Pwn-WP
文章平均质量分 63
Holy-Pang
这个作者很懒,什么都没留下…
展开
-
BUU-rip
查看保护IDA分析看到gets函数,这里没有输入长度限制,输入的s为16位接下来找有没有敏感权限:shift+f12 找到了 /bin/sh,打开发现其地址在401186Tips:这里包含了system指令,若不包含还得找到system地址,payload(填充字符串+填充rbp地址+system地址+/bin/sh地址)尝试写exp运行后报错:Got EOF while reading in interactivefrom pwn import *p = remote('node3原创 2021-04-27 21:55:34 · 651 阅读 · 0 评论 -
BUU-ciscn_2019_ne_5
检查保护IDA逻辑不是很复杂,第一次提示输入admin密码,密码要输入administrator才能下一步接着是输入功能选项(0~3)第一个输入,看起来没啥用,但是传入的是src字符串,返回的也是src第二个输出,进去只有一个put,一无所有第三个是打印,里面发现了system函数第四个本应该是’0’选项,这里多了个’4’,函数名叫getflag,进去看是个输出flag的函数,初步预测跳转到这里就可以了。第五个才是’0’的退出int __cdecl main(int argc,原创 2021-04-27 21:53:28 · 308 阅读 · 1 评论 -
BUU-ciscn_2019_n_5
查看保护什么都没保护.jpgIDA逻辑很简单,两次输入。这两次输入看起来都可以利用:read限制了读取长度,而且name是全局变量,地址可访问。gets里的text可以进行栈溢出,0x20解题思路EXPfrom pwn import *p=remote('node3.buuoj.cn',29048)context.arch = 'amd64' # 架构名称,不加狂报错……context.log_level = 'debug' # debug模式shellcode = asm(s原创 2021-04-27 21:50:18 · 629 阅读 · 1 评论 -
BUU-[HarekazeCTF2019]baby_rop
查看保护IDAscanf没限制输入长度,这里可以溢出v4寻找system和敏感字符串:都找到了,看来可以缝合缝合了。解题这次还是rop,但是还是查阅了相关资料,比第一次做时理解要深刻点。也会用寻找ret返回的工具:ROPgadgetROP相关概念:ROP就是使用返回指令ret连接代码的一种技术(同理还可以使用jmp系列指令和call指令,有时候也会对应地成为JOP/COP)。一个程序中必然会存在函数,而有函数就会有ret指令。而ret指令的本质是pop eip,即把当前栈顶的内原创 2021-04-27 21:48:41 · 1399 阅读 · 1 评论 -
BUU-warmup_csaw_2016
查看保护啥都没保护[滑稽]IDA很明显的gets输入漏洞,撑爆v5即可cat flag也很贴心地加了system……EXPfrom pwn import *p=remote('node3.buuoj.cn',25059)p.sendline('A'*64+'a'*8+p64(0x400611))p.interactive()flagflag{cda4b354-70c5-4017-bc79-df3428ae7722}...原创 2021-04-27 21:45:28 · 174 阅读 · 0 评论 -
BUU-pwn1_sctf_2016
今天补牙,帮学弟改大创,以前的题目还没来得及整理,先补票buu部分的入门pwn题ಥ_ಥ查看保护IDA说来惭愧,太久没做C++写的题现在快看不懂了……只能看出来提示输入,有个I和you的处理,然后将变换拷贝回输入变量,输出寻找敏感调用:在字符串查找里找到了全家桶:解题这里因为不知道中间咋处理的,直接莽,想溢出s。但是发现s虽然要求输入32,但是栈空间有3C(60位),显然无法溢出。想通过v0搞事情,发现v0是char,而且是地址,显然无法利用……预计关键就在中间的那一串看不懂的了。在一堆原创 2021-04-27 21:44:16 · 330 阅读 · 0 评论 -
BUU-ciscn_2019_n_1
检查保护IDA函数主体很简单:初始化v2为0.0 ;输入数字存进v1,然后让v2和11.28125进行对比,相同则自动 cat flag解题gets函数明晃晃地摆在主函数里,准备对v1动手。可以看到v1长度 0x30,下面v2的长度为 0x4进去瞅瞅:v1和v2紧挨着,而且v1覆盖v2的空间那exp思路就很清晰了,把v1到v2首地址之间的空间都填满,然后填进值11.28125,这样就能覆盖v2初始化的0.0 从而满足条件跳转猫flag。Tips:关于11.28125的输入:浮点输入原创 2021-04-27 21:42:05 · 205 阅读 · 0 评论 -
