BUUOJ PWN 81-100

最新推荐文章于 2024-01-07 16:01:50 发布
最新推荐文章于 2024-01-07 16:01:50 发布
阅读量367 收藏 2
点赞数
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53217892/article/details/111308176
版权

目录

 

 

81、pwnable_hacknote

82、jarvisoj_level5

83、hitcon2014_stkof

84、cmcc_pwnme2

85、actf_2019_babystack 栈迁移

86、npuctf_2020_easyheap

87、picoctf_2018_can_you_gets_me

88、picoctf_2018_got_shell

89、[BJDCTF 2nd]snake_dyn

90、axb_2019_brop64

91、gyctf_2020_some_thing_exceting

92、picoctf_2018_shellcode

94、axb_2019_heap

95、ciscn_2019_final_2

96、mrctf2020_easy_equation 格式化字符串

97、ciscn_2019_s_9可以试试栈迁移shellcode

98、axb_2019_fmt64 格式化字符串

99、[极客大挑战 2019]Not Bad

100、inndy_echo格式化字符串

 

81、pwnable_hacknote UAF

释放后重新申请更改chunk0的content指针为puts_got,利用打印功能泄露地址,再释放再申请myprint函数改成system函数后,system参数就是system地址内容后面再跟上||sh正好4字节 或者;sh\x00

82、jarvisoj_level5

level3 level4 level5都一样的?

 

83、hitcon2014_stkof  unlink

调输出调半天,delete函数最后一句要是加recvuntil(OK\n)  就把你要的输出函数地址接受了,我就说调试模式看见输出有7f了   咋就不见地址输出来呢

unlink后 把1指针改成freegot,3指针改成putsgot,编辑1改free为puts,调用delete3就是打印puts函数地址

84、cmcc_pwnme2

溢出 gets写文件 后门函数

85、actf_2019_babystack 栈迁移

栈迁移,可以溢出16字节,正好溢出到返回地址,那个可恶的send到底是咋回事啊  sendline就是过不去,两次必须都得是send才行,之前有一道题就是,还有ubuntu18涉及到system要栈对齐加一个ret

 

 

86、npuctf_2020_easyheap  OFFBYONE

想办法改系统chunk,edit就是改got,show就是泄露地址

p64(free_got_addr)前是p64(0)就不行 得大一点不知道为啥

 

87、picoctf_2018_can_you_gets_me

同63、inndy_rop    工具:ROPgadget --binary   程序名字  --ropchain

 

88、picoctf_2018_got_shell

puts函数got表地址改成后门函数地址

89、[BJDCTF 2nd]snake_dyn

ssh -p 端口 ctf@node3.buuoj.cn

扫码 输入密码后就是玩游戏嘛,结果这个按键有延迟啊 画面还总闪,2900的时候莫名其妙的撞死了

溢出也没看懂啥原理,strncpy0x100怎么就溢出了?

我明白了,全局变量name和flag是挨着的,主程序运行后将flag文件内容读入flag中,name变量大小0x100如果全用a填充的话没有0结束符就相当于flag后面的内容作为name的内容,游戏时左上角显示你的name也就是显示256个a后面跟flag

 

如何用python实现ssh登陆 、输密码 snakes 、运行./snake ,

sh = ssh(host='node3.buuoj.cn', user='ctf', password='sNaKes', port=25637)
p = sh.process('./snake')
payload = b'a' * 0x100
p.sendline(payload)
p.interactive()

 

 

90、axb_2019_brop64

题目的本意是不给你文件的,那我就不会做了,盲打感觉好难

 

91、gyctf_2020_some_thing_exceting

92、picoctf_2018_shellcode

试运行

题目的难点就在于不能反编译??汇编大概能看懂,根据运行及题目名猜测gets输入shellcode,然后程序执行shellcode,gets的变量怎么传到主函数的call eax那就不太懂了

同 79、hitcontraining_bamboobox

 

94、axb_2019_heap

 

 

95、ciscn_2019_final_2

 

 

96、mrctf2020_easy_equation 格式化字符串

多写一个b,8个a正好对齐在第8 偏移,那么第九偏移就是我们要的,不过没想明白为啥不考虑那几个寄存器呢?

