习题-pwn2

最新推荐文章于 2024-02-03 15:35:17 发布
最新推荐文章于 2024-02-03 15:35:17 发布
阅读量185 收藏
点赞数
分类专栏: CTF-PWN-刷题-XMCVE培训课 文章标签: PWN 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_49959202/article/details/120365356
版权
本文详细介绍了32位程序pwn2的分析过程,包括程序特征检查、栈帧设计和exploit编写。通过file和checksec工具确认程序特性,ida分析发现存在system函数,利用read函数实现栈溢出,设计了栈帧以控制程序执行流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

pwn2

1.程序分析

首先file一下,发现是32位程序:

checksec一下,发现pie关闭:

ida分析程序,发现存在system函数,因此可以到plt内找到system:

分析vulnerable_function(),可以得到需要溢出的长度为0x88 + 4 =136+4 = 140,同时存在read(),可以用来溢出

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3YpmnStC-1631942444595)(https://i.loli.net/2021/07/09/zQCwyVNcSR2dxBG.png)]

2.栈帧设计

因此,栈帧设计如下:

3.exp编写

<
最低0.47元/天 解锁文章
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2628
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
习题-pwn0
m0_49959202的博客
09-18 239
文章目录pwn01.程序分析2.栈帧设计3.exp编写 pwn0 1.程序分析 首先file一下,发现是64位程序: checksec一下,发现没有pie ida分析: 存在read函数,可以栈溢出利用。 同时,发现存在callsystem()函数,可以直接获取shell: 这就和ret2text一样了。 gdb计算需要覆盖的长度为60。 但是因为本机环境是ubuntu20.04,64位程序的system("/bin/sh")需要堆栈平衡 因此加上一个ret:0x00000000004005A5
pwn2own
weixin_34367257的博客
04-04 1156
Pwn2Own是全球最著名的黑客大赛之一,由美国五角大楼入侵防护系统供应商TippingPoint的DVLabs赞助,今年已经是第六届。 1比赛规则 参赛黑客们的目标是4大主流网页浏览器——IE、Firefox、Chrome和Safari,平台是在安装安全更新的Windows 7操作系统下运行,Safari浏览器将在安装苹果Mac OS X 10.6雪豹操作系统下运作,顺利攻破一个主流浏览器便...
PWN-02
2301_79215333的博客
02-03 837
ret2syscall 原理 顾名思义,ret to syscall,就是调用系统函数以达到getshell的目的 在计算中,系统调用是一种编程方式,计算机程序从该程序中向执行其的操作系统内核请求服务。这可能包括与硬件相关的服务(例如,访问硬盘驱动器),创建和执行新进程以及与诸如进程调度之类的集成内核服务进行通信。系统调用提供了进程与操作系统之间的基本接口。 至于系统调用在其中充当什么角色,稍后再看,现在我们要做的是:让程序调用execve(“/bin/sh”,NULL,NULL)函数即可拿到shell 相
pwn2_sctf_2016
z1r0的博客
12-06 778
pwn2_sctf_2016 查看保护 这里的int给转换成了无符号的,输入-1的时候,值会变得很大,整型溢出。ret2libc即可 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25828) else: r = process(file_name)
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
习题--pwn3
m0_49959202的博客
09-20 1166
文章目录pwn31.程序分析2.栈帧设计3.exp编写 pwn3 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现pie没开: ldd一下,找到使用的动态链接库: ida分析,发现存在函数vulnerable_function(),可以用来栈溢出 题目给出了一个.so文件,那么只需要泄露got表内容,就可以得到system()函数的真实地址。bin_sh字符串也可以到libc里面寻找。 发现write()函数在read()函数前被调用,因此可以使用write()将writ
CTF-PWN练习之通用跳转技术
ChuMeng1999的博客
01-06 2412
目录预备知识一、相关实验二、strdup函数三、grep命令实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之绕过返回地址限制》。 二、strdup函数 strdup可以用于复制一个字符串,我们通常使用字符串时会使用strcpy,这要求已经定义好了一个接收缓冲区。而strdup只接受一个参数,也就是要复制的字符串的地址,strdup()会先用malloc()配置与参数字符串相同大小的的空间,然后
