栈溢出-pwn

最新推荐文章于 2025-07-14 17:16:07 发布
最新推荐文章于 2025-07-14 17:16:07 发布
阅读量626 收藏 6
点赞数
CC 4.0 BY-SA版权
分类专栏: pwn_study
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44642009/article/details/88412439

栈溢出-pwn

目的

能够粗略的看懂汇编代码,学会使用一些pwn入门工具!

学习过程

打开命名为pwn的可执行文件,将其用IDA静态调试器打开
在这里插入图片描述

简易进行相关汇编代码的分析,基本了解栈的结构
按F5对汇编代码进行反汇编,得到源代码

在这里插入图片描述
对setvbuf代码进行简单学习,也算是增长新知识,如下:
功 能: 把缓冲区与流相关;
用 法: int setvbuf(FILE *stream, char *buf, int type, unsigned size);
参数:stream:指向流的指针;buf:期望缓冲区的地址;type:期望缓冲区的类型;size : 缓冲区内字节的数量。
根据源代码也可知程序的相关内容,比如设置缓冲区,输出内容等。
开辟的buf缓存区共0x64个字节,但read最多可以读0x100个字节,那么就会造成缓存区溢出,我们就可以加以利用,将栈中ret地址覆盖。
接下来,根据pwn一些题目的设置,找到getflag函数:

在这里插入图片描述

其中cat flag在终端可以理解为获取旗的内容。
接下来我们将对其进行动态调试,拖入Ubuntu Unix
在终端中执行./pwn,发现可以输入,便随机输入123456,回车

在这里插入图片描述

输入gdb pwn 进行动态调试:

在这里插入图片描述

在主函数mai处加入断点,并运行:

在这里插入图片描述

n指令,单步运行,直到执行到read输入处

在这里插入图片描述

此时我们需要求输入函数相对于ebp的偏移量,这样才能根据相对位置找出函数位置距返回寄存器ret的长度,从而输入无关参数覆盖到ret处,并将我们需要的函数地址覆盖掉ret寄存器里的地址,达到取得系统权限的目的。
计算偏移量的大小共有两种,一种是直接计算,一种是输入多于buffer大小的参数,让系统报错,报出出现错误的地址,即可。在这里我们采用第一种方法:
由上图可知,此时目标地址为esp+0x1c,寄存器esp中值为0xffffcf90,ebp值为0xffffd018,根据栈结构,ret=ebp+0x4,故ret地址为0xffffd1c,故其偏移量为0x70(十六进制)=112(十进制),即我们需要输入112个无关参数进行覆盖。
再次打开IDA静态调试器,找到getflag函数的起始地址,作为我们覆盖ret的地址:

在这里插入图片描述

在pwn所在文件下输入脚本:

在这里插入图片描述

当然,在这个脚本中,ELF所在该行代码并不是必须的,他只是以二进制的格式打开文档,删除该句并运行脚本效果不会变化。
接着在终端运行脚本,覆盖掉ret地址,获取系统权限:

在这里插入图片描述

此时由于是本地的练习,flag是并不存在的,所以我们在pwn所在文件下创建一个文档作为flag,由于函数名为cat f1ag,故文档名为f1ag:

在这里插入图片描述

再次运行脚本,得到flag的内容:

