Bugku pwn5

最新推荐文章于 2021-09-15 14:31:22 发布
最新推荐文章于 2021-09-15 14:31:22 发布
阅读量599 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BengDouLove/article/details/104563817
版权

我怀着沉重的心情写这个blog,在我做出这道题之前费劲了千辛万苦,花了三天时间,思考加发呆加询问…
菜就不用说了。
好好记录一下吧。在这里插入图片描述

代码中存在格式化字符串漏洞,具体运行起来是这样

在这里插入图片描述

这是第一个坑,%x与%p是有区别的,x输出四个字节,p输出八个字节,这是64位的程序,所以地址应该大于四个字节了。
之前一直用的%x最后泄露出来的地址不对,也很难发现。
(菜+1)

为什么是%11$p呢,这要从printf格式化字符串函数说起:
由于格式化字符串漏洞通常都是因为程序猿偷懒,函数写成printf(s)这样的,所以程序就把s当作格式化字符串了。加载printf函数之后,输入的字符串被加载在栈中的一个位置,由于又是格式化字符串,所以它的地址被压入了栈顶(这个具体的不太清楚),然后每遇到一个格式化字符,就在栈里向下找一个参数,按相应形式输出,如此进行。
不过在六十四位中又不太一样,64位系统中前六个参数加载到寄存器里,所以第七个参数才加载到栈中。

在这里插入图片描述

进入了printf函数里看见了__libc_start_main 这个函数,由于这道题没有现成的system函数,所以要泄露目标机器的libc地址,根据偏移找到system函数,和bin/sh字符串,

然后程序还开启了NX保护,所以要ROP,找到跳板跳到一个pop rdi ,ret 命令。基本思路就是这样。

ROPgadget --binary bugku-pwn5 --only "pop|ret"

下面第二个坑,

之前一直用kali64做题,我用这个虚拟机调试这个libc_start_main函数内的偏移死活就是235,我就陷入了苦苦追寻思考。
为什么啊
后来知道每个机器默认值下都是有一个libc版本,这个kali是2.28的,看网上的wp里面是2.23,我…
然后再看网上推荐用Ubuntu1604做pwn,安装好了之后才行…

目标机器的libc是2.23,我的kali是2.28,所以调试的时候用的是我的机器编译链接,函数偏移自然不一样。(其实我也不知道Ubuntu1604为啥行,可能大部分是这个版本吧)。
听同学说泄露libc基址是个专题,以后基本都不会给版本,所以以后慢慢积累吧。(菜+2)
不要吐槽背景...
这是python脚本,说到这个。。。
第三个坑,我不知道如果python里要有中文的话要加上
#coding = utf-8
。。。可能之前没有遇到过把
记住记住。。

