【Writeup】i春秋 Linux Pwn 入门教程_CSAW Quals CTF 2017-pilot

最新推荐文章于 2024-01-30 15:33:04 发布
原创 最新推荐文章于 2024-01-30 15:33:04 发布 · 760 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Writeup #Pwn

Linux pwn入门教程(2)——shellcode的使用,原理与变形

0x01 解题思路

  • 查看文件信息并试运行
    在这里插入图片描述

    1. 没有开保护,显示有RWX段。shellcode必须在具有R和X属性的内存空间上才能执行;

    2. 执行时输出了一个地址0x7ffd426b9ca0;

    3. 有用户输入点。

  • 拖入IDA 64bits,F5查看

    main
    在这里插入图片描述

  • 如图所示,红框处分别为输出地址和读取用户输入的伪代码,输出的地址应该是用户输入在栈上的地址&buf。read函数显然存在栈溢出漏洞。

  • 测试一下溢出地址并计算偏移量
    在这里插入图片描述
    在这里插入图片描述
    可以看出输出地址的确是用户输入的地址,而输入点距离RIP的偏移量是40。

  • 由此可以将shellcode放在用户输入的开头,然后将RIP覆盖为程序输出的地址,这样理论上是可以执行shellcode的。初步EXP:

    #!/usr/bin/python
#coding:utf-8

from pwn import *

context.update(arch = 'amd64', os = 'linux', timeout = 1)   
#context.log_level = 'debug'

#io = remote('172.17.0.3', 10001)  
io = process('./pilot')  