 

 

97、ciscn_2019_s_9可以试试栈迁移shellcode

简单做法是libc,代码写的多些

 

能溢出18字节,实际用了16字节,刚好够用,还可以考虑栈迁移  

 

98、axb_2019_fmt64 格式化字符串

先了解一下字符串字节取值,>>8舍弃最后一字节,16舍弃两字节,&0XFF取最后一字节 0xff最后两字节,最后求得的system地址与printf地址后三字节不同,字符串首字母偏移8

 

99、[极客大挑战 2019]Not Bad OWR

 

100、inndy_echo格式化字符串

buf 偏移7,将printf_got_addr改成system_plt_addr,学会使用fmtstr_payload工具写法

 

2h4ox1n9
关注
专栏目录
BUUOJ PWN 61-80
2h4ox1n9
12-17 279
61\
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2114
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
[BUUCTF]PWN——axb_2019_brop64
mcmuyanga的博客
01-21 1028
axb_2019_brop64 附件 步骤: 例行检查,64位程序,开启了nx 本地试运行一下,看看大概的情况 64位ida载入,第8行的read,明显的溢出漏洞 采用常规的ret2libc的方法 64位传参,要用到寄存器,先找个pop rdi 先是常规的泄露libc p.recvuntil('Please tell me:') payload='a'*(0xd0+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main) p.sendline(p
buuoj Pwn writeup 86-90
yongbaoii的博客
03-08 264
86 axb_2019_brop64 保护 花里胡哨的。 平平无奇栈溢出。 from pwn import * context.log_level="debug" r = remote('node3.buuoj.cn',29649) elf = ELF('./86') libc = ELF("./64/libc-2.23.so") main=0x4007d6 puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] pop_rdi=0x400963 r.r
64位格式化字符串漏洞利用——axb_2019_fmt64
weixin_46521144的博客
03-23 2823
题目可在buuoj上找到,不知道为啥现在github怎么也上不去了,传不了题目 学了好多遍fmtstr了,感觉ctf这种学习就是。。。不学就会忘,不能停止做题目。。。 64位fmtstr和32位不同之处在于 1.传入地址可能存在0字符截断(32位由于字符数量少,可能没有这个问题) 2.修改地址可能产生%xc中x过大导致网络异常 就本题而言,会出现这两种情况 首先使用IDA容易看出,这里有格式化字符串漏洞,64位 使用一般方法确定偏移量 容易看出这是第八个参数 之后采用一般的got-hijack方法,泄露pu
axb-2019-fmt64
Stella_Leo的博客
08-24 721
格式化字符串,讲点不一样的 64位格式化字符串学习 题目来自2019安洵杯。 这个漏洞原理很简单,就是简单的格式化字符串漏洞,泄露和劫持got表。但是64位呢,和32位有一点点不一样的地方,在这里强调和学习记录一下 直接把我坑傻了顺便学习一下libcsearcher的用法 [*] '/home/l/Desktop/AD/axb_2019_fmt64' Arch: amd64-64-little RELRO: Partial RELRO Stack: No cana
[BUUCTF]PWN——mrctf2020_easy_equation(格式化字符串)
mcmuyanga的博客
01-28 1139
mrctf2020_easy_equation 附件 步骤 例行检查,64位程序,只开启了nx保护 本地试运行一下,看看大概的情况,%p,那边,明显的格式化字符串漏洞 64位ida载入 只要满足第8行的条件即可获取shell,python算一下得到结果是2 所以这题是用格式化字符串漏洞,将judge上的值修改称即可 利用过程 确定偏移量,补了一个b之后偏移是8 由于64位传参,肯定存在被/x00截断的情况,所以我动调看了一下 我们要做的是将judge里的值修改成2,一开始我是这样写的,pa
BUUCTF-PWN刷题记录-6
weixin_44145820的博客
04-14 899
目录picoctf_2018_are you rootciscn_2019_final_2 picoctf_2018_are you root 例行安全检查 菜单如下: 我们需要auth_level等于5才能get flag user结构体如下 struct USER{ char *name; long long auth_level; } 漏洞原理分析: 在login中分配了两次内存...
BUUCTF-PWN刷题记录-3
