BugkuCTF-PWN题pwn5-overflow2超详细讲解

最新推荐文章于 2024-11-25 12:54:41 发布
原创 最新推荐文章于 2024-11-25 12:54:41 发布 · 2.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文探讨了setvbuf函数在提高系统效率中的作用,特别是在处理大量磁盘I/O场景中的内存优化。通过实例展示了如何利用setvbuf原理和栈溢出漏洞构造ROP链,实现远程代码执行。

知识点

setvbuf:
setvbuf函数的功能:
如果你的内存足够大,可以把文件IO的BUF设置大一些,这样每次你用
fopen/fread/fwrite/fscanf/fprintf语句的时候,都会在内存里操作,减少内存到磁盘IO读写的操作次数,提高系统效率。
如果你的程序的功能涉及到类似数据库、视频、音频、图像处理等大量需要爆发式磁盘到内存的IO情况下,可以考虑setvbuf进行优化内存IO。
功 能: 把缓区与流相关

解题流程

查看保护机制
在这里插入图片描述
发现开启了RELRO,NX
只能通过ROP绕过

IDA打开,查看伪码:
在这里插入图片描述
0x20=32
0x100=256
read()函数存在栈溢出,查看栈结构
在这里插入图片描述

构造rop链

在这里插入图片描述
system函数的地址是0x401050

最低0.47元/天 解锁文章
bugku】overflow2
2201_75556700的博客
11-27 1791
我们通过构造rop链来执行system("/bin/sh")这个命令,在使用system函数时,它的第一个参数,需要放在rdi寄存器中,而这个参数就是/bin/sh。4、用ida64分析文件,先查看主函数,这段主函数的关键就是,它定义了一个数组大小是4,而read函数在读取的时候,是读取它的0x100ull这超出了数组的范围,会导致栈溢出。6、通过shift+f12来查看调用了哪些函数,这里看到了一个脚本函数,双击/bin/in查看程序地址,查看system函数调用的地址。
BugkuCTFoverflow2[WriteUP]
如有错误感谢斧正
04-14 1130
我们需要构造payload使buf数组溢出,然后接上这里的total总的合成地址即可实现shell交互。总共需要填充28个字节,后面溢出可以填充为成0x20+0x8,或者直接写成0x28。总链:total = 0x40126b + 0x402004 + 0x401050。存在/bin/sh意味着我们可以利用这个字符串启动shell,双击查看地址。先看到_system函数,此函数可以直接返回一个由实参当作命令的消息。再查看下方的地址信息,获取到该函数十六进制地址为:0x401050。查看一下flag文件。
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 2824
思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
BugkuCTF pwn overflow2
ChaoYue_miku的博客
07-04 1774
** 0、尝试打开文件,使用checksec检查保护情况 ** ** 1、使用IDA 64 Pro打开文件 ** read()函数存在栈溢出,查看栈结构 ** 2、构造rop链 ** Shitf+F12查找字符串 发现/bin/sh的地址是0x402004 system函数的地址是0x401050 64位程序的第一个参数在 rdi 寄存器里 使用ROPgadget工具寻找汇编指令 rdi寄存器地址:0x40126b ** 3、构造exp ** from pwn import * r = remo
bugku-pwn-瑞士军刀 overflow2
m0_57954651的博客
01-13 2272
在klai中使用file命令查看文件类型 可以看到是64位。system函数的地址是0×40043F。使用IDA 64 Pro打开文件 查看主函数。利用Kali连接 ls查看。给了个nc和文件 下载。
BugkuCTF pwn overflow
ChaoYue_miku的博客
07-02 3184
** 0、在Linux中打开文件,使用file命令查看文件类型,使用checksec检查保护情况 ** 64位文件,未开启任何保护,尝试运行一下 ** 1、使用IDA 64 Pro打开文件 ** 查看主函数 存在栈溢出漏洞 ** 2、寻找后门函数 ** 存在一个get_shell函数,地址为0x400751 ** 3、构造exp ** from pwn import * #io = process('./pwn2') io = remote("114.67.246.176", 15587)
BugkuCTF-PWNcanary超详细讲解
am_03的博客
08-31 2965
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解流程 目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4643
知识点 解流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该目为典型的格式字符串漏洞。 解思路 此的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
ctf库ctf-pwn收集
03-31
ctf库 CTF(夺旗赛)库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF库通常由多个类别的挑战组成,例如Web安全、二...
bugku】overflow
2201_75556700的博客
11-25 889
4、用64位的IDA分析文件,按F5进入主函数,这段程序定义了一个48字节的数组s。memset()函数将数组s的前0x30字节初始化为0,read()函数以s作为缓存区读取了0x100个字节的数据。数组s的长度小于要读取的长度,这会导致缓冲区溢出。5、在函数那一栏,看到名为get_shell的函数,可能是一个后门函数,它的地址为0x400751。我们需要覆盖返回地址,因此需要填充 48 字节的缓冲区,再加上 8 字节的栈帧指针(EBP)。需要找到能调用该函数的入口,需要将数组s的部分进行覆盖。
