bugku-pwn-wp

最新推荐文章于 2023-04-01 18:28:56 发布
最新推荐文章于 2023-04-01 18:28:56 发布
阅读量450 收藏 2
点赞数
分类专栏: pwn 题目的整理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlz_lc_4/article/details/105138884
版权

bugku

文章目录

pwn1

这个是典型的新手题了,nc连上去就有shell, 直接可以拿到flag。

pwn2

main函数

这里我们看到read函数位置会出现一个典型的栈溢出。

然后我们计算下溢出位置到返回值之间的距离,就可以控制程序流程了,

接下来我们看到函数中存在一个get_shell_函数:

然后就可以着手写exp,这里简单写下payload部分:

payload =  'a' * 0x38 + p64(0x0400751)

pwn3

这个题目比较复杂。

查一下保护方法:

main 函数会转到 vul函数,前半部分选择一个文件打开,并没有什么有用的位置,

我们设定一个函数去简单略过这一部分:

def vul(payload1):
    sla('path:', 'flag')
    sla('len:',  '1000')
    sa('note:', payload1)
    ru(payload1)

然后后半部分,是读取一个长度,然后读入对应长度的数据,并且如果不是0x270的话会重新读入一次。

这里我们看下栈内,读取0x270的话可以恰好覆盖掉ret的位置。

同时我们看到存在一个canary保护。
=
这个题目的位置,在第一个溢出点后有打印,然后又存在第二个溢出点,这时候我们可以先输入一段,带出canary的值,然后在第二个溢出点放回canary的值。

这时候我们也可以看到基本的题目思路:

  • 先利用第一个溢出点后的打印可以泄露出来canary然后第二个溢出点把程序复原
  • 由于pie,还得要先泄露程序基地址,然后第二个溢出点复原程序。由于是64位,需要gadget,要泄露程序基地址。
  • 泄露libc的基地址,我们可以使用libcSearcher,就可以获得sys和binsh的地址,第二个溢出点不能构建rop链,得第一个溢出点写出来然后第二个在覆写一遍前面的一部分。就可以直接getshell

然后我们在第二次输入的时候canary的值放回去,并且可以修改ret地址,由于这个位置开启pie,

这里讲一点。关于pie技术的缺陷:

由于内存是以页载入机制,开启pie的时候,最多影响到单个内存页,一个内存页大小为0x1000, 即我们的低三位是固定不变的,可以通过覆盖地址后几位控制程序流程。 这个方式称为"partial write"

这里我们看到,应该返回地址为2e我们覆盖修改为20就可以返回到main 函数再次运行一次了。

这样我们的第二段payload 就是’a’* 600了

这样我们可以进行下一阶段的利用了。

下面是直接泄露程序基地址,我们这个程序使用puts反显,我们想泄露的值只要没有'\x00'就可以直接泄露出来。

这样我们的泄露elf的基地址和libc的基地址都只需要思考关于要覆盖的长度的问题。

elf:

最低0.47元/天 解锁文章
-令则
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4211
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
Bugku pwn 1--wp
weixin_45427676的博客
03-25 409
打开题目之后发现只有: nc 114.116.54.89 10001 那就好处理了,直接在VM中执行这句命令。 这句命令什么意思呢?我一开始也不晓得,pwn题里面都有,所以还是要清楚的。 nc + ip地址 + 端口号(nc命令用于设置路由器) nc即netcat,是一个网络工具(Linux自带),有IP地址和端口号,就可以连接路由器,连接成功后,目标主机会运行题目文件,进行交互。一般还会有一...
Bugku pwn4 WP
至臻求学,胸怀云月
02-18 718
下载地址 url checksec [*] '/mnt/hgfs/ubuntu_share/pwn/wiki/pwn4' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x4...
bugku pwn1
PRCORANGE的博客
04-13 214
题目: nc 114.67.246.176 10846 nc:全称Netcat,用于连接远程服务器端口。连接后它会返回一个cmdshell用于执行命令(Linux自带该命令)。 在linux中连接服务器,再使用ls查看目录 cat flag
bugku-pwn2-wp
weixin_45427676的博客
04-05 367
下载完题后先在VM中checksec查看保护机制 基本没有开什么保护,可以知道文件是64位的,用64位IDA打开,按F5键反汇编一下,看一下main函数 可以发现read()函数存在栈溢出漏洞,缓冲区s的大小为0x30,而read()函数指向缓冲区中读入0x100大小的数据,所以造成栈溢出。 在main函数下面有一个get_shell_()函数,打开看一下 有一个system(“cat fl...
BugkuCTF-PWN题canary超详细讲解
am_03的博客
08-31 2289
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解题流程 题目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 2123
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
BugkuCTF-PWNpwn3-read_note超详细讲解
am_03的博客
08-30 2666
知识点 puts()的特性 , puts()会一直输出某地址的数据,直到遇到 \x00 Canary最低位为\x00(截断符) \x 和 0x 的区别: 区别不大,都是把数按16进制输出。 1、0x 表示整型数值 (十六进制) char c = 0x42; 表示的是一个数值(字母B的ASCII码66),可以认为等价于: int c = 0x42; 2、\x42用于字符表达,或者字符串表达 char c = ‘\x42’; 亦等价于: char c = 0x42; char* s = “\x41\x42
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
bugku pwn5
发蝴蝶和大脑斧的博客
07-17 1615
参考writeup 首先发现第一次输入存在格式化字符串漏洞,泄露出栈上的__libc_start_main。这个是在start函数中入栈的,应该是每个程序都会进入main函数之前进行的操作。__libc_start_main是libc中的函数,可以泄露出加载libc的基地址。然后就是找服务器system地址和binsh地址,通过gadget赋值。 # -*- coding: utf-8 -*- f...
Bugku pwn5
BengDouLove的博客
02-28 588
我怀着沉重的心情写这个blog,在我做出这道题之前费劲了千辛万苦,花了三天时间,思考加发呆加询问… 菜就不用说了。 好好记录一下吧。 代码中存在格式化字符串漏洞,具体运行起来是这样 这是第一个坑,%x与%p是有区别的,x输出四个字节,p输出八个字节,这是64位的程序,所以地址应该大于四个字节了。 之前一直用的%x最后泄露出来的地址不对,也很难发现。 (菜+1) 为什么是%11$p呢,这要从pri...
bugku-pwn3
playmaker的博客
06-04 1667
程序是一个保护全关的64位程序,主逻辑如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s; // [rsp+0h] [rbp-10h] memset(&s, 0, 0x10uLL); setvbuf(stdout, 0LL, 2, 0LL); setvbuf(stdin, 0LL, 1...
bugku-pwn5(萌新版)
TedLau的博客
05-02 770
补充一些点便于理解
bugku 里面的五个pwnwp
qq_36495104的博客
05-08 2199
pwn1 没给二进制文件,直接nc过去就能拿shell,查看flag,flag{6979d853add353c9} pwn2 查看保护,发现什么保护都没开启 ida反编译查看 明显栈溢出,还注意到有后门函数 只需要劫持函数的返回地址到get_shell函数,就可以用拿到flag。使用gdb调试发现,在0x38个字符后就会覆盖返回地址,所以编写脚本拿flag。 exp #pwn2.py from pwn import * #sh=process('./pwn2') sh=remote('11
bugku-pwn-瑞士军刀 overflow2
m0_57954651的博客
01-13 1382
在klai中使用file命令查看文件类型 可以看到是64位。system函数的地址是0×40043F。使用IDA 64 Pro打开文件 查看主函数。利用Kali连接 ls查看。给了个nc和文件 下载。
BugKu做题记录【pwn】(持续更新中)
Assassin
04-06 3802
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做题了,刚刚开始的签到题就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.题目分析 题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成栈溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行 经过查看,bss段不可执
Bugku PWN Easy_int
JEWSWS的博客
04-01 374
【春风不解语,独做狮子吟。】
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值