pwn05(应对简单栈溢出的常规套路)

简介: pwn05(应对简单栈溢出的常规套路)

一、常规检查(nc、file、checksec)

启动容器我们拿到连接和端口

尝试nc,发现没什么反应(应该是主函数里并没有输出语句)

常规套路性操作,下载附件拖进kali检查(尽管对于这种基础题来说没必要但我们最好还是按照流程走一遍,以后做复杂一些的题这些基本流程还是很重要的,养成好习惯)


使用file和checksec命令进行检查:


注意:那个checksec的使用,--file=文件名,中间不能有空格,否则执行会报错,并且需要先切换到该文件所在目录,否则你需要跟上完整的文件路径才行,不然找不到。

从结果可以看出,并没有开什么保护机制,并且是一个32位程序。

关于上面参数的详细解释可以参考我上一篇博客 http://t.csdn.cn/oT8gb

二、IDA反编译,只找两个东西即可

1、寻找造成栈溢出的函数的地址到ebp的距离

定位main函数,F5反编译

只有一个welcome()函数,双击跟进,找到这个距离是14(ebp减多少就是多少)

这里这个s数组只能存入16个字节,而gets()函数想读多少读多少,就会造成栈溢出

2、 寻找我们所要利用的函数的地址(即我们希望程序最后返回到哪里)

不难发现这里有一个很明显的getFlag函数

就算函数名没有这么明显,也没关系,还有一种方法:

我们使用快捷键shift+F12,去找 /bin/sh

找到之后双击跟进

继续双击getFlag跟进,定位之后F5反编译

得到getFlag函数的伪代码

可以看到,只要让程序最后返回的是getflag函数所在的地址,我们便可通过调用system函数实现命令执行,以此来获取flag。

双击getFlag函数,定位到该函数所在地址:08048486(注意后面写exp脚本时前面要加上0x)

三、编写并运行exp脚本

这种简单的栈溢出脚本都有固定模板

from pwn import *
#p = process("./stack")
p = remote("pwn.challenge.ctf.show",28107) //题目给你的地址和端口
#p.recv() //接收输出,这里没有所以注释掉
payload = b"a"*(0x14+4) + p32(0x08048486) //根据第二步我们找到的东西来填即可
p.send(payload)  //将构造好的payload发送到远程连接的目标端点
p.interactive()  //启动交互式会话,允许用户在本地终端与远程连接进行交互

由于主函数里面没有输出字符串,我们将接受即p.recv()注释掉即可。

如果主函数本身会输出东西,比如下图:

我们就需要对它进行一个接收处理,使用 p.recv()或者p.recvuntil('32bits\n'),使用recvuntil时里面内容改成最后接收的字符串内容。


注意:在距离14前也需要加上0x,至于后面的+4,你只需要记住32位程序+4,64位+8就行,加的其实是ebp(栈底)自己的长度,因为我们除了覆盖前面的距离还需要覆盖掉ebp,让覆盖之后的返回地址刚好等于我们所要利用的函数所在地址,而p32函数里面就是放我们想要跳转的地址,p32只是对这个地址进行转化,给它转换成4个字节序列存储。


我们使用python3来运行exp脚本:

发现flag,直接cat

ctfshow{121e2036-2c07-45bb-8f44-1aab5a35b06d}

目录
相关文章
|
10月前
|
C语言
【数据结构】栈和队列(c语言实现)(附源码)
本文介绍了栈和队列两种数据结构。栈是一种只能在一端进行插入和删除操作的线性表,遵循“先进后出”原则;队列则在一端插入、另一端删除,遵循“先进先出”原则。文章详细讲解了栈和队列的结构定义、方法声明及实现,并提供了完整的代码示例。栈和队列在实际应用中非常广泛,如二叉树的层序遍历和快速排序的非递归实现等。
866 9
|
10月前
|
存储 算法
非递归实现后序遍历时,如何避免栈溢出?
后序遍历的递归实现和非递归实现各有优缺点,在实际应用中需要根据具体的问题需求、二叉树的特点以及性能和空间的限制等因素来选择合适的实现方式。
217 59
|
3月前
|
编译器 C语言 C++
栈区的非法访问导致的死循环(x64)
这段内容主要分析了一段C语言代码在VS2022中形成死循环的原因,涉及栈区内存布局和数组越界问题。代码中`arr[15]`越界访问,修改了变量`i`的值,导致`for`循环条件始终为真,形成死循环。原因是VS2022栈区从低地址到高地址分配内存,`arr`数组与`i`相邻,`arr[15]`恰好覆盖`i`的地址。而在VS2019中,栈区先分配高地址再分配低地址,因此相同代码表现不同。这说明编译器对栈区内存分配顺序的实现差异会导致程序行为不一致,需避免数组越界以确保代码健壮性。
47 0
栈区的非法访问导致的死循环(x64)
232.用栈实现队列,225. 用队列实现栈
在232题中,通过两个栈(`stIn`和`stOut`)模拟队列的先入先出(FIFO)行为。`push`操作将元素压入`stIn`,`pop`和`peek`操作则通过将`stIn`的元素转移到`stOut`来实现队列的顺序访问。 225题则是利用单个队列(`que`)模拟栈的后入先出(LIFO)特性。通过多次调整队列头部元素的位置,确保弹出顺序符合栈的要求。`top`操作直接返回队列尾部元素,`empty`判断队列是否为空。 两题均仅使用基础数据结构操作,展示了栈与队列之间的转换逻辑。
|
8月前
|
存储 C语言 C++
【C++数据结构——栈与队列】顺序栈的基本运算(头歌实践教学平台习题)【合集】
本关任务:编写一个程序实现顺序栈的基本运算。开始你的任务吧,祝你成功!​ 相关知识 初始化栈 销毁栈 判断栈是否为空 进栈 出栈 取栈顶元素 1.初始化栈 概念:初始化栈是为栈的使用做准备,包括分配内存空间(如果是动态分配)和设置栈的初始状态。栈有顺序栈和链式栈两种常见形式。对于顺序栈,通常需要定义一个数组来存储栈元素,并设置一个变量来记录栈顶位置;对于链式栈,需要定义节点结构,包含数据域和指针域,同时初始化栈顶指针。 示例(顺序栈): 以下是一个简单的顺序栈初始化示例,假设用C语言实现,栈中存储
332 77
|
7月前
|
算法 调度 C++
STL——栈和队列和优先队列
通过以上对栈、队列和优先队列的详细解释和示例,希望能帮助读者更好地理解和应用这些重要的数据结构。
155 11
|
7月前
|
DataX
☀☀☀☀☀☀☀有关栈和队列应用的oj题讲解☼☼☼☼☼☼☼
### 简介 本文介绍了三种数据结构的实现方法:用两个队列实现栈、用两个栈实现队列以及设计循环队列。具体思路如下: 1. **用两个队列实现栈**: - 插入元素时,选择非空队列进行插入。 - 移除栈顶元素时,将非空队列中的元素依次转移到另一个队列,直到只剩下一个元素,然后弹出该元素。 - 判空条件为两个队列均为空。 2. **用两个栈实现队列**: - 插入元素时,选择非空栈进行插入。 - 移除队首元素时,将非空栈中的元素依次转移到另一个栈,再将这些元素重新放回原栈以保持顺序。 - 判空条件为两个栈均为空。
|
8月前
|
存储 C++ 索引
【C++数据结构——栈与队列】环形队列的基本运算(头歌实践教学平台习题)【合集】
【数据结构——栈与队列】环形队列的基本运算(头歌实践教学平台习题)【合集】初始化队列、销毁队列、判断队列是否为空、进队列、出队列等。本关任务:编写一个程序实现环形队列的基本运算。(6)出队列序列:yzopq2*(5)依次进队列元素:opq2*(6)出队列序列:bcdef。(2)依次进队列元素:abc。(5)依次进队列元素:def。(2)依次进队列元素:xyz。开始你的任务吧,祝你成功!(4)出队一个元素a。(4)出队一个元素x。
241 13
【C++数据结构——栈与队列】环形队列的基本运算(头歌实践教学平台习题)【合集】
|
8月前
|
存储 C语言 C++
【C++数据结构——栈与队列】链栈的基本运算(头歌实践教学平台习题)【合集】
本关任务:编写一个程序实现链栈的基本运算。开始你的任务吧,祝你成功!​ 相关知识 初始化栈 销毁栈 判断栈是否为空 进栈 出栈 取栈顶元素 初始化栈 概念:初始化栈是为栈的使用做准备,包括分配内存空间(如果是动态分配)和设置栈的初始状态。栈有顺序栈和链式栈两种常见形式。对于顺序栈,通常需要定义一个数组来存储栈元素,并设置一个变量来记录栈顶位置;对于链式栈,需要定义节点结构,包含数据域和指针域,同时初始化栈顶指针。 示例(顺序栈): 以下是一个简单的顺序栈初始化示例,假设用C语言实现,栈中存储整数,最大
132 9
|
8月前
|
C++
【C++数据结构——栈和队列】括号配对(头歌实践教学平台习题)【合集】
【数据结构——栈和队列】括号配对(头歌实践教学平台习题)【合集】(1)遇到左括号:进栈Push()(2)遇到右括号:若栈顶元素为左括号,则出栈Pop();否则返回false。(3)当遍历表达式结束,且栈为空时,则返回true,否则返回false。本关任务:编写一个程序利用栈判断左、右圆括号是否配对。为了完成本关任务,你需要掌握:栈对括号的处理。(1)遇到左括号:进栈Push()开始你的任务吧,祝你成功!测试输入:(()))
187 7