buuctf pwn 19-23

最新推荐文章于 2024-05-07 16:02:29 发布
最新推荐文章于 2024-05-07 16:02:29 发布
阅读量153 收藏
点赞数
文章标签: python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XDiku/article/details/128887397
版权

2023-02-04 WP

week5

0x00 T1 others_shellcode

第五周提交wp辽,祝福大家元宵快乐,幸福安康。
题目来源是buuctf pwn的第五行第三个题,others_shellcode。

一道送分题,但是需要好好理解题意。

0x01 wp

第一步,checksec

虽然全开保护了,但是不用慌张!

第二步,反编译+静态分析

在这里插入图片描述

跟进看一下函数"getshell"如下。

在这里插入图片描述

不明白,我们具体看看汇编如下,具体注释如下,文章不赘述。

在这里插入图片描述

第三步,写exp

从上述得知,"getshell()"直接运行了execve("/bin/sh",0,0)
#如注释有问题欢迎指出!!
故直接nc获得flag。
之所以叫"others_shellcode",大概意思是之前用的都是
system("/bin/sh")
#所以这次想给我们看点不一样的吧~

nc拿到flag

在这里插入图片描述题目看似简单但是暗藏玄机,不能轻易错过哦~

0x00 T2 ciscn_2019_ne_5

是下一题。

0x01 wp

第一步,checksec

在这里插入图片描述

第二步,反编译+静态分析

在这里插入图片描述

只看这里还不明白,看看别的函数。

在这里插入图片描述在这里插入图片描述在这里插入图片描述

发现"Addlog(int a1)"函数可以录入128字节的数据,而在"GetFlag(char *src)"中,
将src作为指针传入字符串,且实行'strcpy'将src复制到dest,
dest长度只有48,而可以复制128过去,则可以在这里实现溢出。

在这里插入图片描述

我们看到有现成的"system"函数,所以在需要"/bin/sh"就行了。
根据wp,只有"sh",也是可以的!(新知识点!)
所以构造
system("sh")
即可!

第三步,写exp

在这里插入图片描述

exp思路便是,先输入正确的密码,然后传入1,运行'Addlog'函数,再传入我们的payload,
最后运行'getflag'函数,拿到权限。

最后一步,运行拿到flag

在这里插入图片描述

0x00 T3 铁人三项(第五赛区)_2018_rop

下一题

0x01 题解

1.checksec

在这里插入图片描述这次直接运行看看,就是read函数应该吗,然后打印个你好世界。

2.静态分析

在这里插入图片描述
在这里插入图片描述

果然,这题没后门函数,有read,那就泄露read打ret2libc即可。

4.写exp并且运行拿flag

在这里插入图片描述
先泄露一下地址。ok,去查好地址写好 exp如下。
在这里插入图片描述
拿flag。
在这里插入图片描述
这题就是很传统的ret2libc了,64位的。

0x00 T4 bjdctf_2020_babyrop

0x01 题目来源

下一题捏。

0x02 题解

1.分析文件

第一步:checksec 文件名

用checksec看看这个文件的保护情况。
在这里插入图片描述

64位,无pie和canary,安心

2.IDA反编译

第一步:拖入ida静态分析

在这里插入图片描述

有点中二但是我喜欢。和上一题差不多看起来。

第二步:看看栈的偏移量

在这里插入图片描述

可见偏移量为(0x20+0x08)
那还等啥,直接ret2libc!

2.exp

在这里插入图片描述
泄露得到地址。
但是由于puts 690的libc太过古早,搜索半天没搜到,libcsearcher又用不了,卡了很久,最后被群里一位大哥解救,远程感谢一下Byron~
我当时找了下puts 690的libc搜到了这个wp。
在这里插入图片描述并且在网站都找不到这个libc,于是Byron为我提供了下面这些信息。


这是他给我提供的,但是这个libcbase引起了我的兴趣。
在这里插入图片描述
最后问题解决,拿到flag。
在这里插入图片描述因为这个卡了一晚上也是够蠢的……

0x00 T5 bjdctf_2020_babystack2

依然是下一题!

0x01 wp

第一步,checksec

在这里插入图片描述

第二步,反编译+静态分析

在这里插入图片描述

看到if(xxxx>xxxx)基本可以知道是整数溢出了,且下面有read,
显然此题思路就是绕过if判断并且read足够多的数据达成一处运行后门。

在这里插入图片描述

后门函数

在这里插入图片描述
关于整数溢出,就是指大到最大以后他会变到最小的数(这和二进制溢出有关系,比如1111最大了,1111+1就会变成10000,但是人家只会存后四位,所以右边为了0000,不管多大字节的都同理)

由于输入时是signed,使用时是unsigned,这个漏洞就可以利用了。因为signed的负数(如1111是-1),在unsigned是很大的数字(如1111是15),字节越多越大。

第三步,写exp

在这里插入图片描述由于发现存放的int是四个字节,定为long int,故传入singed最大值加一,达到整数溢出的效果,随后即是ret2text
在这里插入图片描述
拿下flag。

尾声:别走!一点小喜悦

刚才提到'libc-database'吸引到了我,于是安装了一波!方法如下,大家一起看看

1. git clone https://github.com/niklasb/libc-database
2. cd libc-database
3. ./get

使用方法:
在这里插入图片描述
参考原文点击这里!
安装好了,我们试试看吧!

