buuctf刷题记录(一)

最新推荐文章于 2022-07-04 22:57:08 发布
最新推荐文章于 2022-07-04 22:57:08 发布
阅读量395 收藏
点赞数
分类专栏: buuctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43571856/article/details/107536127
版权
这篇博客记录了作者在buuctf刷题过程中的经验,涉及了多个pwn题目,包括vn_pwn_warmup、others_babystack和vn_pwn babypwn1等。在面对开启NX和PIE保护,以及execve禁用的情况,作者学习了如何利用orw技巧和ROP链来实现shell的获取。在vn_pwn_warmup中,通过puts地址获取libc基址,并利用bss段的pop_di gadget;在others_babystack中,利用栈溢出和puts泄露信息;在vn_pwn babypwn1中,利用srop和libc的bss段进行栈迁移。
摘要由CSDN通过智能技术生成

vn_pwn_warmup

在这里插入图片描述
开了nx和pie
在这里插入图片描述
这里给了puts的地址,可以得到libc的基地址
在这里插入图片描述
只有这里有个溢出点能溢出0x10个字节
原本的想法是直接用one_gadget来获得shell
但是一直都打不通,由于开了pie也没法本地调试
后来看了大佬的题解,才知道这个题禁用了execve。现在也不知道从哪里看出来的。
对于这种禁用execve或者没法使用system直接getshell的题。
我们可以使用orw来做。
可以把paylaod写到这里
在这里插入图片描述
然后在跳到这里执行
但是这个题没法用题目文件里的rop_gadget,看了题解才知道原来 libc库里有我们需要的bss,pop_di。用ROPgadget --binary libc --only ‘pop|ret’ | grep ‘rdi’ 和 readelf -S libc | grep “.bss”获取。
get到一个新的知识点。

所以先用read写入flag到bss段,然后orw打印flag
在第一个rop结束之后,栈正好恢复到上一个函数,因此可以继续执行rop

exp

#coding:utf-8
from pwn import*
context(log_level = 'debug')
io = remote ('node3.buuoj.cn',28559)
#io = process('/media/psf/CTF/vn_pwn_warmup')
elf = ELF('/media/psf/CTF/vn_pwn_warmup')
#libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
libc = ELF('/media/psf/CTF/libc/1664libc-2.23.so')
io.recvuntil("0x")

