buuctf pwn解题

已于 2024-02-05 19:31:34 修改
阅读量506 收藏 11
点赞数 5
文章标签: linux 运维 服务器
于 2024-02-01 21:30:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80477504/article/details/135965707
版权
本文讲述了在一系列CTF挑战中,如何通过checksec检测、IDA分析、栈溢出技巧(如gets溢出和ROP)以及编写exploit,成功在64位程序中获取flag的过程。
摘要由CSDN通过智能技术生成

1.

test_your_nc

1

打开虚拟机,直接在终端nc node5.buuoj.cn 29450,ls列出目录即可看到flag ,cat flag查看

2.

rip

1

虚拟机中checksec(64位,无保护)

打开ida64进行分析,打开是main函数,shift+f12跳到string窗口 

在string窗口发现了bin/sh双击打开 

发现其在fun函数中,双击fun即可得到fun所在地址 

即利用gets溢出返回到fun函数地址,

偏移量的计算:从main函数中可得s,双击s ,由下图可得为23或0x17

在虚拟机中编写exp,即可得到flag 

3.

warmup_csaw_2016

1

下载好文件后,checksec该文件(64位程序,无任何保护,为栈溢出)

放入ida查看,在字符串中找到cat flag.text,即可找到其所在的函数(并找到该函数所在的位置)

查看偏移量,双击s,即0x40+8,编写exp,flag直接就出来了 

4.

ciscn_2019_n_1

1

checksec后发现其为64位,只开启了nx保护 

ida中分析 

从string窗口得知cat flag在func函数中,f5进入伪代码查看func函数 

发现需要利用gets函数溢出到v2的地址,并修改v2的值为11.28125,从而返回system函数拿到flag。

找v1,v2的地址

偏移地址=0x30-0x04=0x2c                   11.28125=0x41348000

进入虚拟机编写exp即可得到flag

14.

[HarekazeCTF2019]baby_rop

1

先进行checksec(64位,开了nx保护) 

 

ida分析,查看字符串,发现了system函数和bin/sh

main函数f5查看伪代码

——isoc99_scanf即为溢出点 

 

查找bin_sh地址

由于是64位,需要进行寄存器传参(ROPgadget  --binary 文件名 --only “pop|ret") 

即可找到pop rdi这个寄存器所在的地址为0x400683 

 

system_add 

(1)ida查找system函数的地址(即plt:system) 

(2)使用gdb查找(输入plt即可得到)

 

payload 

payload = b'a'*0x10+b'a'*0x8 + p64(rdi) + p64(bin_sh) + p64(system)

编写exp如下:
 from pwn import*
sh=remote("node5.buuoj.cn",27049)
payload = b'a'*(0x10+8)+p64(0x400683)+p64(0x601048)+p64(0x400490)
sh.sendline(payload)
sh.interactive()