英招杯 pwn2(ret2shellcode)
qq_53928256的博客
11-16 424
由于程序运行时,即输出了输入值s的存放首地址,我们输入的首地址与shellcode之间的距离是0x3c-0x28=0x14,故只需返回s的首地址加上0x14即可;我们分析main函数的时候可以看到栈中的s距离rbp还有一段距离,且程序的NX保护未开启,我们可以考虑写入shellcode在栈中执行。根据图中与rbp的偏移,我们相对比较容易的出var_30对应的变量为v5,var_8对应的变量为v10。在网上我们可以查到相对较短的syscall系统调用的shellcode为23字节,满足我们所需的要求。
180509 Pwn-ISCC(Pwn2
whklhhhh的博客
05-25 928
写作Pwn3读作Pwn2 23333 打开pwn3反编译,发现菜单,很明显是堆的题目了 看了一下在free的时候没有清空指针,造成野指针 以我浅薄的知识猜想是double free吧 参考ctf-wiki的fastbin-attack 主要漏洞在于通过fastbin管理堆的情况下,在free时仅会检查链表头部(即main_arena指向)的chunk 第一次释放free(chun...
pwn(2)-栈溢出下
qq_73667990的博客
06-08 1469
只要我们通过特定的汇编代码把特定的寄存器设定为特定的值后,在调用int 80h执行sys_execve(“/bin/sh”,NULL,NULL)就可以获得shell了;64位程序传递参数不是直接通过栈,而是前六个参数通过寄存器,分别是RDI,RSI,RDX,RCX,R8,R9。不同内核态操作通过给寄存器设置不同的值,在调用指令int 80h,就可以通知内核完成不同的功能。2.ebx设为"/bin/sh"字符串的地址。2.RDI设为"/bin/sh"字符串的地址,RDI=&(“/bin/sh”)
BUUCTF pwn2_sctf2016
红叶的博客
11-01 588
本题难点:绕过字符串大小限制以及是否掌握了ret2libc。
pwn2第二关
qq_18823653的博客
03-29 391
在这一关中,没有可以直接利用的system()函数让我们直接调用了。我们可以学习使用系统调用来进行操作。 首先看一下保护情况,只开了NX, 同样是get()存在溢出 syscall的函数调用规范为execve("/bin/sh",0,0) 汇编语句如下 pop ax # 系统调用号载入, execve为0xb pop bx #/bin/sh pop cx #0 pop dx ...
[BMZCTF-pwn] 24-pwn2
weixin_52640415的博客
02-16 242
第二题是个栈溢出的题,也属于白送的那种,程序直接调用check在check里向48字节的空间写入0x400,导致栈溢出。而且没有canary没开pie这样就能直接通过溢出 int check() { char buf[48]; // [rsp+0h] [rbp-30h] BYREF read(0, buf, 0x400uLL); return strcmp(buf, "21232F297A57A5A743894A0E4A801FC3"); } 思路就是先通过溢出调用puts(got[pu
BUUCTF pwn——pwn2_sctf_2016
CNS-Enterprise BCC-1701-J
04-18 454
BUUCTF 做题练习
【CTF】pwn2_sctf_2016
凉水的博客
07-16 1062
pwn2_sctf_2016
pwn之cgpwn2
qq_43430261的博客
10-22 777
https://blog.youkuaiyun.com/qq_43986365/article/details/94974853 https://blog.youkuaiyun.com/Closing_time/article/details/100428850 https://www.jianshu.com/p/3d19056282bf https://bbs.pediy.com/thread-254851.htm ...
2022 网信柏鹭杯 pwn2 note2
z1r0的博客
09-17 724
2.34之后取消了malloc,free hook这两个在堆pwn中用的最多的hook,roderick师傅分享的house of apple学习了一下,是一个非常好用的调用链,包括house of emma, house of kiwi, house of banana, house of pig, house of cat都是极好的调用链,前天的网信柏鹭杯里的pwn22.35的,笔者学完apple之后这里拿的2.34做的,只需要改偏移就可以打通2.35的。
buuctf-pwn入门
最新发布
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote('example.com', 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b'A' * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值