weixin_44145820的博客
03-31 922
目录hitcontraining_heapcreator hitcontraining_heapcreator 考虑修改GOT表 在edit函数中可以溢出一个byte 这题需要利用堆重叠的方法,因为free之后会置空,只能利用堆重叠进行重复分配 利用思路如下: 先申请三个heap,其中heap[0]的内容大小为8的奇数倍 使用edit溢出修改heap[1]的chunk的size,把heap[...
从零开始配置pwn环境:优化pwndocker配置
最新发布
weixin_44626085的博客
01-07 1234
前期安装好pwndocker后发现不好用,所以通过研究修改一些配置后可以满足解题需要。
ssh2框架下多表查询的单个模块开发
01-28
基于ssh2框架下多表查询的单个模块开发。其中的页面跳转是通过MVC中的ModelandView实现的。
BUUCTF-pwn(11)
njh18790816639的博客
01-09 2757
mrctf2020_easy_equation 简单的栈溢出漏洞,格式化字符串漏洞!此处采用栈溢出漏洞! axb_2019_fmt64 经典循环格式化字符串64位漏洞! 唯一注意的地方pwntools的FmtStr_payload无法成功获取权限!需要手动计算字节进行攻击! from elftools.construct.macros import Padding from pwn import * from LibcSearcher import * context(log_level='debu
[BUUCTF] ciscn_2019_s_9
zyxx_wjc的博客
07-10 287
ciscn_2019_s_9
ciscn_2019_s_9
z1r0的博客
12-28 1140
ciscn_2019_s_9 查看保护 妥妥的shellcode题目 溢出,返回到s地址处的shellcode。给了一个hint,借助jmp esp这个跳板让eip成功执行到shellcode。 shellcode大小要小于0x20即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('nod
21 08 08学习总结
eeeeeight的博客
08-10 1145
21.08.08学习总结 Tags: learning experience 不知道什么时间-不知道什么时间: BUU刷题 re找门: xor: 一个数xor同一个数两次之后仍然是其本身 reverse3: 一个base64的加密, 主函数里有个+i的操作, 把+i消去之后base64解密就行了, 但是因为是萌新第一次接触re的base64, 于是就自己写了个base64的加密与解密练手(ida的ctrl e是直接选取字符串) helloword: jeb打开, 就能直接找到了 SimpleRev: 前面有
buuctf gyctf_2020_borrowstack(栈迁移)和r2t4,axb_2019_fmt32(格式化字符串和fmtstr_payload工具的使用)
carol2358的博客
05-24 1366
头痛,之前栈学的漏洞好多,只学了相关知识没有做题,真正碰到题目就不会了,真的头痛 gyctf_2020_borrowstack 栈迁移 payload设置 此种攻击方法的关键在于如何同时控制ebp和eip,那么如何同时控制ebp和eip的值的? 1、使用ROPgadget查找leave;ret指令所在的地址 2、覆盖完成bufer后,使用可控制的地址覆盖ebp的值,使用上述leave;ret指令所在地址覆盖ret的值。 程序运行(32位,64位同理): 1、当函数正常返回时,执行leave;re
buuctf-pwn write-ups (10)
CoLin的pwn小屋
03-04 726
buuctf wp
[MRCTF2020]Xor
qq_37439229的博客
04-13 1410
buuctf [MRCTF2020]Xor 无聊又来水博客了。。。。 打开od看看汇编,cmp edx 0x1b,知道字符串长度为27,之后与自己的序号xor,对比的数在栈里很容易发现 a="MSAWB~FXZ:J:`tQJ\"N@ bpdd}8g" >>> for i in range(len(a)): ... print chr(i^ord(a[i])), 直接出来,...
[MRCTF2020]Easy_RSA
weixin_44110537的博客
07-20 1427
encrypt import sympy from gmpy2 import gcd, invert from random import randint from Crypto.Util.number import getPrime, isPrime, getRandomNBitInteger, bytes_to_long, long_to_bytes import base64 from zlib import * flag = b"MRCTF{XXXX}" base = 65537 def gen
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值