CTFshow-PWN-栈溢出(pwn67-pwn68)nop sled 空操作雪橇-对抗栈帧地址随机化

最新推荐文章于 2025-07-29 20:47:12 发布
最新推荐文章于 2025-07-29 20:47:12 发布
阅读量126 收藏 1
点赞数 9
CC 4.0 BY-SA版权
分类专栏: PWN67 文章标签: CTF 安全 pwn shellcode 栈帧 sled
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Myon5/article/details/149612266

目录

1、解题思路

2、画栈帧计算偏移

3、nop sled 介绍

4、关于 scanf 读入 v5 地址的位置放在哪里

5、关于填充 nop 指令的长度

6、32 位 exp(pwn67)

7、对于 64 位(pwn68)

1、解题思路

32 位程序,未开启 NX 保护 

主函数如下:

第一次 fgets 可以将 shellcode 写到 seed;

第二次 scanf 读入一个地址给 v5,那么我们再将 seed 的地址给它,后面就可以直接执行 shellcode。

问题在于如何获取 seed 的地址

在此之前会打印出 position 的地址

position 来自 query_position 函数的返回值

我们跟进 query_position 函数

了解本专栏 订阅专栏 解锁全文 超级会员免费看
CTFshow-PWN-栈溢出pwn65 详细版)
Welcome To Myon'Blog !
07-14 1259
摘要:该64位程序存在PIE保护,包含RWX段,通过read读取用户输入作为shellcode执行。程序会对输入字符进行严格检查,仅允许大小写字母、数字及部分符号(ASCII 48-90)。利用alpha3工具将原始shellcode编码为符合要求的ASCII字符,通过rax寄存器执行。最终成功获取flag:ctfshow{944db499-0c4a-4894-a0a5-3f7aeccec7de}。关键点包括字符过滤机制分析和alpha3编码技术的应用。
CTFshow-PWN-栈溢出pwn50)
Welcome To Myon'Blog !
06-10 185
摘要:本文描述了一个64位程序的ROP攻击过程。通过gets函数溢出,利用ret2libc技术,先使用puts函数泄露真实地址,找到gadgets(pop rdi;ret和ret指令)。攻击分两步:首先构造payload泄露puts函数地址,计算libc基址;然后组合system和/bin_sh地址实施攻击,最终成功获取flag(ctfshow{11ba423c-006e-429f-9ebd-9fb219f3611f})。整个过程涉及动态链接库地址计算和ROP链构造技术。
CTFshow-pwn入门-栈溢出 (慢慢更
akdelt的博客
01-31 3858
当应用程序试图对无权访问的内存地址进行读写操作时,会调用 sigsegv_handler 函数,sigsegv_handler 函数 会把stderr打印输出,即将flag的值打印输出那么我们直接输入超长数据就会溢出,程序就会崩溃进而打印出flag。char dest;该函数无法限制输入的长度,可能会超出s数组的容量,导致覆盖上的其他数据或执行任意代码。这也是明显的栈溢出漏洞,且提供后门函数 get_flag()不可执行,不过有后门函数,跟进 ctfshow 函数,read 可以读取 50 个字节。
ctfshow-PWN入门-pwn68
GScloud41的博客
09-18 817
通过官方wp捋顺了思路,参考了大佬的wp进一步学习,写自己的wp。
ctfshow做题笔记—栈溢出pwn65~pwn68
Yilanchia的博客
03-09 761
首先这道题并没有开启NX,我们任然可以注入shellcode,但是我们拟在 var_1010 中写入shellcode地址并执行,因为程序最后读取了一个地址然后执行,这里可以执行shellcode,但是shellcode的参数写在哪里呢,似乎seed是个不错的选则,但是seed的准确地址我们无从得知,所以这个滑坡可以起到很大的作用,特别注意下面的类似的代码,cdqe 是一条指令,它的作用是将 32 位寄存器 EAX 的值扩展到 64 位寄存器 RAX 中。3是一个定值,就是v2的地址到seed的距离。
ctfshowpwn 45 -> 90(已更新33)栈溢出
2302_77659150的博客
10-20 2305
ctfshow pwn题的最新(2024)可用代码
pwn 栈溢出入门
sea_time的博客
12-02 875
简介 在计算机安全领域,缓冲区溢出是个古老而经典的话题。众所周知,计算机程序的运行依赖于函数调用栈溢出是指在内写入超出长度限制的数据,从而破坏程序运行甚至获得系统控制权的攻击手段。本文将以32位x86架构下的程序为例讲解栈溢出的技术详情。 为了实现栈溢出,要满足两个条件。第一,程序要有向内写入数据的行为;第二,程序并不限制写入数据的长度。历史上第一例被广泛注意的“莫里斯蠕虫”病毒就是利用C...
driftingblues9 - 溢出ASLR(内存地址随机化机制)
书山有路勤为径,学海无涯苦作舟
06-18 1590
ASLR是一种针对缓冲区溢出的安全保护技术,通过对堆、、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的。之后,我检查了 esp 寄存器,并由于小端字节序而用相反顺序的esp地址(由于此时esp地址存储的是下一跳地址,所以还有一种方法二,这个地址话可以填成jmp esp指令的地址(但是,目标上的 ASLR 已启用,如果没有 root 权限,我们无法禁用它。在windows中使用此技术后,杀死进程后重新开启,地址不换,重启才会改变。
PWN栈溢出
u012173720的博客
11-21 1676
Shellcode --修改返回地址,让其指向溢出数据中的一段指令 根据上面副标题的说明,要完成的任务包括:在溢出数据内包含一段攻击指令,用攻击指令的起始地址覆盖掉返回地址。攻击指令一般都是用来打开 shell,从而可以获得当前进程的控制权,所以这类指令片段也被成为“shellcode”。shellcode 可以用汇编语言来写再转成对应的机器码,也可以上网搜索直接复制粘贴,这里就不再赘述。下面...
