1. 理解题目背景与核心挑战最近在CTFshow的PWN题目中遇到一道有趣的栈溢出题pwn43题目给出了system函数的地址但程序里找不到现成的/bin/sh字符串。这种场景在实际CTF比赛中很常见我们需要通过分析内存布局找到可写入的缓冲区然后构造完整的攻击链。这道题的特殊之处在于传统的直接调用system(/bin/sh)的方法行不通了。我们需要分两步走首先找到合适的内存地址写入/bin/sh然后精心构造ROP链让程序执行system函数时能正确找到这个字符串。这涉及到对程序内存布局的深入理解和gets函数特性的灵活运用。2. 漏洞分析与关键发现用IDA反编译程序后发现ctfshow函数里定义了一个104字节的字符数组s使用gets函数读取输入。gets函数不会检查输入长度这就给了我们栈溢出的机会。更重要的是我们发现程序中有system函数的地址0x8048450但缺少/bin/sh字符串。通过gdb调试使用vmmap命令查看内存映射情况发现0x804b000到0x804c000这段内存是可读写的rw-p。在这段内存中找到了一个buf2变量地址是0x804B060。这个发现很关键因为它给了我们一个可控的写入位置。gets函数的地址0x8048420也很重要因为我们需要用它来向buf2写入/bin/sh。这样整个攻击思路就清晰了先用gets把/bin/sh写入buf2然后调用system函数时把buf2地址作为参数传递。3. 内存布局与权限分析理解内存布局是PWN题的关键。通过vmmap命令我们可以看到内存段的详细权限信息rw-p表示可读可写但不可执行1000和2000表示内存区域大小/home/ctfshow/...表示内存映射来源在0x804b000到0x804c000这段可读写内存中buf2的地址0x804B060正好位于其中。这意味着我们可以安全地向这个地址写入数据而不会触发内存保护机制。这种分析能力在解决实际PWN题时非常重要。4. 构造ROP攻击链现在我们需要构造一个完整的ROP链来实现攻击。具体思路是先用栈溢出覆盖返回地址跳转到gets函数让gets函数把/bin/sh写入buf2然后返回到system函数并把buf2地址作为参数对应的payload结构应该是[填充数据][gets地址][system地址][buf2地址][buf2地址]第一个buf2地址是gets函数的参数告诉它往哪里写第二个buf2地址是system函数的参数告诉它从哪里读取命令。这种双重参数的设计是这道题的精髓所在。5. 编写完整exp代码基于以上分析我们可以写出完整的攻击代码from pwn import * context.log_level debug p remote(pwn.challenge.ctf.show, 28227) offset 0x6C 4 # 计算填充长度 system_addr 0x8048450 buf2_addr 0x804B060 gets_addr 0x8048420 payload ba*offset p32(gets_addr) p32(system_addr) p32(buf2_addr) p32(buf2_addr) p.sendline(payload) p.sendline(/bin/sh) p.interactive()这段代码首先计算需要填充的长度然后构造包含gets和system函数地址的payload。发送payload后再发送/bin/sh字符串让gets函数写入指定位置最后获取交互式shell。6. payload结构详解让我们深入分析payload的构造原理ba*offset填充数据覆盖栈空间直到返回地址p32(gets_addr)覆盖返回地址为gets函数p32(system_addr)gets函数执行后的返回地址第一个p32(buf2_addr)gets函数的参数指定写入位置第二个p32(buf2_addr)system函数的参数指定命令字符串位置这种构造方式巧妙地利用了函数调用约定和栈布局。当gets函数执行时它会从标准输入读取数据写入buf2_addr执行完毕后程序会返回到system_addr并把栈上的下一个值也就是buf2_addr作为参数。7. 实际攻击过程与调试技巧在实际攻击过程中有几个调试技巧很实用使用gdb调试时可以在关键函数处设置断点观察栈变化使用cyclic工具确定准确的偏移量在发送payload前可以先本地测试确保逻辑正确遇到问题时可以分段测试payload逐步验证每个部分的效果这道题的一个常见错误是忘记发送/bin/sh字符串。记住gets函数需要两次输入第一次是payload第二次才是实际要写入的字符串。8. 防御措施与进阶思考虽然我们成功利用了漏洞但从防御角度也值得思考使用更安全的函数替代gets启用栈保护机制如canary限制内存段的执行权限NX地址随机化ASLR对于想进一步学习的同学可以尝试以下变种题目当system函数不可用时如何通过其他方式获取shell在64位程序中的类似利用方式存在部分限制时的绕过技巧在实际CTF比赛中这种缺胳膊少腿的题目很常见培养的就是这种灵活思考和综合利用能力。
CTFshow-PWN-栈溢出实战:无/bin/sh的system调用构造
发布时间:2026/5/19 19:28:14
