Bugku PWN Easy_int

原创

已于 2023-04-01 18:34:18 修改 · 839 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全 #python #安全

于 2023-04-01 18:28:56 首次发布

文章详细描述了一个64位程序的pwn挑战，通过溢出漏洞和数值溢出技巧进入vuln函数，然后寻找并利用ropgadget来构造payload，最终目标是获取shell。在初次尝试失败后，通过调整system调用的地址成功拿到flag。

前言

看到好久没更新博客了，最近又刚好在学习pwn，那就补一篇WriteUP吧！

题目信息

解题过程

先check

64位程序，只开启了NX保护，直接上IDA静态分析

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

树木有点绿

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

bugku 里面的五个pwn题wp

qq_36495104的博客

05-08

2682

pwn1 没给二进制文件，直接nc过去就能拿shell，查看flag，flag{6979d853add353c9} pwn2 查看保护，发现什么保护都没开启 ida反编译查看明显栈溢出，还注意到有后门函数只需要劫持函数的返回地址到get_shell函数，就可以用拿到flag。使用gdb调试发现，在0x38个字符后就会覆盖返回地址,所以编写脚本拿flag。 exp #pwn2.py from pwn import * #sh=process('./pwn2') sh=remote('11

BugKu做题记录【pwn】（持续更新中）

Assassin

04-06

4408

文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结好久不做题了，刚刚开始的签到题就做了三天，感觉水平确实下降得太厉害了，恢复训练~ ** ** repeater 1.题目分析题目逻辑非常简单，就是read函数输入内容，然后printf输出，经过观察和简单得调试，我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64，不足以造成栈溢出经过权限查询发现开启了NX保护，RELRO是部分开启，也就是堆栈不可执行经过查看，bss段不可执

1 条评论您还未登录，请先登录后发表或查看评论

bugku-pwn-wp

令则

03-27

588

bugku 文章目录bugkupwn1pwn2pwn3pwn4pwn5 pwn1 这个是典型的新手题了，nc连上去就有shell，　直接可以拿到flag。 pwn2 main函数这里我们看到read函数位置会出现一个典型的栈溢出。然后我们计算下溢出位置到返回值之间的距离，就可以控制程序流程了，接下来我们看到函数中存在一个get_shell_函数：然后就可以着手写exp，这里简单写下pa...

bugku pwn libc

09-03

bugku pwn3和pwn5用到的libc文件，原题目中没有给出libc文件，也不容易获取libc版本

bugku pwn题libc

11-06

bugku pwn题libc，pwn3做题时可在里面查找system、binsh等

bugku pwn1

PRCORANGE的博客

04-13

313

题目： nc 114.67.246.176 10846 nc:全称Netcat,用于连接远程服务器端口。连接后它会返回一个cmdshell用于执行命令(Linux自带该命令)。在linux中连接服务器，再使用ls查看目录 cat flag

【BUGKU】easy_re

chen64515的博客

03-25

723

【BUGKU】easy_re尝试IDA 提示： flag格式：DUTCTF{xxxx} Hint: 1.逆向常用的工具有IDA 、ollydbg 地址尝试要输入一个flag串，尝试输入失败，根据提示使用IDA查找flag。 IDA 将文件拖入IDA中，按F5进行反编译（提示没有Decompiler，是安装的IDA不带反编译插件，找带的版本重新安装）得到c代码： int __cdecl m...

bugku pwn5(格式化字符串漏洞）

weixin_45097188的博客

10-09

1630

检查程序开启了哪些保护及位数没有开始栈保护读程序发现没有system和bin/sh两个后门,需要返回到libc，但是有__libc_start_main函数，可以通过这个函数计算libc的基地址。 libc_start_main的偏移=0x28/8+6=11 思路：栈上格式化漏洞配合栈溢出漏洞，首先利用格式化泄漏libc地址，然后栈溢出执行system(’/bin/sh’) 利用pwn4...