攻防世界-int_overflow
查看保护IDA先查看字符串搜索下有无可利用字符串,找到了cat flag。进入发现直接是system cat flag。看来只需要跳转到这个地址就可以了(0x8048694)开始只能选择1.login登录,进入后提示输入用户名和密码。这里用户名限制死25位,没有操作空间,密码可以输入409位,插个眼。最后还有个check passwd函数:判断输入函数长度是否大于3小于8然后将输入的密码拷贝给dest。题目提示int_overstack,明晃晃地告诉我是整型溢出。我的关注重点就放在in原创 2021-04-27 21:37:51 · 290 阅读 · 0 评论 -
攻防世界-cgpwn2
查看保护无栈保护,无PIE保护IDA两次输入,一个输入名字(限制了输入长度),一个输入信息(gets可以作栈溢出)解题思路shift+f12查找字符串并没有发现/bin/sh,可能需要自己整,或者藏在某个变量里在找_system函数的过程中,发现了pwn命名的函数,进入发现有system调用,第一次做的时候看到system就乐了,直接溢出s,然后跳转到pwn地址,结果真就只有 hehehe ……估计这是出题人的恶趣味……后来我在函数列表里找到了真正的_system,括号内的comma原创 2021-04-23 10:56:00 · 233 阅读 · 1 评论 -
攻防世界-CGfsb
知识点格式化字符串漏洞(printf)检查保护PIE没有保护,全局变量地址固定IDA逻辑很简单,输入name,输入message,然后当pwnme等于8时,自动执行cat flag操作。但是pwnme没有被赋值,也没有可操作的地方,需要把它改成8。但是找了一圈没发现有栈溢出的地方,看wp发现是格式化字符串漏洞,只能嗯学(栈溢出还没整熟悉〒▽〒)。格式化字符串知识点格式化字符串(摘自CTF-WIKI)格式化字符串函数是根据格式化字符串函数来进行解析的。那么相应的要被解析的参数的个数也自然原创 2021-04-23 10:52:00 · 419 阅读 · 1 评论 -
攻防世界-guess_num
查看保护好家伙,不留活口(;´д`)ゞIDA逻辑很简单,输入名字后,程序会生成一个随机数种子,然后循环10次以下操作:输入一个数,这个数和本次随机循环数值除以6的余数+1是否相等,相等则跳转到函数 sub_C3E() ,这里面直接有 system(“cat flag”);分析10次随机数必不能每次都对,所以得想办法绕过随机数或者修改随机数种子,让其种子固定则其生成的随机数也固定。本体最有可能栈溢出的地方就是gets,gets获取输入存到v7,进入v7看看有没有漏洞:可以看到v7下面就是s原创 2021-04-23 10:39:19 · 466 阅读 · 2 评论 -
攻防世界-level2
查看保护IDA分析在vulnerable_function里找到了读取溢出:字符串长度136,读取长度256,读多了。这里看到了system,以为可以获取shell,结果发现就是个普通的输出字符串……(菜)寻找敏感权限:直接查找字符串找到了 system /bin/sh但是他俩不在一块儿。第一次直接拼接/bin/sh失败后面尝试在填充buf和ebp后缝合system和/bin/sh,但是一直不成功。尝试了两个system的内存地址也是如此……上网看别人wp,发现真正调用sy原创 2021-04-22 21:48:34 · 345 阅读 · 2 评论 -
攻防世界-level0
探路只有NX试运行:平平无奇IDA找到了读取越界的地方:buf长度80,但是读取了512解题不相关但是想记一下怕又忘了:寻找buf的地址,ALT+T 查找字符串,选中最后的显示所有学长support:栈是存储局部变量的使用完需要恢复成上一个函数的栈结构如下:数据栈底地址(谁的?不吞掉后果如何)rip:返回的地址写脚本的目的:把buf占满,吞掉rbp,修改rip的地址,跳转到指定地址做到这其实卡壳了,其实还有shift+f12这个老朋友○| ̄|_敏感权原创 2021-04-22 21:45:59 · 614 阅读 · 0 评论 -
攻防世界PWN- get_shell & hello_pwn & when_did_you_born13
找到了初学pwn的笔记_(:з」∠)_get_shell查看保护IDA分析主函数赤条条地写着system("/bin/sh")预计直接访问就可以getshellEXPfrom pwn import *p=remote('220.249.52.134',46898)p.interactive()flagcyberpeace{cecb28ddca24a0b26fe5689bc39dc1ee}hello_pwn查看保护NX保护,堆栈不可执行IDA打印欢迎界面,输入原创 2021-04-22 21:41:18 · 181 阅读 · 0 评论