1. 理解题目背景与核心挑战最近在CTFshow的PWN题目中遇到一道有趣的栈溢出题pwn43题目给出了system函数的地址但程序里找不到现成的/bin/sh字符串。这种场景在实际CTF比赛中很常见我们需要通过分析内存布局找到可写入的缓冲区然后构造完整的攻击链。这道题的特殊之处在于传统的直接调用system(/bin/sh)的方法行不通了。我们需要分两步走首先找到合适的内存地址写入/bin/sh然后精心构造ROP链让程序执行system函数时能正确找到这个字符串。这涉及到对程序内存布局的深入理解和gets函数特性的灵活运用。2. 漏洞分析与关键发现用IDA反编译程序后发现ctfshow函数里定义了一个104字节的字符数组s使用gets函数读取输入。gets函数不会检查输入长度这就给了我们栈溢出的机会。更重要的是我们发现程序中有system函数的地址0x8048450但缺少/bin/sh字符串。通过gdb调试使用vmmap命令查看内存映射情况发现0x804b000到0x804c000这段内存是可读写的rw-p。在这段内存中找到了一个buf2变量地址是0x804B060。这个发现很关键因为它给了我们一个可控的写入位置。gets函数的地址0x8048420也很重要因为我们需要用它来向buf2写入/bin/sh。这样整个攻击思路就清晰了先用gets把/bin/sh写入buf2然后调用system函数时把buf2地址作为参数传递。3. 内存布局与权限分析理解内存布局是PWN题的关键。通过vmmap命令我们可以看到内存段的详细权限信息rw-p表示可读可写但不可执行1000和2000表示内存区域大小/home/ctfshow/...表示内存映射来源在0x804b000到0x804c000这段可读写内存中buf2的地址0x804B060正好位于其中。这意味着我们可以安全地向这个地址写入数据而不会触发内存保护机制。这种分析能力在解决实际PWN题时非常重要。4. 构造ROP攻击链现在我们需要构造一个完整的ROP链来实现攻击。具体思路是先用栈溢出覆盖返回地址跳转到gets函数让gets函数把/bin/sh写入buf2然后返回到system函数并把buf2地址作为参数对应的payload结构应该是[填充数据][gets地址][system地址][buf2地址][buf2地址]第一个buf2地址是gets函数的参数告诉它往哪里写第二个buf2地址是system函数的参数告诉它从哪里读取命令。这种双重参数的设计是这道题的精髓所在。5. 编写完整exp代码基于以上分析我们可以写出完整的攻击代码from pwn import * context.log_level debug p remote(pwn.challenge.ctf.show, 28227) offset 0x6C 4 # 计算填充长度 system_addr 0x8048450 buf2_addr 0x804B060 gets_addr 0x8048420 payload ba*offset p32(gets_addr) p32(system_addr) p32(buf2_addr) p32(buf2_addr) p.sendline(payload) p.sendline(/bin/sh) p.interactive()这段代码首先计算需要填充的长度然后构造包含gets和system函数地址的payload。发送payload后再发送/bin/sh字符串让gets函数写入指定位置最后获取交互式shell。6. payload结构详解让我们深入分析payload的构造原理ba*offset填充数据覆盖栈空间直到返回地址p32(gets_addr)覆盖返回地址为gets函数p32(system_addr)gets函数执行后的返回地址第一个p32(buf2_addr)gets函数的参数指定写入位置第二个p32(buf2_addr)system函数的参数指定命令字符串位置这种构造方式巧妙地利用了函数调用约定和栈布局。当gets函数执行时它会从标准输入读取数据写入buf2_addr执行完毕后程序会返回到system_addr并把栈上的下一个值也就是buf2_addr作为参数。7. 实际攻击过程与调试技巧在实际攻击过程中有几个调试技巧很实用使用gdb调试时可以在关键函数处设置断点观察栈变化使用cyclic工具确定准确的偏移量在发送payload前可以先本地测试确保逻辑正确遇到问题时可以分段测试payload逐步验证每个部分的效果这道题的一个常见错误是忘记发送/bin/sh字符串。记住gets函数需要两次输入第一次是payload第二次才是实际要写入的字符串。8. 防御措施与进阶思考虽然我们成功利用了漏洞但从防御角度也值得思考使用更安全的函数替代gets启用栈保护机制如canary限制内存段的执行权限NX地址随机化ASLR对于想进一步学习的同学可以尝试以下变种题目当system函数不可用时如何通过其他方式获取shell在64位程序中的类似利用方式存在部分限制时的绕过技巧在实际CTF比赛中这种缺胳膊少腿的题目很常见培养的就是这种灵活思考和综合利用能力。
相关文章
《深入理解Linux网络技术内幕》全套学习资料合集
目录 第一部分 全书分章节课后习题标准答案第二部分 配套全套Demo源码(内核模块应用层C程序)第三部分 Linux内核TCP协议栈逐行源码深度解析第四部分 书本知识点 → RK3588硬件落地实战教程第一部分 分章节课后练习题标准答案 第1章 Linux网络体系架构 一…
05. 洞察:GeoJSON 解析与坐标转换实战
写在前面: 在 GIS 开发中,有一道著名的“坎”叫坐标系。很多初学者兴冲冲地把 WGS84 的 GeoJSON 扔进地图,结果发现点位全跑到了非洲几内亚湾(0,0 坐标点)。为什么?因为 Web 地图用的是 Web Mercator (EPSG:3857),而你的数据是经纬度 (EPSG:4326)。 今天,我们将深入 li…
MoneyPrinterPlus:如何用AI一键批量生成短视频并实现自动化发布?
