CTFshow-PWN-栈溢出(pwn53)

最新推荐文章于 2025-07-31 10:16:22 发布
最新推荐文章于 2025-07-31 10:16:22 发布
阅读量441 收藏 5
点赞数 12
CC 4.0 BY-SA版权
分类专栏: PWN67 文章标签: 安全 CTF PWN 栈溢出 c语言 canary
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Myon5/article/details/148584474

再多一眼看一眼就会爆炸

还是 32 位程序 

虽然没有检测到 canary 保护

但是在主函数中看到了 canary 函数

跟进看看

从文件中读取 4 个字节的 canary 值,存入 global_canary

我们再来看 ctfshow 函数:

canary 的值放到了 s1

nbytes 决定着我们的读入长度,并且这个值我们可控,那就可以溢出

最后会比较 s1 和 global_canary 是否一样,不一样就退出程序

说白了就是一个 canary 保护

只不过这个 canary 值是从文件里面读取的

了解本专栏 订阅专栏 解锁全文 超级会员免费看
CTFshow-PWN-栈溢出pwn65 详细版)
Welcome To Myon'Blog !
07-14 1260
摘要:该64位程序存在PIE保护,包含RWX段,通过read读取用户输入作为shellcode执行。程序会对输入字符进行严格检查,仅允许大小写字母、数字及部分符号(ASCII 48-90)。利用alpha3工具将原始shellcode编码为符合要求的ASCII字符,通过rax寄存器执行。最终成功获取flag:ctfshow{944db499-0c4a-4894-a0a5-3f7aeccec7de}。关键点包括字符过滤机制分析和alpha3编码技术的应用。
ctfshow刷题笔记—栈溢出pwn53~pwn56
Yilanchia的博客
02-19 779
它先循环读取,每次一个字节,直到读取到换行符(ascll:10 0xa),循环读取才会结束,__isoc99_sscanf(v2,”%d”,&nbytes)这个函数从v2中读取一个整数,存放到nbytes变量中,这个变量决定了我们能够向buf写入的数据大小,我们想要造成溢出,这个数据就需要大一点,接下来,就去比较s1与global_canary是否相同,相同这个函数才能正常返回,造成溢出。,应该需要找到flag之间的关系。主要是提示用户输入数据,输出欢迎信息并让用户输入密码,进行比较,以便执行flag。
canary保护和pie保护的绕过
2301_79880074的博客
01-27 2725
今天通过三道例题学习一下开启canary,pie保护的解题方法。
CTFshow-pwn入门-栈溢出 (慢慢更
akdelt的博客
01-31 3858
当应用程序试图对无权访问的内存地址进行读写操作时,会调用 sigsegv_handler 函数,sigsegv_handler 函数 会把stderr打印输出,即将flag的值打印输出那么我们直接输入超长数据就会溢出,程序就会崩溃进而打印出flag。char dest;该函数无法限制输入的长度,可能会超出s数组的容量,导致覆盖栈上的其他数据或执行任意代码。这也是明显的栈溢出漏洞,且提供后门函数 get_flag()堆栈不可执行,不过有后门函数,跟进 ctfshow 函数,read 可以读取 50 个字节。
CTFshow-PWN-栈溢出pwn45)
Welcome To Myon'Blog !
05-20 1469
我们一般常用的方法是采用 got 表泄露,即输出某个函数对应的 got 表项的内容,由于 libc 的延迟绑定机制,我们需要泄漏已经执行过的函数的地址。system 函数属于libc,而 libc.so 动态链接库中的函数之间相对偏移是固定的,即使程序有 ASLR 保护,也只是针对于地址中间位进行随机,最低的 12 位并不会发生改变。PLT用于间接调用共享库中的函数。这些方法和函数通常用于在漏洞利用过程中查找特定函数的地址(例如 system 函数)或特定字符串的地址(例如 /bin/sh 字符串)。
ctfshow--pwn入门--栈溢出
pandasaymmm的博客
06-21 404
这题像极了pwn23 代码就是判断我们输入的参数是否大于1,如果大于1进入ctfshow()函数并且将我们输入的第一个参数作为ctfshow函数的参数。ctfshow函数用到了strcpy()函数,而这个函数是可以发生溢出的。
CTFshow-PWN-栈溢出pwn41-pwn42)
Welcome To Myon'Blog !