shellcode
最低0.47元/天 解锁文章

200万优质内容无限畅学
Writeup】i春秋 Linux Pwn 入门教程_EasyCTF 2017-doubly_dangerous
BAKUMANSEC - Just Do It
08-20 865
Linux pwn入门教程(1)——栈溢出基础 0x01 解题思路 查看文件信息并试运行 ​ 开启了NX,栈上无法执行代码。 拖入IDA 32bits,F5查看 ​ main 显然存在栈溢出漏洞,目前存在两种思路: 覆盖RIP为give_flag地址,执行give_flag函数 覆盖v5的值为11.28125,使其通过判断执行give_flag函数 通过尝试发现,按...
CTFshow-PWN入门-Test_your_nc详解
weixin_63576152的博客
07-29 1745
本文主要详解CTFshow中pwn入门第一块内容Test_your_nc的五道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope以下操作中小编用的都是自己的kali环境(小编的轻薄本已经容不提供的专用虚拟机了QAQ)
i春秋linux-pwn入门教程
Sakura给爷pwn全场
12-03 428
https://www.cnblogs.com/ichunqiu/p/11583552.html
(已弃坑,请看i春秋月刊 Linux pwn入门,地址见文章)鬼哥手把手带你入门栈溢出(0):了解基本原理
su1yu4n's Blog
01-13 608
目录 基础知识准备 汇编基础 C语言 gdb-peda调试 -------------------------正文从这里开始------------------------- 了解函数的栈帧布局、调用及返回过程 编码 调试(可跳过看总结,建议自行调试加深理解) 总结 栈溢出原理 基础知识准备 汇编基础 首先要对汇编有一定基础,下面的,尤其加粗部分必须懂(其他的遇到了...
i春秋上的几道pwn
sopora的博客
06-17 1870
01.pwnme-50: Tag: fmtstr任意读 / 整型溢出 / ret2csu_init #encoding:utf-8 from pwn import * #context.log_level = 'debug' def leak(addr): io.sendafter('>', '2') io.sendafter('username...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
ASIS-CTF-Finals-2017 pwn Mary_Morton Writeup
qq_39596232的博客
09-03 713
题目描述: ASIS-CTF-Finals-2017 非常简单的热身pwn 分析思路: 1、首先查看文件的安全信息: tucker@ubuntu:~/xman/pwn$ file Mary_Morton Mary_Morton: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interp...
i春秋答题欢乐赛3 pwn
doudoudedi
12-02 328
emem确实很欢乐的 第一个题是直接布置shellcode然后跳过去执行即可 from pwn import * local=0 if local==1: p=process('./2') elf=ELF('./2') else: p=remote('120.55.43.255',11002) elf=ELF('./2') def exp(): p.recvuntil('ID:') ...
i春秋2020新春战役PWN之BFnote (修改TLS结构来bypass canary)
seaaseesa的博客
02-24 2446
BFnote 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 一开始处,有一个栈溢出漏洞,但是由于开启了canary保护,得想办法绕过canary。下方的堆溢出,不仔细看还发现不了,v4只有一开始被初始化,在循环里,只有i被重新赋值,v4没变,而下方又用到了v4。 这题是可以绕过canary的,这就牵涉到了一个知识点。 在linux下,有一种线程局部存储(Thread ...
CSAW CTF 2016 PWN quals-warmup
Hvnt3r的博客
03-06 2152
CSAW CTF 2016 PWN quals-warmup 原文链接 先对文件有个大致的了解,是64位ELF文件 ☁ csaw ctf 2016 quals-warmup ls exp.py flag.txt readme.txt warmup ☁ csaw ctf 2016 quals-warmup file warmup warmup: ELF 64-bit LSB exec...
i春秋2020新春战役PWN之document(绕过tcache的double free检测)
seaaseesa的博客
02-27 3329
Document 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,经典的增删改查程序 Delete功能没有清空指针,存在UAF漏洞 Create功能的size不可控 UAF无法修改到*heap处的内容,也就是next指针的值 Create功能最多允许创建7个堆 题目给我们的glibc版本为2.29,存在tcache机制,且增加了对tcache dou...
shellcode-Pilot
leeham的博客
08-27 496
shellcode-Pilot 题目描述 CSAW 2017 Quals -pilotwriteup 本人做的是实验吧上边的pilot;和CSAW上边的pilot完全一样。 首先下载文件 file pilot #看到是64bit-elf;一会使用ida64打开 checksec #发现没有开启任何保护; 使用IDA-pro打开后F5热键查看源码,可以看到程序运行流程。...
Writeup】i春秋 Linux Pwn 入门教程_Openctf 2016-apprentice_www
BAKUMANSEC - Just Do It
08-27 427
0x01 解题思路 查看文件基本信息 IDA查看 main setup 调用mprotect函数给.bss、.text、.data等段增加了可读可写可执行权限 butterflySwag   接收两次用户输入,第一次输入v1为一个地址,第二次输入v2为一个整数。之后会把v2的最低一个字节写入到v1指向的内存单元。这样就可以把shellcode写入到任意的可读可执行页。但是由于一...
Linux pwn入门教程,i春秋linux_pwn入门教程复现之栈溢出基础
weixin_35709851的博客
05-02 291
i春秋linux_pwn入门教程复现之栈溢出基础演示进程总览1:main函数2:hello函数3:getShell函数函数的入栈和出栈1:F2断点于call hello启动IDA远程调试F9运行EIP=0x080484D9,保存着下一条将要执行的命令、ESP=0xFF80EA90,保存着栈顶地址、EBP=0xFF80EA98,保存着栈底地址。2:验证EIP始终指向下一条将要执行的命令:修改EIP的...
vulnhub:wpwn靶机
qq_43884092的博客
01-09 387
靶机:192.168.111.145端口扫描目录爆破使用wpscan发现插件存在漏洞。
i春秋冬季赛 -- pwn
最新发布
qq_61670993的博客
01-30 533
2023春秋杯冬季赛 pwn
SUSCTF 2nd Dk Wrtie Up
Dk的博客
04-18 1042
SUSCTF 2ND Dk Wrtie UpWeb1 just do it! 100ptWeb2 有幸参加东南ctf新生赛总结一下web wp Web1 just do it! 100pt just do it! http://211.65.197.117:15000/ 写个python脚本跑一下 import re import time import requests url = "http...
CTF笔记:溢出利用
PwnGuo的博客
05-19 1161
整数溢出 典型整数溢出利用 这个 v3 是一个无符号数,最大只能 255,如果超过的话就会进行 mod 255所以可以传入一个总共是 0x105 的, 这样他的得到的就是 6 是符合长度限制的,从而绕过 if 的检测dest 的大小是 0x11h,加上 ebp 的 0x4h,所以需要在前面填充 0x15h 后门程序 exp: python2 #coding=utf-8 from pwn import * p=remote('node3.buuoj.cn',29748) p.recvuntil("na
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值