在这里插入图片描述

此时便算是简单完成栈溢出的小练习。

CTFshow-PWN-栈溢出pwn49)两种方法+动调分析
Welcome To Myon'Blog !
06-09 1325
执行后,可以看到 0x80da000 往后部分为可读可写可执行权限。看似开了 canary 保护,实际没有,是 checksec 版本太老了,检测到 __stack_chk_fail 函数就算开了。看似和上一题一模一样,但是细心的小朋友应该注意到了,左边多出了很多函数,说明这个程序是静态链接的,静态链接就意味着没法去打 ret2libc了,还是无 system 无 /bin/sh,考虑打 ret2syscall。
PWN入门系列(2)栈溢出
小心信科理化声
12-02 1668
PWN入门系列(2) 栈溢出 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(覆盖)。是一种特定的缓冲区溢出漏洞,类似的还有heap、bss溢出等。其前提是: · 程序必须向栈上写入数据 程序对某个函数或者某个模块的输入数据的大小没有控制得当。 基本示例 举个简单的例子: #include <stdio.h> #include <string.h> void success() { puts("You Hava
PWN入门--栈溢出
yjh_fnu_ltn的博客
05-07 1742
将原main函数的ebp值栈低入栈保存,再为ebp换上新的esp寄存器值,作为访问fun函数局部变量等的基址。最后退出fun函数,需要将原ebp的值恢复,关闭并销毁fun函数的栈帧:通常使用与生成栈帧相反的指令。最后,在main函数中删除栈(在调用者还是在被调用者中清除栈,取决于函数的调用规定)。这次从栈的角度详细,计算垃圾数据填充大小时多少,system函数的参数如何传递的问题。后面看到盗用fun函数的过程,使用栈完成传参,此时还没有进入到fun函数,所以其。,在栈溢出的漏洞中,我们经常要用我们。
PWN入门学习之简单的栈溢出
2301_80718478的博客
06-28 1459
栈溢出PWN的一种最简单的漏洞,其最核心的点就是,程序在读取用户输入的时候没有对输入内容进行检测与限制,从而导致输入的数据写入内存时挤占了其它不属于该变量的内存位置,从而导致重要寄存器(如RBP、RIP)中记录的地址被破坏,导致函数执行完返回时发生错误(找不到这样一个地址),即发生段错误(Segment fault)。但是同时,我们可以利用改写RBP、RIP寄存器值的这一特性,将程序跳转至我们期望的地方去。
PWN栈溢出
u012173720的博客
11-21 611
Return2libc --修改返回地址,让其指向内存中已有的某个函数 根据上面副标题的说明,要完成的任务包括:在内存中确定某个函数的地址,并用其覆盖掉返回地址。由于 libc 动态链接库中的函数被广泛使用,所以有很大概率可以在内存中找到该动态库。同时由于该库包含了一些系统级的函数(例如 system() 等),所以通常使用这些系统级函数来获得当前进程的控制权。鉴于要执行的函数可能需要参数,比...
CTFshow-PWN-栈溢出pwn65 详细版)
最新发布
Welcome To Myon'Blog !
07-14 1276
摘要:该64位程序存在PIE保护,包含RWX段,通过read读取用户输入作为shellcode执行。程序会对输入字符进行严格检查,仅允许大小写字母、数字及部分符号(ASCII 48-90)。利用alpha3工具将原始shellcode编码为符合要求的ASCII字符,通过rax寄存器执行。最终成功获取flag:ctfshow{944db499-0c4a-4894-a0a5-3f7aeccec7de}。关键点包括字符过滤机制分析和alpha3编码技术的应用。
CTFshow-PWN-栈溢出pwn46)
Welcome To Myon'Blog !
06-09 240
摘要:本文介绍了CTF比赛中一个栈溢出漏洞的利用过程。通过puts函数泄露真实地址,使用ret2libc技术计算偏移,最终获取shell。利用脚本包含两个payload:第一个泄露puts地址并计算libc基址,第二个调用system("/bin/sh")。成功获取flag:ctfshow{d495bd39-34c0-49a5-bbfa-e0468786ccdb}。文中展示了完整的Python PWN工具利用代码。
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1637
本文主要详解CTFshow中pwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
CTFshow-PWN-栈溢出pwn56-pwn59)
Welcome To Myon'Blog !
06-14 268
pwn56和pwn57分别是32位和64位系统调用execve("/bin/sh")的shellcode题,可直接交互获取shell。pwn58和pwn59为栈溢出题目,由于未开启NX保护,可以在栈上执行shellcode。解题方法是:通过gets函数输入shellcode,控制流跳转到栈上执行恶意代码。文章提供了32位(pwn58)和64位(pwn59)两种环境的Python利用脚本,使用pwntools生成shellcode并发送,最终获得flag。关键点在于识别可执行栈漏洞和编写对应的shellcod
Delphi测试缓冲区溢出 堆栈溢出.rar
07-10
Delphi测试缓冲区溢出 堆栈溢出,本程序用于堆栈溢出测试,超出6个字符的话则溢出。作者:曾繁威 于重庆学习作。输入“aaaaaaaaaaL$E”,可以溢出执行“溢出执行”按钮的代码。
PWN入门之栈溢出
cyy001128的博客
12-13 1106
看了很多博客,自己总结下来就是以下几点:1.栈是用来存放局部变量的,例如函数的参数,返回地址,局部变量等,然后由系统自动分配释放2.在C语言中,将数据压入栈中用的是push,将数据弹出用的是pop3.先入栈的数据是在底部的,后入栈的数据在顶部,而去数据的时候又是从顶部开始的,总的来说 就是先进的后出,后进的先出4.递归调用用的是栈作为缓冲区。
PWN的知识之栈溢出
2301_80217770的博客
01-04 743
PWN的必备知识之栈溢出,一文带你读懂栈溢出
PWN入门(2)栈溢出基础
农夫果园好好喝的博客
06-29 928
PWN栈溢出基础。
linux 主进程栈溢出,[pwn] Linux栈溢出入门
weixin_39683858的博客
05-01 172
做题入门=。=菜呀,学习level-0aris教我checksec一下看是啥文件-w59232位的打开32位的ida主程序-w657ebp是栈底指针 esp是栈顶指针好奇为啥栈底指针在最高的地方aris说是为了最大化利用空间(懵逼)学习一下栈的知识只要覆盖0x44个字节把 v5覆盖了就行# coding=utf8from pwn import *context.log_level = 'debug...
Pwn基础学习1-[栈溢出]/篇1
m0_52343643的博客
03-14 7585
是缓冲区溢出的一种,当缓冲区数据大于缓冲区大小时,缓冲区之外的有用数据就会被多出去的缓冲区数据覆盖改写,从而可能导致程序崩溃。
PWN基础之函数调用栈和栈溢出
weixin_46132162的博客
12-28 1686
在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大。接下来vulnerable_function()函数会调用read()函数,这个时候vulnerable_function()函数为主调函数(caller function)read()函数为被调函数(callee function)read()函数 是有参数的,我们来看一看有参数的函数在函数调用栈是什么样的。
pwn(基础的栈溢出-上)
2302_80935968的博客
05-16 1340
编译器使用堆栈传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量栈的特点:后进先出的数据结构,栈的结构是从进程高地址向进程低地址生长这里说一下寄存器:寄存器是处理器加工数据或运行程序的重要载体,用于存放程序执行中用到的数据和指令。因此函数调用栈的实现与处理器寄存器组密切相关。最初的8086中寄存器是16位,每个都有特殊用途,寄存器名城反映其不同用途。由于IA32平台采用平面寻址模式,对特殊寄存器的需求大大降低,但由于历史原因,这些寄存器名称被保留下来。
pwn栈溢出
03-08
### PWN 栈溢出漏洞利用教程 #### 概述 栈溢出是一种常见的软件安全漏洞,通常发生在程序试图将过多的数据放入堆栈上的缓冲区时。当这种情况发生时,额外的数据会覆盖相邻内存区域的内容,可能导致程序行为异常甚至...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值