04-24 902
32位的 system();但是没"/bin/sh" ,好像有其他的可以替代检查一下:32 位程序ida32 分析:跟进 ctfshow 函数:存在栈溢出buf 到栈底距离:0x12存在 system 函数:system 函数地址:0x80483D0但是并未找到 /bin/sh找到了一个 useful 函数:该函数调用了 printf 函数,并传入字符串 "sh" 作为参数,然后将 printf 函数的返回值作为 useful 函数的返回值。
CTFshow-PWN-栈溢出pwn40)
Welcome To Myon'Blog !
04-24 1460
在64位的Linux系统中,参数传递是通过寄存器来完成的,而 system 函数的第一个参数(即需要执行的命令字符串)是通过 rdi 寄存器传递的,所以,我们首先需要将 /bin/sh 字符串的地址放入 rdi 寄存器中,然后才能调用system函数,这就是为什么我们需要知道 pop rdi;--only "pop|ret": 指定了只查找包含"pop"和"ret"指令序列的代码片段,这些指令通常用于弹出寄存器中的值,并将控制流返回到调用函数的地址处,是ROP攻击中常用的gadgets。
CTFSHOW-PWN入门-栈溢出(35-42)
2402_84585385的博客
10-09 1027
发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x80487BA。发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x400872。ctfshow函数中的,v1大小为14,而read函数读取大小为50,所以read函数存在栈溢出,使用cyclic计算栈偏移量为22。ctfshow函数中的read函数存在栈溢出,cyclic计算栈偏移量为18。
CTFshow-PWN-栈溢出pwn36)
Welcome To Myon'Blog !
04-23 1260
每次调用 puts 函数时,它都会再次进入函数体内,然后又调用 puts 函数,这样就形成了无限递归调用。声明了一个长度为 36 字节的字符数组 s,调用 gets 函数,并将 s 数组作为参数传递给它,然后将 gets 函数的返回值作为 ctfshow 函数的返回值。这个特定的 puts 函数定义中,函数体内部再次调用了 puts 函数,并且传递了相同的参数 s。disass 是 GDB 的指令,这里是反汇编名为 get_flag 的函数。这里 s 数组存在栈溢出的可能,具体看后面的分析,
CTFshow-PWN-栈溢出pwn35)
Welcome To Myon'Blog !
04-22 659
从指定的输入流 stream 中读取最多 63 个字符(因为最后一个位置留给了空字符 '\0')到名为 flag 的字符数组中;当程序执行中发生段错误时,会触发 SIGSEGV 信号,此时程序会自动调用 sigsegv_handler 函数进行处理。使用 strcpy 函数将 src 指向的字符串拷贝到 dest 中,返回指向 dest 的指针,即拷贝后的字符串的起始地址。ctfshow 的函数接受一个指向字符数组的指针 char *src 作为参数;没有输出 flag,因为不存在溢出,程序没有出错。
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1628
本文主要详解CTFshowpwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
CTFshow-PWN-栈溢出pwn49)两种方法+动调分析
Welcome To Myon'Blog !
06-09 1304
执行后,可以看到 0x80da000 往后部分为可读可写可执行权限。看似开了 canary 保护,实际没有,是 checksec 版本太老了,检测到 __stack_chk_fail 函数就算开了。看似和上一题一模一样,但是细心的小朋友应该注意到了,左边多出了很多函数,说明这个程序是静态链接的,静态链接就意味着没法去打 ret2libc了,还是无 system 无 /bin/sh,考虑打 ret2syscall。
CTFshow-PWN入门-栈溢出38-40详解 持续更新
王慕杨。的博客
09-06 975
本来是不想写的,但是想想还是写一下吧,基础知识这些就先不写了,以后有时间再补上吧,比较懒前面的有时间再写吧 主要是做过了。。懒。
点击劫持:潜藏在指尖的安全陷阱
fys15925190510的博客
07-27 988