在这里插入图片描述
在这里插入图片描述
不过原本那个查不到,可能真的太老了,没办法啦~

N1nEmAn
关注
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2072
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1330
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
CTFshow-PWN-前置基础(pwn18-pwn19
Welcome To Myon'Blog !
04-17 1081
关于这两道题的总结:1、>: 将命令的输出重定向到指定文件,如果文件不存在则创建,如果存在则覆盖文件内容;>>: 将命令的输出追加到指定文件的末尾,如果文件不存在则创建。2、fork() 函数的作用是创建一个新的进程,这个新进程是调用进程的副本。具体来说,fork() 函数在父进程中返回子进程的进程 ID,而在子进程中返回 0。通过这种方式,父子进程可以根据返回值的不同来执行不同的代码逻辑,实现并发执行或者多进程模型。
others_shellcode
m0sway的博客
03-30 412
others_shellcode WriteUp BUU_PWN
[BUUCTF-pwn]——others_shellcode
Y_peak的博客
02-12 1239
[BUUCTF-pwn]——others_shellcode 题目地址: https://buuoj.cn/challenges#others_shellcode peak 小知识 写这道题之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表 中找到对应的系统调用号,进行调用, 其中系统调用号用 eax 储存
others_shellcode[BUUCTF]
最新发布
moonlightsunshin的博客
05-07 561
在 x86 架构的 32 位模式下,int 0x80 是一个软件中断指令,用于从用户空间调用内核空间的服务,即 Linux 系统调用。这个指令会触发一个异常,将控制权传递给内核的异常处理程序,该程序会解析由用户空间代码设置的系统调用号和参数,并执行相应的内核服务。然而,需要注意的是,在 x86-64(也称为 AMD64)架构的 64 位模式下,Linux 采用了不同的系统调用机制。寄存器中,参数则根据系统调用的不同而有所变化,但通常也会存储在寄存器中。指令时,系统调用号通常存储在。寄存器,将参数按照约。
BUU刷题-Pwn-others_shellcode
一个啥也不会的小菜鸡!
08-10 176
系统调用号,nc即可获得shell。
BUUCTF 2021-10-4 Pwn
m0_56897090的博客
10-04 430
文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffer overflow 0分析EXPXCTF-Mary_Morton分析EXPEXPgift分析EXPfishin
[每日一PWN]BUUCTF PWN5
qq_55233040的博客
11-28 372
遇到了buu的pwn题中按顺序的第一道格式化字符串漏洞的题目,难度稍有提升。
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 903
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
others_shellcode wp (python3)(含getshell过程详解)
Kata_Jhin的博客
03-19 252
others_shellcode wp (python3)(含getshell过程详解)
BUUCTFPWN】others_shellcode
m0_55368674的博客
01-13 198
BUUCTF other_shellcode题解
NC 解析
qq_73722777的博客
03-08 138
使用kali自带的nc连接地址即可得出flag
Finding system calls
farmwang的专栏
07-26 401
/usr/include/asm/unistd.h #ifndef _ASM_X86_UNISTD_64_H #define _ASM_X86_UNISTD_64_H 1 #define __NR_read 0 #define __NR_write 1 #define __NR_open 2 #define __NR_close 3 #define __NR_stat 4 #defin
CTF-PWN-buuctf-others_shellcode-系统int80调用的使用方法
serfend's blog
04-24 1619
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1twNiCnqBL17_WuQr1NdGBQ?pwd=g9by 提取码:g9by 答案:flag{d07d7b41-1672-4338-a72c-43e12c26c587} 总体思路 这题是一道32位系统调用的教学题 [CTF pwn]傻傻分不清的execve、int80、syscall、system及shellcode 详细步骤 查看文件信息 in
buuctf|pwn-others_shellcode-wp
l2645470582_的博客
11-09 171
1.例行检查保护机制 2.我们用32位的IDA打开该文件 shift+f12查找关键字符串,没有看到有用的字符串 3.我们进入main函数看看 我们进入第一个函数看看,没看到什么有用的信息 我们再进入第二个函数看看,我们看到了熟悉的身影 除此之外我们并没有看到什么有用的信息 4.EXP 我们先试试用nc能不能打通,因为getShell()函数里面有权限 nc node4.buuoj.cn 28625 ...
[BUUCTF]PWN——others_shellcode
mcmuyanga的博客
10-24 830
others_shellcode 附件 解题步骤: 例行检查,32位程序,开启了NX(堆栈不可执行)和PIE(地址随机化)双重保护 试运行了一下,发现直接就能执行shell的命令 远程连接运行一下,直接就获取到了flag 一道简单的shelllcode的直接利用 ...
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值