PWN入门
z190814412的博客
01-02 1852
调用函数入顺序 调用的参数、函数返回地址(eip)、调用函数的基地址(ebp)、局部变量 技术分类 修改返回地址,让其指向溢出数据中的一段指令(shellcode) 修改返回地址,让其指向内存中已有的某个函数(return2libc) 修改返回地址,让其指向内存中已有的一段指令(ROP) 修改某个被调用函数的地址,让其指向另一个函数(hijack GOT) Shellcode payload :...
PWN入门第一节(缓冲区溢出之栈溢出上篇)
xiaobai的博客
06-23 880
0x10 本期简介 在计算机安全领域,缓冲区溢出是个古老而经典的话题。众所周知,计算机程序的运行依赖于函数调用栈溢出是指在内写入超出长度限制的数据,从而破坏程序运行甚至获得系统控制权的攻击手段。本文将以32位x86架构下的程序为例讲解栈溢出的技术详情。 为了实现栈溢出,要满足两个条件。第一,程序要有向内写入数据的行为;第二,程序并不限制写入数据的长度。历史上第一例被广泛注意的“莫里斯蠕虫”病毒就是利用C语言标准库的 gets() 函数并未限制输入数据长度的漏洞,从而实现了栈溢出。 Fig 1. 波士
CTFSHOW-PWN入门-栈溢出(35-42)
2402_84585385的博客
10-09 1027
发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x80487BA。发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x400872。ctfshow函数中的,v1大小为14,而read函数读取大小为50,所以read函数存在栈溢出,使用cyclic计算偏移量为22。ctfshow函数中的read函数存在栈溢出,cyclic计算偏移量为18。
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1627
本文主要详解CTFshowpwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
去中心化时代的通信革命:briefing与cpolar技术融合带来的安全范式革新
qq_62662919的博客
07-26 983
摘要:本文介绍如何在Linux Ubuntu系统使用Docker本地部署开源视频会议系统briefing,并通过cpolar内网穿透实现远程访问。briefing具有端到端加密、多因素认证等安全特性,支持高清视频通话和屏幕共享。Docker部署仅需一条命令即可完成,cpolar工具可创建公网地址实现异地访问。文章详细讲解了从Docker安装、briefing部署到cpolar配置的全过程,并提供了固定域名的方法,帮助用户无需公网IP即可搭建私有视频会议系统,兼顾安全性与便捷性。
安全漏洞】网络守门员:深入理解与应用iptables,守护Linux服务器安全
07-26 1259
Linux中iptables的深入理解与应用
【资讯】2025年软件行业发展趋势:AI驱动变革,云原生与安全成核心
weixin_56334307的博客
07-26 1144
2025年的软件行业正经历AI驱动的生产力革命,云原生与安全成为企业核心竞争力,低代码重塑IT人才结构,开源生态在争议中探索新商业模式。拥抱技术变革并建立敏捷响应机制的企业,将在这场数字化转型浪潮中占据先机。
智能Agent场景实战指南 Day 23 : Agent安全与隐私保护
最新发布
在未来等你的专栏
07-29 678
智能Agent处理的数据通常包含用户个人信息、商业机密等敏感内容。安全漏洞可能导致数据泄露、模型被攻击等严重后果。保护用户隐私数据不被泄露防止模型被恶意输入攻击(如Prompt Injection)确保API调用的认证和授权安全满足GDPR等合规要求智能Agent安全防护的四个关键层面:数据、模型、API、隐私防Prompt注入的多种技术组合差分隐私在数据收集中的应用医疗等敏感行业的特殊处理要求。
飞行控制领军者 | 边界智控携高安全级飞控系统亮相2025深圳eVTOL展
Spey_Events的博客
07-25 893
目前,边界智控在团队、产品、技术、业务及融资等各方面均实现了业内领先。2025 深圳eVTOL展的举办,为全球eVTOL产业链搭建了高规格、国际化的交流合作平台,全面多维地彰显了参展企业的卓越实力与行业引领地位,更为推动 eVTOL产业向高质量、规范化、规模化方向发展提供了有力支撑,对引领低空经济未来发展具有重要意义。作为eVTOL飞行控制领域的核心赋能者,边界科技将借此国际平台,全面展示其在核心技术领域的最新突破,与全球业界同仁深入交流前沿理念,共同探讨飞控系统对于推动eVTOL产业发展的核心驱动作用。
2025数字藏品安全保卫战:高防CDN如何成为NFT应用的“隐形护甲”?
2403_86962125的博客
07-29 1063
2025年全球数字藏品市场突破$1000亿,但安全事件同步激增230%——某头部NFT平台因3.2Tbps DDoS攻击瘫痪,用户无法交易稀有藏品;:当藏品价值飙升时,攻击者早已举起屠刀——唯有前置防御,方能守护数字资产的价值根基!:某平台遭1.8Tbps UDP反射攻击,支付接口瘫痪3小时,用户资产无法转移。:某数字藏品平台接入后成功抵御800Gbps混合攻击,拍卖会0中断。:伪造海量API请求(如查询藏品详情),耗尽服务器连接池。:某平台未支持QUIC协议,海外用户加载延迟>5秒。
CTFSHOW-PWN入门 pwn5
01-10
经过初步审查后得知此题存在栈溢出的可能性。当输入长度超过缓冲区大小时未作适当检查便直接复制到固定空间内,这使得攻击者能够覆盖返回地址从而控制EIP寄存器指向任意位置执行恶意代码片段[^2]。 #### 利用技巧 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

My6n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值