MoneyPrinterPlus:如何用AI一键批量生成短视频并实现自动化发布? 【免费下载链接】MoneyPrinterPlus AI一键批量生成各类短视频,自动批量混剪短视频,自动把视频发布到抖音,快手,小红书,视频号上,赚钱从来没有这么容易过! 支持本地语音模型chatTTS,faster…
别只盯着饱和电流!硬件老鸟教你用示波器‘看’电感磁芯饱和的全过程(附波形分析)
电感饱和诊断:资深工程师的示波器波形解构指南 当电源系统突然崩溃或效率骤降时,许多工程师的第一反应是检查开关管或电容——但经验丰富的硬件老手会首先将示波器探头指向电感。磁芯饱和这个"隐形杀手"往往在电流达到规格书标称值之前就已悄然…
如何用开源助手MAA轻松实现明日方舟全自动化游戏体验
如何用开源助手MAA轻松实现明日方舟全自动化游戏体验 【免费下载链接】MaaAssistantArknights 《明日方舟》小助手,全日常一键长草!| A one-click tool for the daily tasks of Arknights, supporting all clients. 项目地址: https://gitcode.com/Git…
片上网络(NoC)设计边界:从核心原理到四大瓶颈场景深度解析
1. 项目概述:从“够用”到“不够用”的临界点在芯片设计的圈子里,片上网络(NoC)已经从一个前沿概念变成了大规模多核芯片的标配基础设施。它就像芯片内部的“高速公路系统”,负责在几十上百个处理器核心、加速器、内存…
告别重复输入:Git Credential Manager 一站式管理 Gitee 凭证
1. 为什么我们需要Git Credential Manager? 每次克隆Gitee仓库都要输入账号密码,这种重复劳动简直让人抓狂。想象一下,你正在赶一个紧急项目,需要频繁切换不同的Gitee仓库,每次都要停下来输入凭证,这种打断…
从选型到调试:实战解析W25Q16、GD25Q128等SPI Flash的“身份证”(ID)与性能参数
从选型到调试:实战解析W25Q16、GD25Q128等SPI Flash的“身份证”(ID)与性能参数 在嵌入式系统开发中,SPI Flash存储器因其体积小、功耗低、接口简单等优势,成为固件存储、参数保存的首选方案。然而面对市场上琳琅满目的…
用Transformers玩转Gemma:从文本续写到多轮对话的完整实践(Python代码详解)
用Transformers玩转Gemma:从文本续写到多轮对话的完整实践(Python代码详解) Gemma作为Google推出的轻量级开放模型,凭借其出色的文本生成能力迅速成为开发者社区的热门选择。不同于传统大模型对硬件资源的苛刻要求,Gem…
5分钟快速上手:biliTickerBuy开源工具助你轻松抢购B站会员购热门票务
5分钟快速上手:biliTickerBuy开源工具助你轻松抢购B站会员购热门票务 【免费下载链接】biliTickerBuy b站会员购购票辅助工具 项目地址: https://gitcode.com/GitHub_Trending/bi/biliTickerBuy biliTickerBuy是一款专为B站会员购平台设计的开源辅助工具&…
一口气讲清楚 Monorepo、Turborepo、pnpm、Changesets 到底是什么?
你肯定遇到过这种情况:项目里同时有前端、后端、公共组件,放在一个仓库嫌乱,拆成多个仓库又改一个公共函数要在五个项目里各改一遍。于是出现了 Monorepo、Turborepo、pnpm、Changesets 这四个词。它们不是互相替代,而是分别解决工…
从ok-skills项目解析技能树:设计理念、技术实现与工程实践
1. 项目概述与核心价值最近在GitHub上看到一个挺有意思的项目,叫“ok-skills”。光看这个名字,可能有点摸不着头脑,但点进去一看,发现这是一个关于“技能树”或“知识图谱”的开源项目。简单来说,它试图用一种结构化的…
【实用小程序】超轻量级文件上传下载中心 (File Download Server)
站内源码及jar包下载 一、项目概述 文件下载中心一个基于 Java 内置 HTTP 服务器(com.sun.net.httpserver)构建的轻量级文件管理服务。它零第三方依赖,单 JAR 包即可运行,适合在内网环境或临时场景中快速搭建文件共享站点。 你的团队需要临时共享一批日志文件或交付物,…
py每日spider案例之某website之xin东方选课搜索接口(难度一般 扣取代码即可)
加密位置: 逆向接口参数: 逆向接口: const g = globalThis; g.window = g; g.self = g; g.location = {<
终极轻量级Android文本编辑器Markor:多格式笔记应用完全指南
终极轻量级Android文本编辑器Markor:多格式笔记应用完全指南 【免费下载链接】markor Text editor - Notes & ToDo (for Android) - Markdown, todo.txt, plaintext, math, .. 项目地址: https://gitcode.com/gh_mirrors/ma/markor 在移动设备上寻找一款…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…