可以通过该漏洞获取canary泄露。黄框的地方是重点,第一个黄框为canary的插入,第二个为printf()函数的调用,第三个为canary的检验。
CTFShow pwn04
Mintind的博客
12-03 1218
CTFShow pwn04记录
XCTF Web 新手区004:cookie
立志成为最会敲代码的dancer,最会locking的程序猿
03-31 298
目: WP: 打开场景,出来一段话 Cookie,是什么呢? Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密)(来自百度) 这里顺便多讲一点,下面截取自 黑客攻防技术web篇 本人也是才开始学习web安全的知识,只知道burpsuite这个工具,简单学习后,尝试进行抓包...
[Bugku CTF——Pwn] pwn4
Y_peak的博客
03-22 751
[Bugku CTF——Pwn] pwn4 目地址:https://ctf.bugku.com/ 给的提示很清楚,绕过canary保护 那就绕过就好 目当中有system函数 利用ROPgadget就好 思路 将canary低位的 ‘\x00’ 给覆盖掉, 就可以利用 %s 将其输出, leek出来 exploit from pwn import * #p = process('./pwn4_') p = remote('114.67.246.176',15541) pop_rdi = 0x00
XCTF-PWN pwn-200(使用DynELF利用write泄露system地址)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-19 422
目下载地址:点此下载 查保护 只开启了NX 查看是否有后面函数,没有!所以需要利用DynELF泄露system地址获取shell。 这比较简单,就不写详细解释了,直接上EXP。 EXP: # -*- coding: utf-8 -*- # @Author: 夏了茶糜 # @Date: 2020-03-19 14:01:14 # @email: sxin0807@qq.com # @Las...
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 2017
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf目是pwn新手训练场的第一get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道目,因为没有回显文件,所以就看不到什么...
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界解系列19
重新启程
12-25 1769
目地址:pwn1 babystack 已经到了高手进阶区的第八了,已经渐入佳境了。哈哈! 废话不说,看看目先 厦门邀请赛的目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
CTFshow-PWN-Test_your_nc(pwn0-pwn4
Welcome To Myon'Blog !
04-15 1445
连上,等它程序执行完你可以直接来到 shell 界面执行命令,获取 flag。
PWN-PRACTICE-CTFSHOW-4
P1umH0的博客
01-16 905
PWN-PRACTICE-CTFSHOW-4BJDCTF2020-babyrouterBJDCTF2020-babystackBJDCTF2020-dizzyBJDCTF2020-encryptde stack BJDCTF2020-babyrouter 栈溢出,ret2libc # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=process("./pwn1") io=remote("pwn.challenge.c
ctfshow pwn
zip471642048的博客
06-04 626
ctfshow pwn系列
ctfshow pwn学习笔记
Scarehehe的博客
11-30 6689
文章目录pwn入门pwn签到pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在栈溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
ctfshow笔记(pwn篇)
Gygert的博客
03-16 3994
一入pwn坑深似海,从此web是路人 目录pwn02pwn03 pwn02 常规checksec一下 扔进IDA 点进pwnme()函数看看,明显的栈溢出 搜索字符串有/bin/sh 直接淦它 from pwn import* io=remote('111.231.70.44',28054) #io=process('./pwn02') bin_sh=0x0804850F payload=b'a'*13+p32(bin_sh) io.sendline(payload) io.interactive(
CTFshow-pwn入门-Test_your_nc
你们de4月天的博客
06-17 2717
ctfshow-pwn入门-test_your_nc-pwn0-pwn4
CTFShow-WEB入门篇命令执行详细Wp(29-40)
Aluxian_的博客
06-10 3219
【代码】CTFShow-WEB入门篇--命令执行详细Wp。
ctfshow-pwn新手系列
热门推荐
ro4lsc的博客
06-14 1万+
前言 十几天没发文了,都在写这篇文章,我也不知道为啥我要学pwn,当初是准备学汇编的,走上了不归之路,呜呜呜 pwn签到 nc 连上就有flag pwn02 一个简单的ret2text 首先看main函数 那么接着跟到pwnme函数 可以看到buf只有9个字节 而fgets读入了50个字节,所以就导致了栈溢出 这是个32位的程序所以ret地址一般是ebp+4 看到stack函数 地址 故exp为 exp: from pwn import * #p = process("./pwn1") p
pwn学习】pwn中直接调用system和调用call system的区别
Morphy_Amo的博客
12-06 2966
XCTF-pwn-新手区-004 为例, 本在构造payload的时候有两种方式构造 第一种,溢出后的返回地址是system的地址,也就是plt表中system的地址 system_addr = 0x08048320 binsh_addr = 0x0804a024 payload = 'a' * (0x88 + 4) + p32(system_addr) + p32(0) + p32(binsh_addr) 第二种,溢出后的返回地址是call system的地址,这是程序中出现过的调用syste
“智”造巨轮启新程:数字安全的战略布局
最新发布
Scgute88的博客
05-23 941
在数字化转型的浪潮中,某大型智能家电企业通过与天空卫士的合作,构建了一套全面的数据安全防护体系。该体系包括统一内容管理平台、邮件防泄露系统、网络防泄露系统和应用防泄露系统,确保数据在传输、存储和处理的每个环节都得到有效保护。这一智能化的安全解决方案不仅提升了企业的数据安全水平,还增强了员工的安全意识,为业务创新提供了坚实保障。企业的成功实践表明,数据安全是数字化转型的重要助推器,持续的安全投入和创新是企业在数字化时代稳健前行的关键。
攻防世界pwn新手答案
08-10
回答: 对于攻防世界pwn新手,其中一个关键是要修改全局变量pwnme的内容。通过格式化字符串的方法,可以实现这个目标。格式化字符串的原理是利用输入的格式化字符串,修改内存中的指定位置的值。具体的方法可以参考CTF-wiki上对格式化字符串的总结。另外,还可以利用栈溢出漏洞来实现攻击。栈溢出漏洞的原理是当输入的数据超过了栈的缓冲区大小时,会覆盖到相邻的内存区域,包括函数返回地址等重要信息。通过溢出覆盖system函数的参数为"/bin/sh",就可以获取到shell权限。在IDA32中,可以通过查看字符串窗口,找到可以直接利用的字符串,比如system和/bin/sh。这样就可以猜测需要溢出覆盖system函数的参数,实现获取shell的目的。123 #### 引用[.reference_title] - *1* *2* [xctf攻防世界pwn基础解(新手食用)](https://blog.youkuaiyun.com/lplp9822/article/details/89735167)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *3* [攻防世界 pwn 二进制漏洞简单练习区 答(1-10解)](https://blog.youkuaiyun.com/qq_33957603/article/details/122450397)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值