pico-ctf-2013 overflow-2
Bill
05-06 1352
栈溢出入门系列入门教程二overflow2.c#include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <sys/types.h> #include "dump_stack.h"void vuln(int win, char *str) { char buf[64];
pwn int_overflow
weixin_45677731的博客
03-15 252
32位程序,拖进ida看一下 首先,我们要输入1进入login() 输入username后再输入passwd,注意这里passwd允许我们输入的长度为0x199 再点进check_passwd 这里用v3来保存我们输入的passwd的长度,但是,这个v3是unsigned int8型的,8个字节,只能存储不超过256的数,如果超过会重新从1开始计算,这样的话,对于1个字符和257个字符,v3...
[BUUCTF]PWN——picoctf_2018_buffer overflow 2
BangSen1的博客
03-31 737
picoctf_2018_buffer overflow 2 例行检查,32位,开启NX保护 运行一下, 用IDA打开。看到了flag.txt,跟进一下。 win函数地址为0x80485cb a1 == 0xDEADBEEF && a2 == 0xDEADC0DE 时,输出flag. from pwn import* r=remote('node3.buuoj.cn',26224) payload='a'*(0x6c+4)+p32(0x80485cb)+p32(0)+p32(0x
PWN入门之Stack Overflow
2401_84434570的博客
05-06 1217
看一下正常情况,如果是正常情况的话,会返回到main函数中,这里需要注意一个细节,EIP这个寄存器,计算机会执行EIP指向的东西。根据这个原理,就可以进行构造,当ret的时候,EIP指向的东西为success函数的地址即可,这样就可以调用success函数了,从而达到劫持程序流的目的。在本篇文章中,我详细介绍了如何利用程序中本身存在的栈溢出漏洞,达到劫持程序流的目的,进而实现system("/bin/sh")的效果,如果你也对这个知识点感兴趣,欢迎阅读全文,内容篇幅较长,阅读时长约12分钟。
[BUUCTF-pwn]——picoctf_2018_buffer overflow 2
Y_peak的博客
03-17 525
[BUUCTF-pwn]——picoctf_2018_buffer overflow 2 简单的栈溢出,不过需要将参数自己设置而已 注意负数如何转换为补码, 不知道也可以直接在汇编里面找 from pwn import * p = remote('node3.buuoj.cn',28931) a1 = 0xdeadbeef a2 = 0xdeadc0de payload = 'a' * (0x6c + 4) + p32(0x080485CB) + p32(0)+ p32(a1) + p32(a2) p.re
bugku 里面的五个pwnwp
qq_36495104的博客
05-08 2686
pwn1 没给二进制文件,直接nc过去就能拿shell,查看flag,flag{6979d853add353c9} pwn2 查看保护,发现什么保护都没开启 ida反编译查看 明显栈溢出,还注意到有后门函数 只需要劫持函数的返回地址到get_shell函数,就可以用拿到flag。使用gdb调试发现,在0x38个字符后就会覆盖返回地址,所以编写脚本拿flag。 exp #pwn2.py from pwn import * #sh=process('./pwn2') sh=remote('11
NJUPT-CGCTF pwn2 StackOverflow [Writeup]
cossack9989的博客
12-30 2219
最近肥肠地想入门一下pwn,找了道试了一下。 目网址:StackOverflow 栈溢出啊。。虽然我水平很菜。。还是觉得挺有意思的 不扯了,先看。 扔到32位IDA里面看看,观察一下,发现有两个很关键的函数message与pwnme,很显然message可以用来栈溢出,pwnme可以用来调用system函数,但是Alt+T之后并没有发现‘/bin/sh’,也没有提供libc.so,这
PWN笔记2-int_overflow(已校对)
qq_40923256的博客
04-19 369
地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5058&page=1 如图,程序是一个32位ELF文件 chesec ida反编译,main方法中实现了登录功能,无溢出点 login方法中输入用户名和密码: 这里位数上0x19<40,0x199<512,因此无溢出 check_passwd实现对密码长度进行检查: 密...
攻防世界 pwn 进阶 bufoverflow_b
yongbaoii的博客
03-13 302
跟bufoverflow_b差不多,就是多了个检查。 所以先看看bufoverflow_a 说跟bufoverflow_a差不多是为啥,因为它就是在输入的时候检查多了一项。 这个是bufoverflow_a 这个是bufoverflow_b 这个会检查我们的输入是不是\x00,意思是会被\x00截断,那么我们在输入数据的时候就会麻烦一些。 那我们怎么去解决这个烦恼,我们这里利用大佬的方法。 在我们向内存中写地址的时候内存中一定会有一些垃圾数据,我们写数据的时候,假如我们要写入一个地址,在内存中小端序
ctf-pwn怎么用write+read求libc的基址
最新发布
11-15
我们参考引用内容,特别是引用[1]到[5],来回答用户关于使用write和read函数在CTF Pwn中求libc基址的方法。 根据引用[4]和[5],我们知道: 1. 程序运行后,libc中的函数在内存中的实际地址 = libc基址 + 函数在...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值