Bengd0u
关注
[BUGKU] [PWN] PWN5
Stan冲冲冲
05-18 424
[BUGKU] [PWN] PWN5 先下载文件,拉入UBUNTU,checksec检查一下 checksec human 架构是amd64,并开启了NX(堆栈可执行,16进制地址后六位不变,其余运行一次都会变) 在windows里把pwn2拉入64位ida 按F5切换到伪C 发现乱码,修改配置文件后ALT+A全部选上UTF-8,再按一次F5,中文就可以显示了 int __cdecl main(int argc, const char **argv, const char **envp) { char
bugku pwn5(栈溢出)
weixin_44954083的博客
12-11 968
查看保护机制: 这个开了nx保护,堆栈不可以执行 拉到ida看一下: 这道题没有binsh和system两个后门,所以这个需要libc地址,在main函数看到了libc_start_main函数,这里需要得到libc_base地址,通过真实地址-偏移地址 这里得到是真实地址, 0x7ffff7a2d830-240=‘0x7ffff7a2d740’ 通过真实地址后面三位不变可以去得到偏移地...
bugku-pwn5(萌新版)
TedLau的博客
05-02 784
补充一些点便于理解
Bugku pwn5 WP
至臻求学,胸怀云月
02-19 918
下载地址 url checksec [*] '/mnt/hgfs/ubuntu_share/pwn/bugku/human' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x...
Pwn5-bugku
yeshen4328的专栏
10-11 246
pwn5 基础知识 格式化字符串漏洞: 在c/c++的格式化输出中,使用的是printf函数,它的参数如下所示: int printf(const char *format, ...); 使用方式如下: char buf[10] = {}; read(0,buf,9); printf("%s",buf); 如果直接使用printf输出buf的话,则存在格式化字符串漏洞: char buf[10] = {}; read(0,buf,9); printf("%s",buf); 原理:因为printf会
pwn5 - bugku
SkYe's Blog
11-02 850
pwn5 - bugku 本文并未真正意义上的writeup,因为我无法成功复现???只是单纯记录一下,做题笔记 首先看一下保护,只开了NX。 没有危险函数,如system、getshell等 main函数中的变量s,在read函数时可以造成溢出。当中的if条件是限制程序的第二次输入必须包含真香、鸽子两个字符串。 当中的重点是printf存在格式化字符串漏洞,我们可以从这里读取到main函...
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4246
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
bugku 里面的五个pwn题wp
qq_36495104的博客
05-08 2250
pwn1 没给二进制文件,直接nc过去就能拿shell,查看flag,flag{6979d853add353c9} pwn2 查看保护,发现什么保护都没开启 ida反编译查看 明显栈溢出,还注意到有后门函数 只需要劫持函数的返回地址到get_shell函数,就可以用拿到flag。使用gdb调试发现,在0x38个字符后就会覆盖返回地址,所以编写脚本拿flag。 exp #pwn2.py from pwn import * #sh=process('./pwn2') sh=remote('11
bugku pwn5(格式化字符串漏洞)
weixin_45097188的博客
10-09 1496
检查程序开启了哪些保护及位数 没有开始栈保护 读程序 发现没有system和bin/sh两个后门,需要返回到libc,但是有__libc_start_main函数,可以通过这个函数计算libc的基地址。 libc_start_main的偏移=0x28/8+6=11 思路:栈上格式化漏洞配合栈溢出漏洞,首先利用格式化泄漏libc地址,然后栈溢出执行system(’/bin/sh’) 利用pwn4...
bugku pwn5
发蝴蝶和大脑斧的博客
07-17 1626
参考writeup 首先发现第一次输入存在格式化字符串漏洞,泄露出栈上的__libc_start_main。这个是在start函数中入栈的,应该是每个程序都会进入main函数之前进行的操作。__libc_start_main是libc中的函数,可以泄露出加载libc的基地址。然后就是找服务器system地址和binsh地址,通过gadget赋值。 # -*- coding: utf-8 -*- f...
bugku-pwn-wp
令则
03-27 471
bugku 文章目录bugkupwn1pwn2pwn3pwn4pwn5 pwn1 这个是典型的新手题了,nc连上去就有shell, 直接可以拿到flag。 pwn2 main函数 这里我们看到read函数位置会出现一个典型的栈溢出。 然后我们计算下溢出位置到返回值之间的距离,就可以控制程序流程了, 接下来我们看到函数中存在一个get_shell_函数: 然后就可以着手写exp,这里简单写下pa...
BugkuCTF练习平台pwn5(human)的writeup
只影的博客
03-04 955
这道题的思路相对简单,但是比较有代表性。 首先查看防护机制,发现只打开了NX。用ida打开题目,发现中文无法识别为字符串。这里需要用命令行打开ida,新建bat并编辑内容为D:\IDA_Pro_v7.0\ida64.exe -dCULTURE=all human即可。 漏洞有两处,第一处比较明显,是格式化字符串漏洞,如下所示。 memset(&s, 0, 0x20uLL); put...
bugku pwn1
PRCORANGE的博客
04-13 228
题目: nc 114.67.246.176 10846 nc:全称Netcat,用于连接远程服务器端口。连接后它会返回一个cmdshell用于执行命令(Linux自带该命令)。 在linux中连接服务器,再使用ls查看目录 cat flag
第五空间-PWN5
shidaofu的博客
09-15 188
国际惯例 无脑 IDA 思路 WP 总结
第五空间pwn5
qq_46441427的博客
07-03 293
文章目录前言一、题目特征二、分析方法1三.参考文章 前言 一、题目特征 二、分析 方法1 格式化字符串漏洞,那直接改那个函数的值 直接修改atoi函数的.got.plt表地址 这样在调用atoi函数的时候,可以直接在公共plt表跳转到system函数 确定偏移为10 from pwn import* p = process('./pwn') elf = ELF('./pwn') atoi_got = elf.got['atoi'] system_plt = elf.plt['system'] p
buuctf pwn 第五空间决赛pwn5
最新发布
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值