[BUGKU] [PWN] PWN5

最新推荐文章于 2023-07-07 11:05:42 发布
最新推荐文章于 2023-07-07 11:05:42 发布
阅读量457 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cf260469080/article/details/106185984
版权
该博客介绍了如何分析BUGKU PWN5的挑战,涉及了64位AMD架构下的NX保护,通过ida分析C源码,发现了格式化字符串漏洞和栈溢出点。博主展示了如何利用格式化字符串漏洞泄露栈上的__libc_start_main地址,通过计算偏移找到库函数地址,进一步利用LibcSearcher库寻找flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[BUGKU] [PWN] PWN5

先下载文件,拉入UBUNTU,checksec检查一下

checksec human

架构是amd64,并开启了NX(堆栈可执行,16进制地址后六位不变,其余运行一次都会变)

在windows里把pwn2拉入64位ida

F5切换到伪C

发现乱码,修改配置文件后ALT+A全部选上UTF-8,再按一次F5,中文就可以显示了

int __cdecl main(int argc, const char **argv, const char **envp)
{
char s; // [sp+0h] [bp-20h]@1

setvbuf(_bss_start, 0LL, 2, 0LL);
setvbuf(stdin, 0LL, 1, 0LL);
memset(&s, 0, 0x20uLL);
puts(“人类的本质是什么?\n”);
read(0, &s, 8uLL);
printf(&s, &s);
puts(&s);
puts(&s);
puts(&s);
puts(“一位群友打烂了复读机!”);
sleep(1u);
puts("\n人类还有什么本质?");
read(0, &s, 0x40uLL);
if ( !strstr(&s, “鸽子”) || !strstr(&s, “真香”) )
{

最低0.47元/天 解锁文章
三无提督w
关注
bugku pwn5(格式化字符串漏洞)
weixin_45097188的博客
10-09 1579
检查程序开启了哪些保护及位数 没有开始栈保护 读程序 发现没有system和bin/sh两个后门,需要返回到libc,但是有__libc_start_main函数,可以通过这个函数计算libc的基地址。 libc_start_main的偏移=0x28/8+6=11 思路:栈上格式化漏洞配合栈溢出漏洞,首先利用格式化泄漏libc地址,然后栈溢出执行system(’/bin/sh’) 利用pwn4...
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4463
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
Bugku pwn5
BengDouLove的博客
02-28 631
我怀着沉重的心情写这个blog,在我做出这道题之前费劲了千辛万苦,花了三天时间,思考加发呆加询问… 菜就不用说了。 好好记录一下吧。 代码中存在格式化字符串漏洞,具体运行起来是这样 这是第一个坑,%x与%p是有区别的,x输出四个字节,p输出八个字节,这是64位的程序,所以地址应该大于四个字节了。 之前一直用的%x最后泄露出来的地址不对,也很难发现。 (菜+1) 为什么是%11$p呢,这要从pri...
bugku-pwn5(萌新版)
TedLau的博客
05-02 819
补充一些点便于理解
Bugku pwn5 WP
至臻求学,胸怀云月
02-19 949
下载地址 url checksec [*] '/mnt/hgfs/ubuntu_share/pwn/bugku/human' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x...
Pwn5-bugku
yeshen4328的专栏
10-11 299
pwn5 基础知识 格式化字符串漏洞: 在c/c++的格式化输出中,使用的是printf函数,它的参数如下所示: int printf(const char *format, ...); 使用方式如下: char buf[10] = {}; read(0,buf,9); printf("%s",buf); 如果直接使用printf输出buf的话,则存在格式化字符串漏洞: char buf[10] = {}; read(0,buf,9); printf("%s",buf); 原理:因为printf会
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
bugku-pwn-wp
令则
03-27 522
bugku 文章目录bugkupwn1pwn2pwn3pwn4pwn5 pwn1 这个是典型的新手题了,nc连上去就有shell, 直接可以拿到flag。 pwn2 main函数 这里我们看到read函数位置会出现一个典型的栈溢出。 然后我们计算下溢出位置到返回值之间的距离,就可以控制程序流程了, 接下来我们看到函数中存在一个get_shell_函数: 然后就可以着手写exp,这里简单写下pa...
bugku pwn5
Ceciiiilia的博客
04-18 399
1、有字符串格式化漏洞,通过该漏洞可以打印出栈里rip上libc_start_main的真实地址(需要算出偏移) 2、有libc_start_main的真实地址,即找到该地址在lib表内相对于lib_base真实地址的偏移,及system和bin/sh相对于libc_base的偏移 3、lib_base_addr加上system在lib表中的偏移,即可找到system的真实地址,lib_bas...
pwn5 - bugku
SkYe's Blog
11-02 889
pwn5 - bugku 本文并未真正意义上的writeup,因为我无法成功复现???只是单纯记录一下,做题笔记 首先看一下保护,只开了NX。 没有危险函数,如system、getshell等 main函数中的变量s,在read函数时可以造成溢出。当中的if条件是限制程序的第二次输入必须包含真香、鸽子两个字符串。 当中的重点是printf存在格式化字符串漏洞,我们可以从这里读取到main函...
第五空间-PWN5
shidaofu的博客
09-15 210
国际惯例 无脑 IDA 思路 WP 总结
第五空间pwn5
qq_46441427的博客
07-03 323
文章目录前言一、题目特征二、分析方法1三.参考文章 前言 一、题目特征 二、分析 方法1 格式化字符串漏洞,那直接改那个函数的值 直接修改atoi函数的.got.plt表地址 这样在调用atoi函数的时候,可以直接在公共plt表跳转到system函数 确定偏移为10 from pwn import* p = process('./pwn') elf = ELF('./pwn') atoi_got = elf.got['atoi'] system_plt = elf.plt['system'] p
BugkuCTF练习平台pwn5(human)的writeup
只影的博客
03-04 988
这道题的思路相对简单,但是比较有代表性。 首先查看防护机制,发现只打开了NX。用ida打开题目,发现中文无法识别为字符串。这里需要用命令行打开ida,新建bat并编辑内容为D:\IDA_Pro_v7.0\ida64.exe -dCULTURE=all human即可。 漏洞有两处,第一处比较明显,是格式化字符串漏洞,如下所示。 memset(&s, 0, 0x20uLL); put...
[第五空间2019 决赛]PWN5
weixin_56301399的博客
07-21 1762
格式化字符串漏洞
BUUCTF 第五空间2019 pwn5(格式化字符串)
菜的只能随便写写博客
02-02 1089
0x01 文件分析 32位elf 无PIE   0x02 运行  运行文件之后,出现两处输入,一个name和一个passwd,并且name的输入有回显,则有可能是栈漏洞和格式化字符串。   0x03 IDA查看 IDA F5反汇编之后的代码: int __cdecl main(int a1) { unsigned int v1; // eax int fd; // ST14_4 ...
pwn05(应对简单栈溢出的常规套路)
Welcome To Myon'Blog !
07-07 690
一、常规检查(nc、file、checksec) 二、IDA反编译,只找两个东西即可 1、寻找造成栈溢出的函数的地址到ebp的距离 2、寻找我们所要利用的函数的地址(即我们希望程序最后返回到哪里) 三、编写并运行exp脚本
2022_CTFpwn
最新发布
02-18
此外,BugKu平台作为一个活跃的在线练习场地,也可能组织过相关主题的比赛或训练营[^3]。 #### 学习资料推荐 为了更好地准备参加类似的竞赛,《CTF竞赛权威指南(Pwn篇)》提供了详尽的学习路径和技术指导,适合希望...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值