BugkuCTF pwn题第一弹

weixin_43489686的博客

09-09

2261

BugkuCTF pwn题第一弹

pwn入门小技巧

qq_36918532的博客

05-24

3420

目前我所遇到的一些pwn的做题技巧我也是偶尔玩玩ctf，所以也不会很难的，所以这篇主要是帮助刚开始学习的人学习吧首先知识点包括：栈，堆，整数溢出，格式化字符串目前ctf的题越来越偏向于实际，有的会使用刚刚爆出来的CVE漏洞的，所以不能只局限于glibc 所以可以大体分为两类把：libc,kernel 栈利用：有ret2libc,ret2shellcode,ret2text,ropchain,ret2syscall,brop,srop等等，当然有时候还会有seccomp的只能使用ORW系统调用堆利用：

bugku-pwn-瑞士军刀 overflow2

m0_57954651的博客

01-13

2262

在klai中使用file命令查看文件类型可以看到是64位。system函数的地址是0×40043F。使用IDA 64 Pro打开文件查看主函数。利用Kali连接 ls查看。给了个nc和文件下载。

Bugku pwn4 WP

至臻求学，胸怀云月

02-18

894

下载地址 url checksec [*] '/mnt/hgfs/ubuntu_share/pwn/wiki/pwn4' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x4...

Bugku pwn4

安全知识学习-该平台为唯一原作者平台，其他平台属冒名顶替，请勿相信上当受骗

10-24

384

准备：可以看到程序没有开任何的保护运行测试了一下，有一个输入数据的点 IDA 定位到主函数，很明显这里的 s 可以作为溢出的点浏览了一下找到了system函数，kaix… 找找rop点，查看一下字符串刚开始也很懵逼，找了一下/bin/bash 没找到，去看了wp，原来这里的$0也是可以利用的，system('/bin/bash')和system('$0')的效果是一样的。这样我们就可以借用'$0'来溢出拿到shell OK现在我们有...

Bugku pwn5

BengDouLove的博客

02-28

657

我怀着沉重的心情写这个blog，在我做出这道题之前费劲了千辛万苦，花了三天时间，思考加发呆加询问… 菜就不用说了。好好记录一下吧。代码中存在格式化字符串漏洞，具体运行起来是这样这是第一个坑，%x与%p是有区别的，x输出四个字节，p输出八个字节，这是64位的程序，所以地址应该大于四个字节了。之前一直用的%x最后泄露出来的地址不对，也很难发现。（菜+1）为什么是%11$p呢，这要从pri...

[BUGKU] [PWN] PWN2

Stan冲冲冲

05-18

326

[BUGKU] [PWN] PWN2 先下载文件，拉入UBUNTU，checksec检查一下 checksec pwn2 发现啥都没开，最重要的是架构是amd64 在windows里把pwn2拉入64位ida 按F5切换到伪C 注意这句话 read(0, &s, 0x100uLL); 常见的缓冲区漏洞按shift+f12查看字符串发现有一个cat flag 按x发现交叉引用 .text:0000000000400769 mov edi, offs

bugku-pwn3

playmaker的博客

06-04

1723

程序是一个保护全关的64位程序，主逻辑如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s; // [rsp+0h] [rbp-10h] memset(&s, 0, 0x10uLL); setvbuf(stdout, 0LL, 2, 0LL); setvbuf(stdin, 0LL, 1...

bugku pwn3

doudoudedi

10-11

840

这道题不算太难多次返回main函数就可以了，第一次就leak出canary然后修改最低位就可以返回main函数第二次我们leak出程序的基址再次返回main函数第三次函数我们泄露出libc最后一处返回main函数我们就可以getshell了 exp: from pwn import * from LibcSearcher import * #p=process('./read_note') p=r...

BugKu - pwn2

Casuall的博客

07-06

3872

这道题来自于bugku旧平台的第二道pwn题，还是比较简单的，一个典型的缓冲区溢出题。首先查看一下文件类型，file pwn2,可以看到是64位的程序。然后用64位IDA打开，查看程序的逻辑。可以看到这个程序的逻辑比较简单，有一个read函数，这个函数一个危险函数，可能引发缓冲区溢出漏洞。常见的危险函数还有gets、strcpy、sprintf、scanf等。然后查看字符串，看看是否有内置...

pwn IO_FILE