puts_addr=int(io.recv(12),16)
libc_base=puts_addr-libc.sym['puts']
print hex(libc_base
最低0.47元/天 解锁文章
瞬间”Heart Attack
关注
专栏目录
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 949
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 453
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 533
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 302
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3248
前言 开始刷一刷Buuctf的PWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
buuctf刷题记录
mackilo的博客
02-16 2993
2022-1-16 reverse2 扔到IDA64里解析, F5生成伪代码 通过分析得出经过一定的变换后与flag进行比较的 查看flag的值,是{hacking_for_fun} 再返回前面看如何对flag进行变换的,将105、114、49转换成值, 箭头所指的函数功能为,把flag中存在的’i’以及’r’转换成’1’,进而得出正确flag。 2022-1-17 内涵的软件 下载好以后发现是乱码的exe文件,拖到ExeinfoPE里查看信息, 没有加壳,用IDA打开,查看main函数 可以看到跳
buuctf刷题记录(4)
weixin_53409153的博客
07-23 255
findit 下载附件,发现是apk,就直接在JBE中打开,然后发现这么一段十六进制数,上脚本跑一下就出来了: 脚本: a=[ 0x70,0x76,0x6B,0x71,0x7B,0x6D,0x31, 0x36,0x34,0x36,0x37,0x35,0x32,0x36, 0x32,0x30,0x33,0x33,0x6C,0x34,0x6D, 0x34,0x39,0x6C,0x6E,0x70,0x37,0x70, 0x39,0x6D,0x6E,0x6B,0x32,0x38,0
buuctf刷题记录(6)
weixin_53409153的博客
08-03 336
[MRCTF2020]Xor 查壳: 拖入IDA中: 跟进,但是我们无法对关键函数sub_401090查看伪代码: 然后我们就直接看: 再函数中可以看到v0和byte_4212c0按位异或,最后得到byte_41EA08就会输出right,然后再查看: 最后再写脚本: a="MSAWB~FXZ:J:`tQJ\"N@ bpdd}8g" s="" for i in range(len(a)): s+=chr(i^ord(a[i])) print (s) 运行得到: MRCTF{@_R3@
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 288
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 259
buuctf-pwn 039~046题
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1165
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
buuctf-pwn write-ups (9)
CoLin的pwn小屋
07-04 255
buuctf-pwn 067~072题题解
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 573
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
buuctf [第五空间2019 决赛]PWN5 writeup
yajuanpi4899的博客
01-16 2048
一、题目速阅 拿到题目,进行check 得到信息,可知开启了金丝雀,32位 IDA进行反编译: 题目分析:该题逻辑是将dword_804C044中值与第二次输入的passwd进行校对,如果相等则执行system("/bin/sh"),确认payload目标:使第二次值相等,而可以看到printf中有格式化字符串,根据此构建payload。 二、知识要点 格式化字符串漏洞: 利用常用方式检索字符在栈上偏移量: 如图所示,41414141即AAAA,可以看到距离AAAA偏移10位 可..
【PWN系列】 Buucf babyheap_0ctf_2017 Writeup
Vicl1fe的博客
11-27 694
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/luoleqi/p/12349714.html 分析 参考网址说的已经不错了,主要问题出现在fill功能,只要chunk存在,即可写任意长度的字符。 主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。 这里我来实际走一遍exp的流程,下面的exp我用的是本地的libc。 利用 下面的代码定
[BUUCTF-pwn]——x_ctf_b0verfl0w
Y_peak的博客
03-27 638
[BUUCTF-pwn]——x_ctf_b0verfl0w 很简单的一个ret2libc题型,利用栈溢出,构造循环调用 第一次leek地址,之后就可以构造我们想要的rop链了 exploit from pwn import * from LibcSearcher import * #p = process('./b0verfl0w') p = remote('node3.buuoj.cn',26806) elf = ELF('./b0verfl0w') context.log_level = 'debug
[BUUCTF-pwn]——pwnable_orw   (ORW)
Y_peak的博客
03-16 1241
[BUUCTF-pwn]——pwnable_orw 第一次碰到orw的问题,所谓orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 这个时候可以通过seccomptools,来查看 注意看到prctl就是将系统调用给你禁止了 exploit from pwn import * context.arch = 'i386' p = remote('node3.buuoj.cn',28626) shellcode = she
CTF学习日记----buuctf pwn rip
派大星的博客
11-20 945
发布于2019-05-112019-05-11 由Ex在一些64位的glibc的payload调用system函数失败问题 <div class="entry-content"> <p>原先在做题的时候就发现了,一些新的64位的glibc在控制了程序流后,调用system函数的时候,会直接crash,经过调试之后,终于发现了问题所在。</p> 实验用的文件下载,百度网盘:https://pan.baidu.com/s/1mEcCIzeYtDIo-xmHs...
BUUCTF|PWN-pwn1_sctf_2016-WP
l2645470582_的博客
07-29 764
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec pwn1_sctf_2016 3、该文件是62为文件,我们用32为IDA打开该文件 3.1、shift+f12查看关键字符串 3.2、双击关键字符串,ctrl+x查看cat flag.txt地址 3.3、F5进入main函数反编译代码区 3.4、看到有个vuln()关键函数,双击进去 3.5、我们看见关键字变量名溢出,双击查看 s地址: r地址: ...
buuctf misc 另外一个世界
最新发布
03-16
buuctf misc 另外一个世界是指在计算机安全比赛中,misc类型的题目通常是指一些杂项的题目,它们可能与其他类型的题目不太相似,需要参赛者拥有广泛的知识和技能才能解决。而另外一个世界指的是这道题目的思路和解决...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值