find -name flag获取flag所在位置 

找到地址后即可得到flag。 

2301_80477504
关注
BUUCTFpwn解题记录(1-3页已完结)
Assassin
05-05 1933
文章目录ripwarmup_csaw_2016ciscn_2019_n_1pwn1_sctf_2016jarvisoj_level0ciscn_2019_c_1(栈溢出+ret2libc+plt调用)[第五空间2019 决赛]PWN5ciscn_2019_n_8jarvisoj_level2[OGeek2019]babyropbjdctf_2020_babystackget_started_3dsctf_2016(mprotect+read+shellcode)cn_2019_en_2jarvisoj_le
buuctf pwn刷题(1)
清霂的博客
01-30 1185
目录1.test_your_nc2.pwn13.warmup_csaw_2016 1.test_your_nc 先用exeinfo查壳,是64位的程序 用64位ida静态分析一下,找到main函数 F5反汇编,看到system("/bin/sh") system()的作用———执行shell命令也就是向dos发送一条指令。 即执行/bin/sh命令,获得shell权限 用虚拟机连node3.buuoj.cn:27191 nc node3.buuoj.cn 27191 查看文件目录 ls 查看flag
学习笔记:buuctf pwn
RookieMOR的博客
06-18 484
学习笔记,有不对的请大家指出
buuctf-pwn刷题(二)
CHAWUCIREN1的博客
10-15 2085
ciscn_2019_n_1 直接运行一波 猜数字的 checksec file一下 放入ida 发现func函数里面有 东西 这个是一道溢出题,我们输入的数字给v1,但是在进行判断的时候,用的是v2,我们需要溢出v2,使其等于目标值 查看一下栈空间 我们发现v2在栈上04的位置,也就是(0x30-4) 11.28125转化为十六进制为0x41348000 pay load= b’A’*(0x30-4) + p64(0x41348000) from pwn import * payload =
BUUCTF PWN方向 1-6题 详解wp
最新发布
qq_62564422的博客
02-06 1634
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
BUUCTF题目Reverse & Pwn部分wp(持续更新)
苦行僧的妖孽日常
09-18 1559
BUUCTF题目Rverse & Pwn部分的writeup(持续更新)
BUUCTF pwn前四题解答和培训内容整理笔记
lzglove666的博客
01-31 1503
我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。这时,我们需要知道对应返回的代码的位置。ROP(Return Oriented Programming),即返回导向编程,通过栈溢出内容覆盖返回地址,使其跳转到可执行文件已有的片段代码执行我们选择的代码段。对x64的参数,大部分情况下,前六个参数储存在寄存器内,无法直接使用简单的栈溢出修改寄存器内容,这时候我们需要解除ROPgadget工具进行辅助。
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2073
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
BUUCTFpwn解题记录(4-6页持续更新
Assassin
08-06 2165
一起继续刷BUUCTF把~
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4330
BUUCTF刷题记录
持续更新 BUUCTF——PWN(一)
weixin_41748164的博客
08-13 1115
buuctf pwn
持续更新 BUUCTF——PWN(三)
weixin_41748164的博客
03-04 893
这只是个人笔记,buuctf的刷题的第三篇,欢迎一起讨论重新搭建一个合适pwn环境:https://blog.csdn.net/weixin_41748164/article/details/127874334buuctf的前两页:https://blog.csdn.net/weixin_41748164/article/details/126325515。
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 5126
BUU CTF PWN 入门知识详解
buuctf--pwn小结1test_your_nc
Xor0ne
06-14 2245
参考链接: 1、BUUCTF刷题(持续更新) 2、BUUCTF-PWN刷题日记 0x01 test_your_nc 参考链接:https://blog.csdn.net/qq_42404383/article/details/103625124 (1)、思路:看名字,然后直接用nc nc的全名是netcat,其主要用途是建立和监听任意TCP和UDP连接,支持ipv4和ipv6。因此,它可以用来网络调试、端口扫描等等。 nc [-hlnruz][-g<网关...>][-G<指向器数目&
buuctf的一些pwn题总结(不断更新)
PLpa的博客
08-19 4561
前言: 本文记录一些buuctf不是很典型,但是仍然值得记录的pwn题,以便于查看。 0x00:stkof——unlink 查看保护 查看IDA伪代码 增 自定义size,使用malloc分配。 删 free之后直接置空,难以利用。 改 重点来到改,这里可以随意输入大小,然后根据输入的大小来为堆块填入数据。这样就造成了堆溢出漏洞。 解题思路 由于此题存在堆溢出漏洞,我们又掌控着heap地址的存在位置,这样我们很容易就想到unlink漏洞来控制堆块。 由于程序本身的原因,我们先malloc一个堆
BUUCTFPWN(WP1)
NANMUZN的博客
01-15 683
buuctf pwn
BUUCTF PWN 刷题 1-15题
农夫果园好好喝的博客
08-21 2156
经典栈溢出漏洞。
buuctf pwn入门1
weixin_63231007的博客
07-07 1352
buuctf pwn 前几道简单栈溢出&格式化字符串漏洞
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章提到了64位的EIF文件rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击,攻击者通常会利用程序的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值