随后,通过代码将这些恶意元素设置为全透明状态,并精准覆盖在用户可能点击的正常按钮上,如 “关闭广告”“查看详情” 等。在网页端,攻击者可能搭建一个看似正常的视频网站,当用户点击 “播放” 按钮时,透明的恶意元素会引导用户点击 “确认下载某软件”,而该软件实则为病毒或挖矿程序。例如,当用户在某款工具类 APP 中点击 “领取优惠券” 时,实际触发的是 “允许该应用发送付费短信” 的授权弹窗,导致手机被强制扣除话费。例如,点击后弹出带有随机验证码的确认框,或要求用户拖动滑块完成验证,确保操作是用户的真实意图。
金融专题|某跨境支付机构:以榫卯企业云平台 VPC 功能保障业务主体安全
最新发布
SmartX 超融合
07-31 496
业务隔离,灵活互访,安全管理,精简运维。
企业微信「数据与智能专区」解析:如何实现敏感数据安全分析与价值挖掘?
WSYUNYAO的博客
07-30 349
目前,部分官方服务商的工具(如「微盛·会话管家」)已完成适配,其架构采用“专区内分析节点+外部展示节点”的分离设计,分析节点部署于沙箱,展示节点通过API获取脱敏结果,确保前端无敏感数据流转。「数据与智能专区」这类“安全+智能”的方案,通过技术闭环解决了“分析与安全”的矛盾,未来将成为企业微信生态中的刚需。不管是企业微信自带的工具,还是外面服务商做的工具,都得在里面工作。对企业而言,尽早布局这类方案,不仅能规避风险,更能抢占数据价值的先机——毕竟,在合规的前提下用好数据,才是企业长久发展的关键。
爱车生活汽车GPS定位器:智能监控与安全驾驶的守护者
2403_89272944的博客
07-30 948
在当今科技飞速发展的时代,汽车已成为人们生活中不可或缺的交通工具。然而,随着汽车保有量的不断增加,车辆管理、安全驾驶等问题也日益凸显。汽车GPS定位器作为一种先进的技术设备,正以其强大的功能和独特的优势,在智能监控和安全驾驶领域发挥着至关重要的作用,为人们的出行和车辆管理带来了全新的变革。
CTFSHOW-PWN入门 pwn5
01-10
### CTF SHOW PWN入门 pwn5 解法 对于CTF SHOW平台上的PWN挑战,尤其是针对`pwn5`这一题目,解决方法通常涉及对二进制漏洞的理解以及如何利用这些漏洞来获取flag。 #### 题目分析 在处理这类问题时,首先需要下载并理解目标程序的行为模式。通过逆向工程工具如IDA Pro或Ghidra可以查看可执行文件内部结构,识别潜在的安全缺陷[^1]。 #### 漏洞发现 经过初步审查后得知此题存在栈溢出的可能性。当输入长度超过缓冲区大小时未作适当检查便直接复制到固定空间内,这使得攻击者能够覆盖返回地址从而控制EIP寄存器指向任意位置执行恶意代码片段[^2]。 #### 利用技巧 为了成功完成该关卡,需构建特定格式的数据包作为输入发送给服务端进程。这里采用的方法是构造ROP链(Return-Oriented Programming Chain),即精心挑选一系列现有指令序列组合起来实现所需功能而不必注入额外shellcode: ```python from pwn import * context(os="linux", arch="amd64") binary_path = './path_to_binary' elf = ELF(binary_path) # 远程连接设置 host, port = "remote_host", 1234 conn = remote(host, int(port)) # 构造payload offset = ... # 计算偏移量 ret_address = ... pop_rdi_ret_gadget = ... payload = b'A' * offset + \ p64(pop_rdi_ret_gadget) + \ p64(target_function_arg) + \ p64(ret_address) conn.recvuntil(b'Tell me your name:') conn.sendline(payload) ``` 上述Python脚本展示了基本框架,实际应用中还需根据具体情况调整参数值,比如计算正确的偏移量(offset),找到合适的gadgets等[^3]。 #### 获取Flag 一旦成功触发了预期行为,则可以通过读取内存中的字符串或其他方式获得最终答案。例如,在某些情况下可能需要解析动态链接库表项以定位标准I/O函数的实际映射地址,进而打印出隐藏信息;而在另一些场景下则可能是直接调用了puts()之类的API输出预设好的标志位[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

My6n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值